Zákon o kybernetické bezpečnosti je český předpis, kterým se do národního práva promítají evropská pravidla kybernetické bezpečnosti. Nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, nabyl účinnosti 1. listopadu 2025 a nahradil dřívější zákon č. 181/2014 Sb. Nový zákon transponuje směrnici NIS2 [1], zatímco starší zákon vycházel z původní směrnice NIS. Dohledem nad dodržováním zákona je pověřen Národní úřad pro kybernetickou a informační bezpečnost, tedy NÚKIB [6]. Zákon ukládá dotčeným organizacím řídit rizika, zavést bezpečnostní opatření a hlásit incidenty. Rozsah povinností se odvíjí od významu organizace a vychází z logiky normy pro řízení bezpečnosti informací [2] i rámce pro průmyslové řídicí systémy [3]. Toto heslo vysvětluje pojem a není právním poradenstvím, konkrétní povinnosti vždy posuzujte s odborníkem. Čísla zákonů a lhůty v tomto hesle byly ověřeny na webu NÚKIB.
Zajímavost ze světa
Nový zákon č. 264/2025 Sb. nahradil zákon č. 181/2014 Sb. z roku 2014, který byl historicky první samostatnou českou úpravou kybernetické bezpečnosti a vycházel z původní směrnice NIS. Nový zákon přechází na novější směrnici NIS2.[6]
Co v článku najdete
- Co je zákon o kybernetické bezpečnosti
- Jaký je aktuální stav českého zákona
- Koho zákon o kybernetické bezpečnosti zavazuje
- Jaké povinnosti zákon ukládá
- Jak se hlásí kybernetické incidenty
- Jakou roli má NÚKIB
- Jaký je vztah zákona k NIS2 a GDPR
- Jak se na povinnosti zákona připravit
Co je zákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti je český předpis, který stanoví povinnosti v oblasti ochrany informačních systémů a sítí. Aktuální podobu představuje nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, který nahradil dřívější zákon č. 181/2014 Sb. [6].
Zatímco starší zákon vycházel z původní evropské směrnice NIS, nový zákon transponuje směrnici NIS2 [1]. Pro firmu to znamená, že své povinnosti čte z českého zákona a navazujících předpisů, ne přímo ze směrnice. Dohledem je pověřen NÚKIB [6]. Uvedená čísla zákonů byla ověřena na webu NÚKIB.
Cílem zákona je zvýšit odolnost klíčových služeb proti kybernetickým hrozbám. Týká se organizací, jejichž výpadek by mohl ohrozit fungování státu, ekonomiky nebo bezpečnosti občanů.
Jaký je aktuální stav českého zákona
Aktuálně platí nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025. Tímto dnem skončila éra dřívějšího zákona č. 181/2014 Sb. [6]. Tato informace byla ověřena na webu NÚKIB.
| Předpis | Vychází ze směrnice | Stav |
|---|---|---|
| Zákon č. 181/2014 Sb. | Původní směrnice NIS | Nahrazen novým zákonem |
| Zákon č. 264/2025 Sb. | NIS2 (2022/2555) | Účinný od 1. 11. 2025 |
Zdroj: NÚKIB. nukib.gov.cz (ověřeno webem 2026-05-29).
Pro organizace, které byly povinné už podle staršího zákona, počítá nový předpis s přechodným obdobím. To jim dává čas přizpůsobit opatření novým požadavkům. Přesný režim přechodu vždy ověřujte u NÚKIB nebo u odborníka [6].
Koho zákon o kybernetické bezpečnosti zavazuje
Zákon zavazuje organizace ve vyjmenovaných sektorech podle jejich významu a velikosti. V návaznosti na NIS2 se okruh dotčených subjektů oproti staršímu zákonu rozšířil [1]. Patří sem energetika, doprava, zdravotnictví, digitální služby i část výroby.
Stejně jako směrnice rozlišuje i český zákon mezi přísněji a méně přísně regulovanými subjekty [1]. Zda firma do působnosti spadá, posuzuje podle zákona NÚKIB [6]. Posouzení konkrétní povinnosti je odbornou otázkou a toto heslo ho nenahrazuje.
Jaké povinnosti zákon ukládá
Zákon ukládá dotčeným organizacím zavést a udržovat bezpečnostní opatření, řídit rizika a hlásit kybernetické incidenty [1]. Opatření mají být přiměřená hrozbám a pravidelně přezkoumávaná.
| Oblast povinnosti | Co zahrnuje |
|---|---|
| Řízení rizik | Analýza hrozeb a přiměřená opatření |
| Bezpečnostní opatření | Technická i organizační ochrana systémů |
| Hlášení incidentů | Oznámení závažných událostí dozoru |
| Evidence a role | Odpovědné osoby a dohledatelnost |
Zdroj: Směrnice EU 2022/2555 (NIS2).
Logika opatření odpovídá mezinárodní normě pro systémy řízení bezpečnosti informací, podle které firma rizika identifikuje, snižuje a sleduje [2]. U firem s propojenou výrobou se uplatní i rámec pro průmyslové automatizační a řídicí systémy [3].
Jak se hlásí kybernetické incidenty
Dotčená organizace musí závažný kybernetický incident nahlásit dozorovému orgánu. V Česku přijímá hlášení NÚKIB prostřednictvím svého pracoviště pro zvládání incidentů [6]. Hlášení obvykle probíhá ve fázích, od prvního oznámení po podrobnou zprávu.
Aby firma stihla stanovené lhůty, musí předem vědět, kdo incident vyhodnotí a kdo ho nahlásí. Konkrétní termíny a postup stanoví zákon a prováděcí předpisy, jejich znění ověřujte u NÚKIB [6].
| Fáze řešení incidentu | Co firma dělá |
|---|---|
| Rozpoznání | Zjistí, že došlo k bezpečnostní události |
| Vyhodnocení | Posoudí závažnost a dopad události |
| Hlášení | Oznámí závažný incident dozorovému orgánu |
| Náprava | Odstraní příčinu a obnoví provoz |
Zdroj: Směrnice EU 2022/2555 (NIS2).
Jakou roli má NÚKIB
NÚKIB je Národní úřad pro kybernetickou a informační bezpečnost. Je ústředním správním úřadem pro kybernetickou bezpečnost a dohlíží na dodržování zákona [6]. Vydává prováděcí předpisy, metodiky a varování.
Pro firmu je NÚKIB hlavním kontaktem v oblasti kybernetické bezpečnosti. U něj se hlásí incidenty, od něj pocházejí výklady povinností a u něj firma ověřuje, zda a jak se jí zákon týká [6]. Vlastní řízení dat a přístupů firma řeší ve svém systému, například ve variantě Helios iNuvio.
Jaký je vztah zákona k NIS2 a GDPR
Zákon o kybernetické bezpečnosti je českou transpozicí směrnice NIS2 [1]. Řeší tedy bezpečnost informačních systémů a sítí. To je něco jiného než ochrana osobních údajů, kterou upravuje nařízení GDPR a český zákon o zpracování osobních údajů [4].
V praxi se obě oblasti potkávají. Kybernetický incident totiž může znamenat i únik osobních údajů. Firma tak může řešit povinnosti podle zákona o kybernetické bezpečnosti i podle GDPR zároveň [1] [4]. Podrobnosti směrnice shrnuje heslo NIS2.
Jak se na povinnosti zákona připravit
- Ověřte u NÚKIB nebo odborníka, zda do působnosti spadáte
- Zmapujte data, systémy a kritické procesy firmy
- Posuďte rizika a doplňte chybějící opatření
- Nastavte hlášení incidentů a odpovědné role
- Zaveďte dohledatelnost přístupů a změn v datech
| Krok přípravy | Co firma získá |
|---|---|
| Ověření působnosti | Jistotu, zda se jí zákon týká |
| Mapa dat a systémů | Přehled o kritických informacích |
| Doplnění opatření | Snížení nalezených rizik |
| Dohledatelnost změn | Doložitelnost, kdo s daty pracoval |
Zdroj: ISO/IEC 27001:2022. Systémy řízení bezpečnosti informací.
Oporou je provoz nad jedním informačním systémem s řízením přístupů a evidencí změn. Dohledatelnost toho, kdo a kdy s daty pracoval, usnadňuje řízení rizik i doložení opatření podle normy pro bezpečnost informací [2]. Toto heslo nenahrazuje právní ani bezpečnostní poradenství.
Jak vám NVSP pomůže s compliance
Splnění povinností podle zákona o kybernetické bezpečnosti začíná u přehledu o datech a přístupech. ERP Helios od NVSP drží data firmy v jednom systému s řízením oprávnění a dohledatelností změn, což usnadňuje řízení rizik i doložení opatření. Prohlédněte si nabídku produktů NVSP a proberte, jak vám systém pomůže s přípravou. Posouzení samotné zákonné povinnosti vždy patří odborníkovi na compliance.
Shrnutí
Zákon o kybernetické bezpečnosti je český předpis transponující evropská pravidla. Aktuálně platí nový zákon č. 264/2025 Sb. účinný od 1. listopadu 2025, který nahradil zákon č. 181/2014 Sb. a transponuje směrnici NIS2. Dohledem je pověřen NÚKIB. Zákon zavazuje organizace ve vyjmenovaných sektorech podle významu a velikosti, ukládá řízení rizik, bezpečnostní opatření a hlášení incidentů. Liší se od GDPR, které chrání osobní údaje. Čísla zákonů byla ověřena na webu NÚKIB. Heslo není právní poradenství.
Časté otázky
Jaký zákon o kybernetické bezpečnosti aktuálně platí
Nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, který nahradil zákon č. 181/2014 Sb. [6]. Údaj byl ověřen na webu NÚKIB.
Transponuje český zákon směrnici NIS2
Ano. Nový zákon č. 264/2025 Sb. transponuje směrnici NIS2, starší zákon č. 181/2014 Sb. vycházel z původní směrnice NIS [1] [6].
Kdo dohlíží na dodržování zákona
Národní úřad pro kybernetickou a informační bezpečnost, tedy NÚKIB. U něj se hlásí incidenty a ověřuje působnost zákona [6].
Použité zdroje a literatura
Legislativa EU
[1] Směrnice EU 2022/2555 (NIS2). O opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.
[4] Nařízení EU 2016/679 (GDPR) a zákon č. 110/2019 Sb., o zpracování osobních údajů.
Normy a standardy
[2] ISO/IEC 27001:2022 (česká verze ČSN EN ISO/IEC 27001:2023). Systémy řízení bezpečnosti informací.
[3] IEC 62443. Bezpečnost průmyslových automatizačních a řídicích systémů.
Instituce
[6] NÚKIB. Národní úřad pro kybernetickou a informační bezpečnost. nukib.gov.cz (ověřeno webem 2026-05-29: zákon č. 264/2025 Sb. účinný od 1. 11. 2025, nahradil zákon č. 181/2014 Sb.).