„Pozor! Kybernetická bezpečnost už není technickou záležitostí a nyní, v prosinci 2025, se naplno přesouvá přímo na jednatele. Od 1. listopadu totiž vedení firem nese přímou a osobní zodpovědnost za řízení kybernetické bezpečnosti – od prokazatelného zvládnutí rizik přes kontrolu dodavatelů až po možné sankce včetně zákazu výkonu funkce“.
Tomáš Krýsl – Poradce senior
Od 1. listopadu 2025 platí nový Zákon o kybernetické bezpečnosti (NIS 2)
Od 1. listopadu 2025 je účinný nový Zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS 2. Tento právní rámec zásadně mění postavení vedení firem vůči kybernetickým rizikům – vedení firmy (jednatel) musí zajistit, že kyberbezpečnost je ve firmě řízená, hlídaná a prokazatelně funguje.
Kybernetická bezpečnost je nyní povinnou součástí firemního řízení rizik. Pokud vaše firma spadá mezi tzv. „zásadní“ nebo „důležité“ subjekty (např. výroba, doprava, IT, energetika, zdravotnictví, služby), musíte od listopadu 2026 být schopni prokázat, že máte systém řízení kybernetické bezpečnosti pod kontrolou. Nejde o technický detail, ale o strategickou změnu v řízení firmy.
Za zajištění kybernetické bezpečnosti odpovídá jednatel
Zákon dává vedení jasnou roli: nastavit a udržovat systém kybernetické bezpečnosti a dohlížet na jeho fungování.
Úkoly může vykonávat interní IT nebo externí specialista, ale odpovědnost zůstává na vedení.
Sankce a nápravná opatření se uplatňují primárně vůči organizaci; při vážném nebo opakovaném porušení mohou dopadnout i na vedení (např. omezení výkonu funkce).
Co je třeba zpracovat a do kdy?
Pokud se vás NIS 2 týká, je nezbytné zpracovat:
- Řízení rizik a ochranu systémů
- Procesy pro reakci na incidenty
- Školení zaměstnanců a prověřování dodavatelů
- Plán pravidelných auditů
- Systém interního reportingu vedení
První kroky je vhodné udělat do konce letošního roku
V praxi jde hlavně o nastavení rolí v Portálu NÚKIB (oprávněný zástupce a správce účtů) a následné ohlášení/samoidentifikaci organizace.
1. Určete oprávněného zástupce vaší organizace
- Může jím být pracovník organizace nebo pověřená osoba.
- Musí být oprávněn jednat za organizaci (dle zákona, OR, interních předpisů nebo plné moci).
- Pro registraci jsou potřeba identifikační údaje včetně data narození, občanství a adresy.
2. Určete správce uživatelských účtů na Portálu NÚKIB
- Správce přiděluje či odebírá přístupová oprávnění.
- Je hlavní kontaktní osobou pro komunikaci s NÚKIB.
- Může, ale nemusí být totožný s oprávněným zástupcem organizace.
- Budete potřebovat jeho identifikační a kontaktní údaje.
3. Zaregistrujte organizaci do Portálu NÚKIB
Odkaz: Registrace organizace
4. Začněte připravovat podklady pro splnění požadavků NIS 2
- Zmapujte klíčová aktiva (systémy, data, dodavatele)
- Proveďte základní analýzu rizik
- Zavádějte opatření – šifrování, zálohování, školení, řízení přístupů
- Uzavřete smlouvy s dodavateli dle bezpečnostních požadavků
- Nastavte reporting vedení – rizika, incidenty, opatření
- Připravte plán reakce na incident a jeho testování
Podklady a podpora
Obecné materiály nabízí přímo NÚKIB: Podpůrné materiály.
Projekt je komplexní a vyžaduje kvalifikované řízení. Zapojení profesionála výrazně zvyšuje šanci na bezproblémovou implementaci.
Doporučená časová osa implementace
Do konce roku 2025 – ohlášení/samoidentifikace přes Portál NÚKIB.
Rok 2026 – zavést funkční systém řízení kybernetické bezpečnosti a dokumentaci tak, abyste byli schopni prokázat plnění zákonných požadavků.
(Přesné termíny závisí na tom, kdy se ohlásíte a do jaké kategorie spadáte.)
Odkládat už není kam. Začněte ihned.
Rádi vás celým procesem provedeme tak, aby byl zvládnutelný a efektivní.
