Shrnutí · cheatsheet · nižší povinnosti

NIŽŠÍ POVINNOSTI

Important entities · zákon č. 264/2025 Sb. + vyhláška 410/2025 · k tisku jako PDF

← Zpět na ZKB průvodce
Shrnutí · cheatsheet · nižší povinnosti

Nižší povinnosti

Important entities · zákon č. 264/2025 Sb. + vyhláška 410/2025 · k tisku jako PDF
⚠ Orientační dokument Tento dokument je zjednodušeným informativním přehledem klíčových povinností zákona č. 264/2025 Sb. a vyhlášky 410/2025. Není to závazné právní stanovisko ani úplný výklad zákona. CypherOn je konzultační společnost v oblasti kybernetické bezpečnosti, není advokátní kanceláří — pro právní stanoviska se obracejte na advokáta zapsaného v ČAK. Pro definitivní určení režimu a povinností doporučujeme přímý dotaz na NÚKIB.
Nižší povinnosti Important entities · zákon č. 264/2025 Sb. + vyhláška 410/2025 · k tisku jako PDF

Tento přehled shrnuje klíčové povinnosti subjektů spadajících pod režim nižších povinností. Slouží jako rychlý referenční dokument pro management a IT — ne jako právní výklad.

Pro koho platí

Subjekty z odvětví zařazených do přílohy I a II zákona, které splňují kritéria střední organizace (≥ 50 zaměstnanců NEBO obrat / bilanční suma > 10 mil. EUR), a nesplňují kritéria pro režim vyšších povinností. V některých odvětvích (např. výrobní průmysl, řízené ICT služby) spadá do tohoto režimu i většina středních firem.

Co musíte dělat (5 pilířů — zjednodušený rozsah)

1. Governance & řízení

Určit odpovědnou osobu za kybernetickou bezpečnost (MKB nebo ekvivalent). Mít schválené základní politiky (informační bezpečnost, řízení přístupu, IRP, zálohování). Periodický přezkum politik min. 1× ročně.

2. Řízení rizik & aktiv

Evidence aktiv (alespoň hlavní systémy a data) s vlastníky. Posouzení rizik v základním rozsahu (lze zjednodušená metodika oproti vyšším povinnostem). Aktualizace min. 1× ročně.

3. Bezpečnostní opatření

MFA na vzdálených a admin. přístupech (administrátorská úroveň ideálně FIDO2). EDR na koncových stanicích jako výchozí stav. Patch management s prioritizací KEV / EPSS pro kritické zranitelnosti. Zálohy včetně offline / neměnné kopie a pravidelného testu obnovy. Centrální logování klíčových systémů, retence ≥ 90 dní. Šifrování dat v klidu i v přenosu.

4. Reakce na incidenty

Plán reakce na incidenty s kontakty a postupem hlášení, upozorňování na pohotovostní rotaci (ne jen denní kontrolu). Hlášení NÚKIB: early warning do 24 h, zpráva do 72 h, závěrečná do 1 měsíce (lhůty platí pro oba režimy). Roční přezkum plánu, ideálně tabletop.

5. Lidé & dodavatelé

Základní školení bezpečnostního povědomí zaměstnanců (min. 1× ročně) + phishing simulace. Postup ukončení pracovního poměru (privilegované účty odebrat neprodleně). Posouzení klíčových dodavatelů (smluvní zajištění bezpečnosti, kontrola u kritických ICT služeb, hlášení incidentů u dodavatele).

Administrativní povinnosti

Sankce

Pokuta až do 7 000 000 EUR nebo do 1,4 % celosvětového ročního obratu (vyšší z obou). Vedení nese odpovědnost za zavedení opatření, ale rozsah povinné dokumentace je menší než u vyššího režimu.

Doporučené první kroky (90 dnů)

0–30 dnů
Určit odpovědnou osobu, posoudit nedostatky proti vyhlášce 410/2025, registrovat se u NÚKIB.
30–60 dnů
Základní politiky, evidence aktiv, MFA na klíčových přístupech.
60–90 dnů
Plán reakce na incidenty, audit záloh, kampaň povědomí, smlouvy s dodavateli.

Pomůžeme s implementací

Nejste si jistí,
jak začít?

Pokud potřebujete posoudit vlastní situaci, určit režim, připravit politiky nebo se připravit na audit — domluvte si nezávaznou konzultaci.

Domluvit konzultaci