OTÁZKY A ODPOVĚDI

Zákon č. 264/2025 Sb. dopadá na poskytovatele regulovaných služeb ve 14 odvětvích — energetika, doprava, bankovnictví, vodohospodářství, zdravotnictví, výroba potravin, výrobní průmysl, digitální infrastruktura a ICT, veřejná správa, vesmír, pošta, odpady, chemikálie, výzkum.

Zda na vás dopadá, závisí na kombinaci tří faktorů: (1) odvětví / typ služby, (2) velikost organizace (mikro / malá / střední / velká dle EU SME definice), (3) případně specifické kritérium (např. licence ERÚ, ČNB, ČTÚ, akreditace zdravotnické laboratoře).

Nejjednodušší způsob, jak zjistit svou situaci: spustit naši kalkulačku. Pro definitivní určení použijte oficiální kalkulačku NÚKIB.

Zákon dělí regulované subjekty do dvou kategorií podle závažnosti dopadu jejich služby:

• Vyšší povinnosti (essential entities) — nejdůležitější subjekty (banky, distributoři elektřiny, nemocnice, DNS providery, TLD registry, ústřední orgány státní správy). Plný rozsah povinností: ISMS, MKB role, povinný audit, registrace, plné hlášení incidentů, sankce do 10 mil. EUR / 2 % obratu.
• Nižší povinnosti (important entities) — důležité, ale ne kritické (střední výrobní firmy, MSP, distributoři, krajské úřady). Užší rozsah: zjednodušené řízení rizik, základní bezpečnostní opatření, hlášení incidentů. Sankce do 7 mil. EUR / 1,4 % obratu.

Klíčový rozdíl: vyšší povinnosti musí absolvovat povinný externí audit a mít plně rozvinutou ISMS, nižší ne. Lhůty hlášení incidentů (24h / 72h / 1 měsíc) ale platí pro oba režimy stejně.

Velikost se počítá podle doporučení Komise 2003/361/ES ze tří kritérií:

• Počet zaměstnanců v ročních pracovních jednotkách (RJP)
• Roční obrat
• Bilanční suma (rozvaha)

Pravidla:

• Mikro: < 10 zaměstnanců a (≤ 2 mil. EUR obrat NEBO ≤ 2 mil. EUR rozvaha)
• Malá: < 50 zaměstnanců a (≤ 10 mil. EUR obrat NEBO ≤ 10 mil. EUR rozvaha)
• Střední: < 250 zaměstnanců a (≤ 50 mil. EUR obrat NEBO ≤ 43 mil. EUR rozvaha)
• Velká: vše vyšší

Mezi obratem a bilanční sumou se používá příznivější (nižší) kategorie. Mezi zaměstnanci a finančními ukazateli se ale používá vyšší kategorie — když máte 300 zaměstnanců, jste velká firma i kdybyste měli obrat 5 mil. EUR.

Pozor: u skupin firem se započítávají partnerské a propojené podniky dle Uživatelské příručky k SME. Naše kalkulačka tohle nezohledňuje.

Stručně: hned teď, pokud na vás zákon dopadá.

Zákon předpokládá, že subjekt sám vyhodnotí, zda spadá pod regulaci, a do 30 dnů od splnění kritérií se zaregistruje u NÚKIB. Pro většinu povinností je přechodné období v řádu 12–18 měsíců od účinnosti.

Realistický harmonogram pro střední firmu, která spadá do nižších povinností:

• 0–3 měsíce: gap analýza, určení MKB nebo odpovědné osoby, registrace u NÚKIB, schválení základních politik vedením.
• 3–6 měsíců: registr aktiv, posouzení rizik, MFA na klíčových přístupech, plán reakce na incidenty.
• 6–12 měsíců: zálohy 3-2-1, EDR, awareness školení, posouzení klíčových dodavatelů, dokumentace pro případnou kontrolu.

Pro vyšší povinnosti počítejte s 12–18 měsíci a externím auditem.

Nový zákon č. 264/2025 Sb. nahrazuje původní zákon o kybernetické bezpečnosti (181/2014 Sb.) a transponuje směrnici NIS2 (Směrnice (EU) 2022/2555) do českého právního řádu.

Hlavní změny oproti starému ZKB:

• Mnohem širší rozsah — staré pojmy „kritická informační infrastruktura" a „významný informační systém" nahrazuje koncept regulovaných služeb v 14 odvětvích.
• Středně velké firmy mají nově významný objem povinností — předtím byly typicky mimo.
• Lhůty hlášení 24h/72h/1 měsíc sjednocené napříč EU.
• Osobní odpovědnost statutárních orgánů — explicitní novinka.
• Vyšší sankce a paralelní pokuty s GDPR.

Pokud jste byli regulovaní podle starého ZKB, váš režim se mění a typicky se rozšiřuje. Doporučujeme nové posouzení.

• Plné znění zákona č. 264/2025 Sb.: e-Sbírka
• Vyhláška 409/2025 Sb. o bezpečnostních opatřeních (vyšší režim): e-Sbírka
• Vyhláška 410/2025 Sb. o bezpečnostních opatřeních (nižší režim): e-Sbírka
• NÚKIB portál — registrace, hlášení, metodiky: portal.nukib.gov.cz
• Oficiální FAQ NÚKIB: portal.nukib.gov.cz/informacni-servis/faq
• Oficiální kalkulačka NÚKIB: portal.nukib.gov.cz/kalkulacka
• Vzdělávací portál NÚKIB: osveta.nukib.gov.cz — bezplatné kurzy
• Směrnice NIS2 (EU): eur-lex.europa.eu

Naše doplňující materiály: průvodce ZKB, interaktivní zákon, vyhláška vyšší, vyhláška nižší, cheatsheet vyšší, cheatsheet nižší.

Pro režim nižších povinností (important entity) se očekává úměrně rozumný rozsah opatření vůči velikosti a riziku organizace:

• Governance: určení odpovědné osoby, schválené základní politiky (informační bezpečnost, řízení přístupu, IRP, zálohování), roční přezkum.
• Řízení rizik: evidence aktiv, jednoduchý registr rizik s vlastníky, aktualizace 1× ročně.
• Bezpečnostní opatření: MFA na admin a vzdálených přístupech, patch management, zálohy 3-2-1 s testem obnovy, centrální logování klíčových systémů (≥ 90 dní), EDR na koncových stanicích.
• Reakce na incidenty: dokumentovaný plán s kontakty, hlášení NÚKIB ve lhůtách 24h/72h/1 měsíc.
• Lidé: roční školení bezpečnostního povědomí, phishing simulace, rozumný off-boarding.
• Dodavatelé: posouzení klíčových ICT dodavatelů, smluvní DPA, hlášení incidentů u dodavatelů.

Detailní průvodce: interaktivní vyhláška pro nižší povinnosti nebo 2-stránkový cheatsheet PDF.

Hlásí se kybernetický bezpečnostní incident, který má dopad na regulovanou službu — narušení dostupnosti, integrity nebo důvěrnosti, případně finanční či společenský dopad. Pouhá narušení bez prokázaného dopadu (security event) se nehlásí, ale dokumentujte je interně.

Lhůty platí pro oba režimy stejně:

• Early warning (předběžné oznámení) do 24 hodin od zjištění.
• Prvotní zpráva do 72 hodin.
• Závěrečná zpráva do 1 měsíce.

"Od zjištění" znamená moment, kdy oprávněná osoba (typicky MKB) má důvodné podezření — ne moment, kdy útok proběhl. V praxi: i když útok byl v sobotu, lhůta běží od pondělí, kdy MKB zjistil, že se něco stalo.

Praktická rada: při pochybnostech raději hlásit. Opožděné hlášení je z pohledu ZKB rizikovější než zaslání hlášení, které se nakonec ukáže jako bezpředmětné.

V nižším režimu zákon nevyžaduje formální „Manažera Kybernetické Bezpečnosti" (MKB) v plné podobě jako u vyššího režimu, ale určit odpovědnou osobu za kybernetickou bezpečnost musíte. Tato osoba má pověření vedením, dostatečné pravomoci a dokumentovanou roli.

V praxi pro střední firmu existují tři realistické varianty:

• Existující IT manažer s rozšířenou rolí — kapacita 20–40 % pracovního času na bezpečnost. Pozor na střet zájmů — IT manažer nesmí auditovat sám sebe.
• Externí konzultant ve formátu „virtuální MKB" — typicky 2–4 dny / měsíc. Vhodné pro firmy bez interní kapacity.
• CISO-as-a-Service v paušálu — vyšší úroveň zapojení, vhodné pro nižší až vyšší povinnosti.

Klíčové bez ohledu na variantu: písemné pověření vedením, přístup do vedení firmy alespoň ad-hoc, dokumentace klíčových rozhodnutí.

Vyšší režim (essential entity) znamená plný rozsah povinností — typicky 12–18 měsíců strukturované implementace. Hlavní pilíře:

• Systém řízení bezpečnosti informací (ISMS) s definovaným rozsahem, PDCA cyklem, ročním přezkumem vedením.
• MKB role — jmenovaný vedením, oddělený od IT provozu, přímý reporting do statutárního orgánu.
• Řízení rizik s metodikou (NÚKIB / ISO 27005), registr rizik s plnou strukturou, formální akceptace zbytkových rizik.
• Bezpečnostní opatření v plné šíři — IAM s phishing-resistant MFA + PAM, EDR/XDR + ITDR, vulnerability management s SLA, segmentace, kryptografická politika včetně post-quantum.
• SOC nebo MSSP s 24/7 pokrytím, automatickým EDR isolation, mapováním na MITRE ATT&CK.
• Plán reakce na incidenty (IRP) s playbooky, ročním tabletop cvičením, BCP/DR.
• Bezpečnost dodavatelského řetězce včetně SBOM, podepsaných artefaktů, průběžného sledování dodavatelů.
• Povinný externí audit kybernetické bezpečnosti nezávislým auditorem.

Detailní průvodce: interaktivní vyhláška pro vyšší povinnosti nebo 2-stránkový cheatsheet PDF.

ISO 27001 je silný základ pro splnění vyšších povinností, ale není jejich automatickou náhradou. ZKB ukládá specifické povinnosti, které ISO 27001 nepokrývá explicitně:

• Hlášení incidentů NÚKIB ve lhůtách 24h/72h/1 měsíc — ISO 27001 vyžaduje incident management, ale konkrétní reportovací povinnosti vůči regulátorovi jsou lokální.
• Registrace u NÚKIB a komunikace s úřadem — výlučně ZKB záležitost.
• Specifický audit kybernetické bezpečnosti dle § 16 vyhlášky 409/2025 — má jiný rozsah a kvalifikační požadavky než ISO 27001 audit.
• Konkrétní technická opatření z vyhlášky (např. 3-2-1 backup, MFA scope, retence logů) jsou specifičtější než ISO Annex A kontroly.

Praktický pohled: pokud máte ISO 27001 v rozsahu pokrývajícím regulovanou službu, máte ~70–80 % cesty hotovou. Doplňte gap analýzu vůči ZKB / vyhlášce 410, doplňte chybějící body, zaregistrujte se a dokumentujte.

Maximální výše pokut (vyšší z pevné částky a procenta z obratu):

• Vyšší povinnosti: až 10 mil. EUR nebo 2 % celosvětového ročního obratu.
• Nižší povinnosti: až 7 mil. EUR nebo 1,4 % celosvětového ročního obratu.

NÚKIB při určování výše pokuty zvažuje povahu, závažnost a délku porušení, opakovanost, finanční přínos z porušení, spolupráci s úřadem a dosažený stav bezpečnosti. Maximum se v zahraniční praxi NIS2 uplatňuje zřídka, ale rozhodnutí prvních českých případů zatím nejsou veřejně dostupná.

Hlavní rizikový bod: opožděné nebo chybějící hlášení incidentu — to je nejlépe „testovatelná" povinnost a v praxi NIS2 se ukazuje jako nejčastější důvod sankce.

V kombinaci s GDPR (4 % obratu) může jeden incident generovat dvě paralelní pokuty od NÚKIB i ÚOOÚ.

Ano. Nový ZKB explicitně zakotvuje osobní odpovědnost členů statutárních orgánů za zavedení a fungování bezpečnostních opatření. Při hrubém porušení mohou být osobně sankcionováni.

V praxi je důležité, aby statutární orgán prokazatelně:

• Schválil bezpečnostní strategii a klíčové politiky.
• Dostával periodické přehledy o stavu bezpečnosti (typicky kvartálně).
• Měl evidenci klíčových rozhodnutí (zápisy z představenstva, schválené dokumenty, matice odpovědností).

Pozor na D&O pojištění: standardní pojistky pro statutární orgány zpravidla nekryjí porušení regulatorních povinností ani úmyslné jednání nebo hrubou nedbalost. Pokud spoléháte na pojistku, předem ověřte rozsah s pojistitelem — sankce za nehlášení incidentu nebo nezavedení opatření může jít přímo na osobu člena vedení.

Povinnost registrace u NÚKIB vyplývá přímo ze zákona, ne z výzvy úřadu — nejde tedy říct "nikdo mi neřekl, že mám".

Praktická rada: kontaktujte NÚKIB sami a co nejdříve se zaregistrujte. Spolupracující subjekt, který přizná zpoždění, má lepší výsledky než ten, kterého úřad odhalí kontrolou nebo po incidentu. Polehčující okolnosti (spolupráce, dosažený stav bezpečnosti) NÚKIB zvažuje při určování případné sankce.

Pokud teprve teď zjišťujete, že zákon na vás dopadá, postupujte v pořadí:

1. Posuďte, zda na vás zákon skutečně dopadá (kalkulačka, oficiální NÚKIB kalkulačka, případně právní konzultace).
2. Pokud ano, zaregistrujte se u NÚKIB s informací o aktuálním stavu.
3. Připravte si plán implementace povinností na 6–12 měsíců.

Incident = narušení bezpečnosti s prokázaným dopadem na regulovanou službu (dostupnost, integrita, důvěrnost, finanční ztráta, fyzické nebo společenské dopady). Incident MUSÍTE hlásit NÚKIB ve lhůtách 24h/72h/1 měsíc.

Událost (event) = narušení bezpečnosti bez prokázaného dopadu na regulovanou službu. Událost se nehlásí, ale dokumentujte ji interně.

Hranice není vždy jasná. Naše doporučení: při pochybnostech raději hlásit. Falešný poplach NÚKIB neuškodí; opožděné nebo chybějící hlášení skutečného incidentu může vést k sankci.

Příklady incidentů: ransomware šifrující byť jen části dat, krádež databáze klientů, výpadek služby přes 4 hodiny, neoprávněný přístup k administrátorskému účtu, kompromitace dodavatelského řetězce ovlivňující vaši službu.

Hlášení primárně přes portál NÚKIB, alternativně e-mailem nebo datovou schránkou. NÚKIB má 24/7 hotline pro prvotní notifikaci.

Praktický postup při incidentu:

1. Containment — okamžité kroky k zastavení šíření (izolace systému, deaktivace účtu).
2. Telefonická prvotní notifikace NÚKIB hotline (do 24h).
3. Plné hlášení přes portál v rámci 24h s vyplněným formulářem.
4. Prvotní zpráva do 72h — co se stalo, co je dopadeno, jaké jsou již zjištěné indikátory.
5. Průběžné aktualizace na žádost NÚKIB.
6. Závěrečná zpráva do 1 měsíce — kompletní rozbor, kořenová příčina, opatření k předcházení.

Připravte si dopředu: šablonu s předvyplněnými statickými údaji (IČO, kontakty, sektor), kontaktní matici (kdo volá NÚKIB, kdo právníka, kdo komunikaci), playbooky pro typické scénáře.

Incident týkající se osobních údajů typicky generuje paralelní povinnosti podle ZKB i GDPR souběžně. Lhůty se mírně liší:

• ZKB: early warning ≤ 24h, prvotní zpráva ≤ 72h, závěrečná ≤ 1 měsíc — adresát NÚKIB.
• GDPR: 72 hodin pro ÚOOÚ + „bez zbytečného odkladu" dotčeným subjektům — adresát ÚOOÚ a případně dotčení.

V praxi mějte jeden proces hlášení, který pokrývá obě strany. Sankce se mohou kumulovat — jeden incident = pokuta od NÚKIB i ÚOOÚ.

Pro konkrétní GDPR případ doporučujeme konzultaci se specialistou na ochranu osobních údajů — interakce ZKB × GDPR × NIS2 není vždy intuitivní.

Doporučená priorita pro prvních 90 dnů:

1. Určit MKB nebo odpovědnou osobu a zaregistrovat se u NÚKIB. Bez tohoto kroku ostatní nemá kdo řídit.
2. Gap analýza proti vyhlášce 409/2025 (vyšší) nebo 410/2025 (nižší) — kde stojíte vs. kde máte být. Výstup je seznam priorit.
3. MFA na všech privilegovaných a vzdálených přístupech — největší dopad na bezpečnost s nejnižšími náklady. Cíl: cca 80 % útoků začíná kompromitací hesla.
4. EDR na všech koncových stanicích + automatický alerting na on-call rotaci. Bez detekce nemáte šanci reagovat na ransomware.
5. Zálohy 3-2-1 s offline / immutable kopií a měsíčním testem obnovy. Rozdíl mezi „přežijeme ransomware" a „máme po firmě".
6. Plán reakce na incidenty s kontakty a šablonami hlášení NÚKIB — připraveno před incidentem, ne během něj.

Tohle je úzký úzký základ, který vás dostane do bodu, kdy zvládnete většinu reálných útoků. Zbytek (politiky, audit, supply chain monitoring) je doplnění do 12–18 měsíců.

Formálně se povinnost vztahuje na regulovanou službu a všechna aktiva, procesy a dodavatele, kteří se na jejím poskytování podílí. Ale v praxi je hranice obvykle prostupná — útočník, který kompromituje vaše „nesouvisející" systémy, se obvykle dostane i k regulované službě.

Doporučujeme jeden ISMS pro celou organizaci s tím, že rozsah formálně pokrývá regulovanou službu. Důvody:

• Rozdělení na "regulované" a "neregulované" systémy je nákladné a obvykle se v praxi rozpadá.
• Útočník nerozlišuje — využije nejslabší článek.
• Když budete mít ISO 27001 nebo SOC 2 jako další cíl, je výhodnější stavět širší rozsah od začátku.

Výjimka: pokud máte velmi izolované oblasti (např. R&D laboratoř bez napojení na produkci), můžete je z rozsahu vyloučit a dokumentovat to.

Záleží na velikosti, rozpočtu a dostupné kapacitě. Realistická rozhodovací matice:

• Malá firma do 50 zaměstnanců: outsource všechno — virtuální MKB (CISO-as-a-Service), MDR pro detekci, externí audit. Náklad ~ 200–800k Kč/rok podle rozsahu.
• Střední firma 50–250 zaměstnanců, nižší povinnosti: hybrid — interní odpovědná osoba (IT manažer s rozšířenou rolí, případně virtuální MKB pro odbornost), MDR služba, externí audit ad-hoc.
• Vyšší povinnosti: typicky interní MKB + MSSP/MDR pro 24/7, případně budování interního SOC pokud máte 50+ FTE v IT a > 10M EUR rozpočet na bezpečnost.

Klíčové při výběru externí služby:

• Datová suverenita — kde žijí vaše logy, kdo k nim má přístup.
• Exit strategie — jak rychle a jakým formátem dostanete data zpět při ukončení smlouvy.
• SLA reakce — alert do detekce, detekce do containmentu.
• Detekční pravidla — kdo je píše, jsou specifická pro vaše prostředí, vidíte jejich obsah.

Ne. I když na vás zákon přímo nedopadá, kybernetickou bezpečnost řešit musíte ze tří důvodů:

• Smluvní povinnosti od regulovaných klientů. Pokud vaši klienti spadají pod ZKB, budou po vás požadovat bezpečnostní dotazníky, smluvní DPA, případně audit jejich kritických dodavatelů.
• Jiné regulace — GDPR, eIDAS, telco zákon, případně sektorové regulace (zdravotnictví, finance) mají vlastní bezpečnostní požadavky.
• Reálná hrozba. Ransomware, BEC, krádeže dat zasahují malé firmy stejně jako velké. Náklady na incident jsou pro malou firmu existenční.

Doporučujeme zavést alespoň minimální bezpečnostní standard — viz naše stránka Doporučená minima bezpečnosti nebo přímo Minimální bezpečnostní standard NÚKIB v1.2 (PDF).

Zákon se na vás vztahuje od momentu, kdy splníte kritéria (typicky překročíte velikostní limit). Máte 30 dnů na registraci u NÚKIB od okamžiku, kdy nastane kritérium.

Praktická situace:

• Pokud rostete a blížíte se k 50 zaměstnancům nebo 10 mil. EUR obratu, začněte s implementací 6 měsíců předem — než kritérium splníte. Zákon dopadne den po překročení, povinnosti ne.
• Pokud nastane kritérium nečekaně (M&A, akvizice), kontaktujte NÚKIB sami a domluvte se na realistickém harmonogramu implementace.
• Při změně režimu (z mimo regulace do nižšího, nebo z nižšího do vyššího) uplatňujte stejnou logiku — proaktivní komunikace s NÚKIB.

Pokud naopak klesnete pod kritéria a přestanete být regulovaní, oznámte to NÚKIB a zachovejte zavedená opatření alespoň jako základ. Řeč je o úspoře administrativy, ne o snížení reálné bezpečnosti — útoky se nezmění.