Home Magazín Spadá vaše firma pod nový zákon o kybernetické bezpečnosti? Možná o tom ani nevíte

Spadá vaše firma pod nový zákon o kybernetické bezpečnosti? Možná o tom ani nevíte

by Press Media
0 comments

Nový zákon o kybernetické bezpečnosti platí od listopadu 2025 a dopadá na tisíce středních firem napříč obory. Řada z nich přitom vůbec neví, že se jich týká, nebo netuší, jak náročná je příprava. Odborníci varují, že času ubývá a odkládání může vedení firem vyjít draho, a to i osobně.

Zákon poprvé dopadá i na běžné střední firmy

Zásadní změnou oproti minulosti je rozšíření okruhu povinných subjektů. Zatímco dřívější pravidla se týkala převážně velkých organizací a kritické infrastruktury, nový zákon zahrnuje také firmy s 50 a více zaměstnanci působící v regulovaných odvětvích.

Mezi ně patří výroba a průmysl, informační technologie, doprava a logistika, zdravotnictví, energetika, potravinářství i vodárenství. Odhaduje se, že jen v takzvaném nižším režimu povinností se nová pravidla dotknou tisíců firem po celé republice.

Většina z těchto podniků nemá vlastní bezpečnostní oddělení a spoléhá na to, že vše vyřeší IT správce. To je ovšem podle odborníků jedna z nejčastějších mylných představ. Kybernetická bezpečnost totiž zahrnuje procesy, lidi i dodavatele napříč celou firmou, nikoli jen technickou stránku provozu.

Odpovědnost nese vedení firmy, hrozí i osobní postih

Nový zákon podle NIS2 výslovně přenáší odpovědnost za splnění povinností na vedení společnosti, tedy na jednatele nebo představenstvo. Tato odpovědnost nejde delegovat na IT oddělení ani na externího dodavatele.

Zákon navíc počítá s osobní odpovědností členů vedení. Při závažném porušení povinností hrozí nejen citelné finanční sankce, ale i dočasný zákaz výkonu funkce člena statutárního orgánu. Právě osobní rovina odpovědnosti je tím, co nový zákon zásadně odlišuje od dřívějších, méně závazných pravidel.

“Nejčastější chybou, kterou u firem vidíme, je odkládání. Vedení často čeká, až je někdo osloví, přestože zákon funguje přesně naopak. Odpovědnost za včasnou přípravu leží na firmě samotné,” vysvětluje Lukáš Vencálek, zakladatel českého nástroje Compligen, který se digitalizací legislativy a regulovaných odvětví zabývá přes sedm let.

Klíčová je dokumentace

Firmy v nižším režimu musí zavést třináct bezpečnostních opatření podle vyhlášky 410/2025 Sb. a k nim připravit odpovídající dokumentaci. Právě dokumentace bývá kamenem úrazu.

Zatímco samotná technická opatření, jako jsou zálohy, správa přístupů nebo vícefaktorové ověřování, mají firmy často zavedená, chybí jim jejich formální zpracování pro případnou kontrolu ze strany NÚKIBu. A právě dokumentace je to, co kontrolní orgán prověřuje jako první.

Dokumentace přitom neslouží jen úřadu. Firmě zároveň poskytuje přehled o aktuálním stavu její kybernetické bezpečnosti a ukazuje IT týmu, na co je potřeba se zaměřit. Připravit ji ručně a bez znalosti vyhlášky je ovšem časově náročné a snadno se v ní chybuje.

Času na přípravu ubývá

Firmy mají na splnění všech povinností dvanáct měsíců od doručení rozhodnutí o registraci u NÚKIB. Kromě toho platí i kratší lhůty. Samoidentifikaci a ohlášení služby je nutné provést do šedesáti dnů od splnění podmínek a kontaktní údaje nahlásit do třiceti dnů od registrace.

Dvanáct měsíců se přitom může zdát jako dostatek času, v praxi ale uteče velmi rychle. Zmapování aktiv, příprava dokumentace, školení zaměstnanců i zavedení technických opatření jsou činnosti, které vyžadují systematický přístup a dostatek času na každý jednotlivý krok.

Řešení, které zvládne i firma bez vlastního experta

Zpracování dokumentace bylo dosud doménou externích konzultantů. Jejich služby se běžně pohybují v rozmezí osmdesáti až dvou set tisíc korun a příprava trvá měsíce. Pro řadu středních firem jde o výdaj, který výrazně zatíží rozpočet.

Na trhu se ale objevují digitální nástroje, které tento proces zásadně zjednodušují. Příkladem je český online průvodce Compligen, který firmu provede tvorbou dokumentace krok za krokem.

Uživatel odpovídá na srozumitelné otázky o své firmě a nástroj z odpovědí vyhodnotí aktuální stav, upozorní na mezery a následně vytvoří kompletní dokumentaci na míru podle vyhlášky.

Celý proces lze zvládnout online a během jednoho odpoledne, bez nutnosti znát legislativu a bez najímání konzultanta. Firma tak získá dokumentaci připravenou pro NÚKIB i pro vlastní IT tým za zlomek obvyklé ceny a času.

“Vytvořili jsme průvodce, který se firmy ptá podobně jako konzultant. Z odpovědí pak celý stav vyhodnotí, doplní, zmapuje a vytvoří dokumentaci. Chtěli jsme, aby soulad se zákonem nebyl výsadou velkých firem s vlastním týmem,” dodává Vencálek. Nástroj navíc obsahuje i AI asistenta, který má vyhlášku nastudovanou a odpovídá na dotazy přímo v průběhu vyplňování.

Co by měly firmy udělat nyní

Odborníci se shodují, že klíčem je nečekat. Prvním krokem je ověřit, zda firma pod zákon vůbec spadá a do jakého režimu patří. K tomu slouží samoidentifikace přes Portál NÚKIBu, kterou si firma provádí sama.

Následně je potřeba dokončit registraci a poté zahájit přípravu dokumentace i zavádění bezpečnostních opatření. Firmy, které začnou včas, mají celý proces výrazně klidnější a vyhnou se zbytečnému stresu i riziku sankcí.

Nový zákon o kybernetické bezpečnosti totiž není jednorázová událost, ale nastavení dlouhodobého systému, který firma bude udržovat i do budoucna. Čím dříve s ním začne, tím lépe.

Další články autora

Leave a Comment

Zpravy Aktualne - gif logo

Zpravodajský magazín Zprávy Aktuálně.cz se nesmazatelně zapsal do historie české žurnalistiky jako z prvních ryze online deníků v zemi. Od svého založení v roce 2012 se stal důležitým zdrojem informací pro moderní čtenáře, kteří hledají kvalitní a důvěryhodné zpravodajství.

© PressMedia.net, Praha 4, Publikujeme PR články. Inzerci na webu zajišťuje PlacLa.