Průvodce · ZKB / 264/2025

PRŮVODCE NOVÝM ZKB

Plain-language průvodce zákonem č. 264/2025 Sb. — kdo, co, kdy, jak. Bez paragrafního textu, bez kličkování, bez prázdných slibů. Pokud potřebujete oficiální text, máte odkazy přímo do e-Sbírky.

Co najdete na této stránce

  1. Co je ZKB a proč vznikl
  2. Pro koho zákon platí
  3. Dva režimy: nižší a vyšší povinnosti
  4. Konkrétní povinnosti
  5. Jak se zaregistrovat u NÚKIB
  6. Termíny a co kdy hlásit
  7. Sankce za neplnění
  8. Oficiální zdroje a odkazy

Co je ZKB a proč vznikl

Zákon č. 264/2025 Sb., zákon o kybernetické bezpečnosti (zkráceně „ZKB" nebo „nový ZKB"), je český transponovaný zákon, který do našeho právního řádu zavádí povinnosti vyplývající z evropské směrnice NIS2. Nahrazuje a výrazně rozšiřuje původní zákon č. 181/2014 Sb.

Hlavní rozdíl oproti starému zákonu: výrazně rozšířený okruh subjektů, na které dopadá. Zatímco původní ZKB se týkal především státní správy, kritické infrastruktury a vybraných digitálních služeb, nový ZKB pokrývá ~14 sektorů a tisíce dalších subjektů — od středně velkých výrobních firem přes IT poskytovatele po nemocnice a dopravu.

Cíl je jasný: zvýšit odolnost české ekonomiky a kritických služeb proti kybernetickým útokům. Po vlnách ransomwaru, útocích na nemocnice (Benešov, Brno) a útocích na supply chain (SolarWinds, Kaseya, 3CX) regulátor reaguje rozšířením pravomocí a povinností. ZKB navíc tvrdí povinnosti osobně — jejich nedodržení je trestáno přímo statutárním orgánům, ne jen organizaci jako celku.

Pro koho zákon platí

Zákon platí pro tzv. regulované subjekty — organizace, které poskytují regulovanou službu v rámci jednoho ze 14 sektorů, a zároveň splňují velikostní kritéria.

Pokrývané sektory:

Velikostní kritéria (zjednodušeně):

Vyšší povinnosti — typicky velké subjekty (250+ zaměstnanců nebo obrat >50 mil. EUR) a klíčová infrastruktura bez ohledu na velikost.

Nižší povinnosti — středně velké subjekty (50+ zaměstnanců nebo obrat 10–50 mil. EUR) ve vybraných sektorech.

Některé organizace spadají do regulace bez ohledu na velikost — typicky distributoři elektřiny / plynu, nemocnice s akutní lůžkovou péčí, poskytovatelé veřejné správy nad určitou úrovní.

Jestli na vás zákon dopadá, ověříte v naší kalkulačce nebo v oficiální kalkulačce NÚKIB.

Dva režimy: nižší a vyšší povinnosti

Zákon zavádí dvojstupňovou regulaci. Konkrétní rozsah povinností se liší podle režimu, do kterého spadáte.

Nižší povinnosti

Important entities

Středně velké subjekty ve vybraných sektorech, případně menší kritické subjekty.

  • Řízení rizik a bezpečnostní opatření na základě analýzy rizik
  • Politiky pro bezpečnost informačních systémů
  • Pravidelné školení zaměstnanců
  • Hlášení významných incidentů NÚKIB
  • Zajištění kontinuity činnosti a zálohování
  • Kybernetická hygiena (MFA, šifrování, segmentace)

Sankce do 7 mil. EUR nebo 1,4 % celosvětového ročního obratu (vyšší z částek).

Vyšší povinnosti

Essential entities

Velké subjekty v kritických sektorech a klíčová infrastruktura — energetika, banky, nemocnice, telekomunikace.

  • Vše z nižších povinností + následující:
  • Manažer Kybernetické Bezpečnosti (MKB) jako formální role
  • Architekt kybernetické bezpečnosti
  • Pravidelný bezpečnostní audit (interní i externí)
  • Specifický plán reakce na incidenty s eskalací na statutární orgán
  • Bezpečnostní opatření v dodavatelském řetězci
  • Hlášení v přesných lhůtách (early warning 24h, oznámení 72h, finální zpráva 1 měsíc)

Sankce do 10 mil. EUR nebo 2 % celosvětového ročního obratu (vyšší z částek).

Konkrétní povinnosti — co reálně musíte udělat

Bez ohledu na režim většina povinností spadá do těchto pěti oblastí. Detailní rozsah definuje vyhláška 409/2025 (pro vyšší režim) a 410/2025 (pro nižší režim).

01

Governance a organizace

  • Jmenovaný odpovědný za bezpečnost (MKB nebo ekvivalent)
  • Bezpečnostní politiky schválené vedením
  • Schvalovaný a auditovaný proces řízení změn
  • Pravidelná školení zaměstnanců — víc než jednou ročně
02

Řízení rizik

  • Aktualizovaný registr aktiv s klasifikací (důvěrnost / integrita / dostupnost)
  • Registr rizik podle metodiky NÚKIB s pravidelným přehodnocením
  • Bezpečnostní opatření vázaná na konkrétní rizika (ne jen šablona)
  • Vendor risk — posouzení dodavatelů ICT a třetích stran
03

Detekce a reakce

  • Monitorování bezpečnostních událostí (logy, EDR, SIEM)
  • Incident Response Plán s kontakty 24/7 a eskalační maticí
  • Forenzní připravenost (zachování důkazů, postupy)
  • Hlášení incidentů NÚKIB ve stanovených lhůtách
04

Provoz a hygiena

  • MFA na všech administrativních a vzdálených přístupech
  • Patch management s definovanými lhůtami
  • Zálohy podle pravidla 3-2-1 a pravidelně testovaný restore
  • Segmentace sítě, princip nejmenších oprávnění
05

Kontinuita a obnova

  • Plán kontinuity činnosti (BCP) a obnovy (DRP)
  • Definované RTO/RPO pro klíčové systémy
  • Pravidelné testy obnovy a tabletop cvičení
  • Krizová komunikace — interní i externí

Jak se zaregistrovat u NÚKIB

Pokud zákon dopadá na vaši organizaci, máte povinnost se zaregistrovat v evidenci regulovaných subjektů u NÚKIB. Registrace probíhá elektronicky přes portál NÚKIB a vyžaduje statutární orgán (nebo jím pověřenou osobu) pro podání.

Co budete potřebovat:

Po podání eviduje NÚKIB subjekt a začíná běžet harmonogram plnění povinností. Lhůty pro plnění jednotlivých opatření se odvíjejí od data registrace a od stanovených přechodných období v zákoně.

V této oblasti často poskytujeme podporu — připravíme podklady, doprovodíme při registraci, postavíme s vámi minimální životaschopnou compliance pozici. Pokud to chcete probrat, ozvěte se.

Termíny a co kdy hlásit

Zákon nabyl účinnosti v průběhu roku 2025. Pro různé povinnosti platí různé lhůty.

Po identifikaci
Registrace u NÚKIB
Bez zbytečného odkladu po zjištění, že podléháte regulaci.
Do 24 hodin
Early warning při významném incidentu
První notifikace NÚKIB se základním popisem dopadu.
Do 72 hodin
Oznámení o incidentu
Strukturované oznámení s aktuálním stavem, dosavadní reakcí, dopady.
Do 1 měsíce
Finální zpráva o incidentu
Postmortem — co se stalo, jak jste reagovali, jaká přijatá opatření.
Periodicky
Aktualizace registrů a politik
Registr aktiv, registr rizik, politiky — pravidelná revize, typicky ročně.

Sankce za neplnění

Sankce v ZKB jsou pojaté přísně — mimo jiné s dopadem na statutární orgán osobně. Nelze je „odhodit" jen na firmu.

Vyšší režim

10 mil. EUR nebo 2 % celosvětového ročního obratu — vyšší z částek.

Nižší režim

7 mil. EUR nebo 1,4 % celosvětového ročního obratu — vyšší z částek.

Nehlášení incidentu

Specifická sankce mimo výše uvedené — za zatajení nebo opožděné hlášení.

Odpovědnost statutárního orgánu

NÚKIB může uložit povinnost odvolat člena statutárního orgánu za prokazatelné porušení povinností.

Praktický pohled: pokuta v plné výši se uloží zřídka — v praxi se nejprve uplatňují nápravná opatření a teprve při opakovaném selhání nebo závažném incidentu sankce. Ale riziko reálně existuje.

Oficiální zdroje a odkazy

Tento průvodce je informativní. Pro autoritativní text se vždy obracejte na oficiální zdroje. K rychlému přehledu jsme připravili také vlastní cheatsheet PDF a interaktivní zákon:

FAQ k novému ZKB (CypherOn) ↗
Časté otázky a odpovědi — pro koho platí, lhůty, sankce, MKB role, hlášení incidentů, GDPR souběh.
Nespadám do regulace — co dál? (CypherOn) ↗
Doporučená minima bezpečnosti pro firmy mimo regulaci — 10 opatření, CIS Controls IG1, minimální standard NÚKIB.
Zákon č. 264/2025 Sb. — interaktivně (CypherOn) ↗
Naše strukturovaná verze s vysvětlivkami u každého paragrafu, vyhledáváním a stickym obsahem.
Vyhláška 409/2025 — vyšší povinnosti (interaktivně) ↗
Konkrétní implementační požadavky pro essential entities — 29 paragrafů, organizační i technická opatření, 6 příloh.
Vyhláška 410/2025 — nižší povinnosti (interaktivně) ↗
Implementační požadavky pro important entities — 15 paragrafů, sloučená opatření, 3 přílohy.
Cheatsheet — vyšší povinnosti (PDF) ↗
2-stránkový kondenzát klíčových povinností pro essential entities. Stačí vytisknout do PDF.
Cheatsheet — nižší povinnosti (PDF) ↗
2-stránkový kondenzát klíčových povinností pro important entities. Stačí vytisknout do PDF.
Zákon č. 264/2025 Sb. v e-Sbírce ↗
Úřední znění zákona o kybernetické bezpečnosti.
NÚKIB portál ↗
Oficiální portál Národního úřadu pro kybernetickou a informační bezpečnost — registrace, hlášení, dokumentace.
Kalkulačka NÚKIB ↗
Oficiální nástroj pro určení regulované služby a režimu.
Směrnice NIS2 (EU) ↗
Evropská směrnice, ze které ZKB vychází.

Related

DALŠÍ
NÁSTROJE

Kalkulačka

Spadá na vás zákon? 30 vteřin a víte.

Otevřít →

Readiness Check

Self-check 12 otázek — jak daleko stojíte od plné shody.

Otevřít →

Zákon interaktivně

Paragrafy 264/2025 s vysvětlivkami, vyhledávání, sticky obsah.

Otevřít →

Vyhláška vyšší

Konkrétní požadavky 409/2025 pro essential entities.

Otevřít →

Vyhláška nižší

Implementační požadavky pro important entities.

Otevřít →

Pomoc s ZKB

Nejste si jistí,
jak začít?

Pokud na vás zákon dopadá a nevíte, kde začít, nebo jste uprostřed implementace a potřebujete external expertise — pomůžeme. Od počátečního assessmentu po dlouhodobý vCISO retainer.

Domluvit konzultaci