Právo k Ranní Kávě | Praktické dopady zákona o kybernetické bezpečnosti

Advokát Martin Frolík a partner Michal Matějka z PRK Partners diskutují v novém díle podcastu Právo k Ranní Kávě o praktických dopadech zákona o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025. Prvním krokem pro regulované subjekty je určit, zda se na ně zákon vůbec vztahuje, a to nejpozději do 60 týdnů od účinnosti, tedy do konce roku 2025. NUKIB má na svém webu kalkulačku usnadňující toto rozhodnutí. Zákon používá dvě hlavní kriteria: odvětvové (energetika, zdravotnictví, doprava, digitální infrastruktura, potravinářství, věda a výzkum) a kritérium velikosti, které typicky vychází z definice střední firmy s méně než 250 zaměstnanci a obratem do 50 milionů eur. Po registraci na portálu, kterou musí provést oprávněný zástupce pomocí elektronické identity, má subjekt jeden rok na dosažení plné compliance se zákonem.

Během této doby je třeba vymezit osoby odpovědné za kybernetickou bezpečnost, zejména manažera kybernetické bezpečnosti, architekta, garanta aktiv a auditora. Dále je nezbytné zmapovat relevantní aktiva, která budou předmětem bezpečnostních opatření. Tato opatření mají dvě roviny - technickou (vícefaktorová identifikace, zálohování, detekční systémy) a organizační (interní politiky, školení zaměstnanců, smluvní podmínky). Odpovědnost za implementaci nese vedení celé společnosti, nikoli jen IT oddělení. Regulované subjekty musí také prosazovat stejné bezpečnostní standardy u svých dodavatelů a zajistit, aby v jejich smluvách byla povinnost hlásit bezpečnostní incidenty a právo vypovědět smlouvu v případě nedodržování standardů. Pokud dojde k narušení bezpečnosti, musí být incident nahlášen do 24 hodin od zjištění, detailnější zpráva do 72 hodin a závěrečná do jednoho měsíce. Matějka a Frolík zdůrazňují, že kybernetická bezpečnost není jednorázová úloha, ale průběžný proces, který se musí přizpůsobovat měnícím se hrozbám.