Rychlé shrnutí pro zaneprázdněné manažery
- Číslo zákona: 264/2025 Sb. – Zákon o kybernetické bezpečnosti
- Vyhlášen ve Sbírce: 4. srpna 2025
- Datum účinnosti: 1. listopadu 2025 (první den třetího kalendářního měsíce po vyhlášení)
- Povinnost registrace u NÚKIB: do 60 dnů od chvíle, kdy splníte kritéria „poskytovatele regulované služby“
- Přechodné období na implementaci opatření: 12 měsíců od potvrzení registrace
- Maximální sankce: až 10 mil. € nebo 2 % ročního obratu
Na první pohled mohou termíny a sankce působit odstrašujícím dojmem. Nový zákon však zároveň přináší příležitost – firmy, které začnou s přípravou hned, získají konkurenční výhodu a vyhnou se nákladným zásahům na poslední chvíli. V následujících odstavcích vás stručně provedeme tím, co přesně vás čeká a jak se připravit bez zbytečného stresu.
1. Proč je to důležité právě teď
Dne 4. srpna 2025 byl ve Sbírce zákonů publikován nový zákon o kybernetické bezpečnosti, který transponuje směrnici NIS2 do českého práva. Už nejde o návrh, ale o závazný právní předpis. Tisíce firem – od výrobců a logistických společností až po nemocnice či poskytovatele digitálních služeb – mají před sebou jasné termíny a nové povinnosti.
2. Koho se zákon týká
Zákon se na vás bude vztahovat, pokud splňujete obě následující podmínky:
- Poskytujete „regulovanou službu“ (přesný seznam oborů převzatých z NIS2: energetika, doprava, zdravotnictví, finance, ICT, vesmír, odpadové hospodářství …).
- Jste střední nebo velký podnik (≥ 50 zaměstnanců nebo ≥ 10 mil. € ročního obratu).
Praktické příklady
- Výroba: Střední výrobce autodílů (120 zaměstnanců, 18 mil. € obrat), který dodává komponenty Tier‑1 dodavatelům pro automobilky.
- Zdravotnictví: Regionální nemocnice se 150 lůžky a vlastní laboratoří spravující PACS a LIS systémy.
- ICT: SaaS poskytovatel CRM hostovaný v EU cloudu s 80 zaměstnanci a klientelou po celé Evropě.
- Doprava: Spediční firma se sítí 200 kamionů a vlastním TMS propojeným s desítkami externích dopravců.
- Energetika: Lokální distributor elektřiny obsluhující 50 000 odběrných míst ve dvou krajích.
TIP – tříminutový self‑check: Vyplňte online dotazník NIS2 Compass v Kraita Cyber One a okamžitě zjistíte, zda pod zákon spadáte.
3. Časová osa: co, kdy a v jakém pořadí
Krok
Kdy začít
Deadline
Registrace u NÚKIB
1. 11. 2025 (den účinnosti)
60 dnů – tedy do 31. 12. 2025 pro firmy, které již kritéria splňují
Zavedení všech bezpečnostních opatření
ihned po registraci
12 měsíců od potvrzení registrace – pravděpodobně leden 2027
Průběžné plnění (incidenty, aktualizace kontaktů)
od registrace
průběžně
⏱️ Timeline na jeden pohled
1. 11. 2025 — zákon nabývá účinnosti
31. 12. 2025 — poslední den pro registraci u NÚKIB
leden 2027 — konec přechodného období a plná povinnost souladu
Co musí být hotové do 60 dnů od začátku listopadu
- Odeslat registrační formulář (vzor připravuje NÚKIB) se základními údaji o firmě a odpovědné osobě.
- Zavést proces pro hlášení kybernetických incidentů (prvotní hlášení do 24 h).
Co musí být hotové do jednoho roku
- Inventarizace a klasifikace aktiv (systémy, data, procesy).
- Analýza rizik a vypracování bezpečnostní politiky.
- Nasazení klíčových technických opatření (MFA, zálohování, patch‑management, monitoring …).
- Školení zaměstnanců a nastavení procesů pro dodavatelský řetězec.
4. Praktický check‑list „bez byrokracie“ – a jak vám s tím pomůže Kraita Cyber One
1. Zjistěte, jestli se vás zákon týká
Co to znamená: Nejprve si ověřte, zda na vás nový zákon o kybernetické bezpečnosti dopadá.
Jak pomůže Kraita Cyber One: Funkce Kompas vám během pár minut na základě jednoduchých otázek ukáže, jestli spadáte pod zákon a jaké povinnosti vás čekají.
2. Zmapujte současný stav
Co to znamená: Potřebujete vědět, co už splňujete a co chybí.
Jak pomůže Kraita Cyber One: Automatická GAP analýza porovná váš stav s požadavky zákona a vygeneruje přehlednou zprávu.
3. Určete priority
Co to znamená: Ne všechno musíte řešit hned – začněte u nejdůležitějších opatření (MFA, zálohy, inventář aktiv).
Jak pomůže Kraita Cyber One: Výstup GAP analýzy obsahuje akční plán s priority, takže hned víte, co nejvíc hoří a kde dává úsilí i náklady největší smysl.
4. Vytvořte potřebné směrnice a plány
Co to znamená: Zákon vyžaduje bezpečnostní směrnici, plán řešení incidentů nebo registr rizik.
Jak pomůže Kraita Cyber One: Generátor dokumentů připraví návrhy směrnic a plánů přizpůsobené vaší firmě, takže odpadá psaní od nuly.
5. Proškolte zaměstnance
Co to znamená: Každý zaměstnanec musí vědět, jak se chovat bezpečně; role v IT a vedení potřebují detailnější školení.
Jak pomůže Kraita Cyber One: Vestavěná Kraita Akademie nabízí hotová školení podle rolí. Záznamy se ukládají, takže máte doklad pro kontrolu.
6. Nastavte jasný postup pro hlášení incidentů
Co to znamená: Musíte vědět, kdo a jak nahlásí incident úřadu i uvnitř firmy.
Jak pomůže Kraita Cyber One: Modul incidentů pomůže proces nastavit, vést záznamy a pohlídat zákonné lhůty.
7. Pravidelně ověřujte, že vše funguje
Co to znamená: Testujte zranitelnosti, zálohy, obnovu systémů a odolnost kritických částí firmy.
Jak pomůže Kraita Cyber One: Kraita připomíná termíny testů, navrhne zlepšení a udržuje dlouhodobý přehled o stavu bezpečnosti.
5. Nejčastější otázky (FAQ)
Co když jsem malá firma pod limitem 50 zaměstnanců?
Pravděpodobně se na vás zákon nevztahuje – ale pokud dodáváte kritické služby velkým hráčům, mohou po vás stejně chtít doložení bezpečnostních opatření (tlak dodavatelského řetězce).
Musím se registrovat znovu, pokud jsem už byl pod starým zákonem?
Ano. Nový zákon mění kategorie i rozsah dat, která NÚKIB eviduje, proto proběhne re‑registrace všech subjektů.
Hrozí postih, když se nestihnu registrovat do 60 dnů?
Ano. Zákon umožňuje pokuty v řádu stovek tisíc korun už za nesplnění oznamovací povinnosti.
6. Klíčová slova, která jste právě (možná) hledali
zákon o kybernetické bezpečnosti, NIS2 compliance, registrace NÚKIB, kybernetická bezpečnost pro firmy, nový zákon 264/2025 Sb., jak splnit NIS2