SMĚRNICE NIS2 A ZÁKON O HYBERNETICKÉ BEZPEČNOSTI: NOVÉ POVINNOSTI, NOVÁ ODPOVĚDNOST

Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti. Týkají se nové povinnosti i vaší firmy? Co konkrétně budete muset zavést a jaké důsledky může mít porušení pravidel pro management? V článku si to srozumitelně projdeme.

Co směrnice NIS2 a český zákon o kybernetické bezpečnosti přináší

Směrnice NIS2 nastavuje evropský rámec pro kybernetickou odolnost. Sama o sobě ale přímo společnostem povinnosti neukládá. Ty vyplývají až z české implementace této směrnice, tj. zákona č. 264/2025 Sb., o kybernetické bezpečnosti, a souvisejících vyhlášek.

Dohled pak vykonává český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Nejzásadnější změny, které tyto předpisy přináší, spočívají v:

• rozšíření okruhu regulovaných subjektů,
• povinné registraci těchto subjektů,
• přísnějším režimu řízení rizik,
• zahrnutí managementu do odpovědnosti za kybernetickou bezpečnost společnosti.

Jak zjistit, zda moje firma spadá pod NIS2 a zákon o kybernetické bezpečnosti?

Základem je odpovědět na následující 3 otázky:

1. Poskytujete službu, která spadá pod regulované služby podle zákona a souvisejících vyhlášek?
2. Jak významná je tato služba pro společnost nebo ekonomiku?
3. Splňujete velikostní parametry alespoň středního podniku?

Pokud jste si na všechny výše položené otázky odpověděli „ANO“ a dosud jste povinnostem v oblasti kyberbezpečnosti nevěnovali pozornost, pak doporučujeme raději urychleně vyhledat právní pomoc.

Tzv. regulované subjekty, na které dopadá zákon o kybernetické bezpečnosti, se nacházejí nejčastěji ve finančním sektoru, energetice, zdravotnictví, výrobním průmyslu, IT službách nebo v oblasti digitální infrastruktury.

Pokud jste na výše uvedené otázky odpověděli „NE“, nové povinnosti na vás i tak mohou dopadat. A to zejména, jste-li významným dodavatelem jiného regulovaného subjektu. V takovém případě totiž můžete být k určitým bezpečnostním požadavkům zavázaní smluvně, neboť regulované subjekty mají povinnost zajistit dodržování bezpečnostních požadavků v dodavatelském řetězci.

Registrace do evidence regulovaných subjektů NÚKIB

Pokud společnost splní zákonné podmínky, vzniká jí povinnost provést registraci do evidence regulovaných subjektů NÚKIB.

Nejde přitom o formalitu. Registrace je výchozím bodem pro další dohledové pravomoci a kontrolní mechanismy.

Společnosti, které splňovaly potřebná kritéria, měly povinnost registrovat se u NÚKIB do 31. 12. 2025. Těm, které tak neučinily, nyní hrozí pokuta až do výše 10 milionů korun nebo 2 % jejich celosvětového ročního obratu.

Povinnosti podle nového zákona o kybernetické bezpečnosti

Zákonem stanovené povinnosti jsou postavené zejména na principu řízení rizik. Svým rozsahem se pak liší podle toho, zda regulovaný subjekt spadá pod vyšší, nebo nižší režim povinností. V obou případech byste však měli minimálně:

• identifikovat svá klíčová aktiva a informační systému,
• provést analýzu rizik,
• přijmout technická a organizační opatření,
• nastavit proces hlášení incidentů,
• řídit bezpečnost dodavatelského řetězce,
• vést odpovídající dokumentaci.

Bezpečnostní opatření by však samozřejmě měla odpovídat a být přiměřená povaze a rozsahu podnikání. Jinými slovy, jako menší regionální firma nemusíte nutně mít zabezpečení na úrovni nadnárodní banky.

Právní odpovědnost statutárních orgánů v IT

Jednou z nejdůležitějších novinek, kterou právní úprava přináší, je důraz na právní odpovědnost statutárních orgánů v IT oblasti. Kybernetická bezpečnost se stala přímo součástí péče řádného hospodáře.

Co to v praxi znamená? Mimo jiné to, že už nebude možné, aby se členové statutárního orgánu v případě vzniku škody na straně společnosti z důvodu porušení jeho povinností v oblasti kyberbezpečnosti bránili tím, že se spoléhali na specialisty z IT oboru, protože oni sami znalostmi z oboru kyberbezpečnosti nedisponují.

Členové statutárního orgánu nesou odpovědnost zejména za schválení bezpečnostních opatření, dohled nad jejich plněním, hodnocením rizik a včasným a řádným hlášením incidentů. Krajní osobní sankcí přímo pro člena statutárního orgánu je možnost NÚKIB ho dočasně odstavit z výkonu funkce. Ignorování těchto povinností a rezignace na tuto oblast odpovědnosti tak může mít pro statutáry (a taktéž pro společnost) celkem citelné důsledky.

Co hrozí za nesplnění směrnice NIS2 a zákona o kybernetické bezpečnosti?

Rizika při nesplnění povinností mohou být různá:

• vysoké správní pokuty,
• uložení nápravných opatření ze strany NÚKIB,
• odpovědnost za škodu vůči třetím osobám,
• reputační dopad,
• odpovědnost statutárních orgánů z důvodu porušení péče řádného hospodáře,
• dočasné pozastavení výkonu funkce statutárního orgánu ze strany NÚKIB.

Vedle zákonných sankcí je však třeba také počítat i s určitými obchodními riziky, například nemožností účastnit se veřejných zakázek. Dá se předpokládat, že požadavky na kybernetickou bezpečnost budou stále častěji vídány jako jeden z kvalifikačních požadavků anebo kritérium výběru.

Digitální imunita firmy jako strategická výhoda

Digitální imunitou není pouze odškrtnutí splnění minimálních zákonných povinností. Jde o schopnost dlouhodobě odolávat kybernetickým hrozbám, včas zachytit bezpečnostní incidenty, minimalizovat jejich dopady a rychle obnovit provoz bez zásadního narušení vašeho byznysu. V praxi pak to, jak dobře budete na incident reagovat, může hrát větší roli než samotná skutečnost, že k němu došlo.

Digitální imunita společností stojí na kombinaci správně nastavené právní odpovědnosti, kvalitní smluvní dokumentace, funkčních bezpečnostních procesů a informovaného managementu, který kybernetická rizika aktivně řídí. Toto nastavení pak může i na velmi konkurenčním trhu takové společnosti přinést reálnou konkurenční výhodu.

Nevíte, jak začít? Právní audit kyberbezpečnosti vám napoví

Pokud si nejste jistí, do jakého režimu povinností spadáte, jaké povinnosti se na vás vztahují nebo případně zda vůbec jste regulovaným subjektem, je pro vás nejefektivnějším prvním krokem právní audit od advokáta specializujícího se na kyberbezpečnost.

Právní audit vám

• vyhodnotí, zda vaše firma patří mezi regulované subjekty,
• určí rozsah povinností, které musíte plnit,
• identifikuje slabá místa ve smlouvách a interních firemních předpisech.

A co říct na závěr?

Směrnice NIS2 a zákon o kybernetické bezpečnosti představují zásadní změnu v oblasti řízení rizik. Nejde jen o technickou ochranu systémů, ale o právní odpovědnost, compliance a strategické řízení.

Kybernetická bezpečnost firem dnes už může například ovlivnit i jejich hodnotu, zejména z hlediska její (ne)důvěryhodnosti vůči obchodním partnerům, případně zákazníkům. A právě proto by žádný firemní management neměl otázku kyberbezpečnosti přehlížet.

Pokud si nejste jistí, zda se na vás vztahuje registrace u NÚKIB nebo jaké konkrétní povinnosti musíte splnit, doporučujeme se co nejdříve obrátit na specialisty v oboru. U nás v MACEK.LEGAL vás nezahltíme právní ani technickou hatmatilkou, ale dáme vám srozumitelné a jasné vyjádření. Protože víme, že v byznysu čas rovná se peníze. Obraťte se na nás, jsme tu pro vás.

#bezpečnostníopatření #digitálníimunita #kyberbezpečnost #kybernetickábezpečnost #NÚKIB #odpovědnost #regulovanýsubjekt #směrniceNIS2 #zákonokybernetickébezpečnosti