Zákon č. 264/2025 Sb. je nový český zákon o kybernetické bezpečnosti, který od 1. listopadu 2025 nahrazuje dosavadní úpravu a přenáší do českého práva evropskou směrnici NIS2. Rozšiřuje okruh povinných organizací z původních stovek na tisíce subjektů a zavádí dva režimy povinností podle závažnosti služby, kterou organizace poskytuje.
Dva režimy: vyšší a nižší
Zákon dělí povinné subjekty do dvou skupin. Pravidla pro každou z nich upřesňují prováděcí vyhlášky NÚKIB.
Vyhláška č. 409/2025 Sb. popisuje vyšší režim. Týká se subjektů, jejichž výpadek by měl rozsáhlý dopad na stát, ekonomiku nebo zdraví obyvatel. Sem patří větší energetika, telekomunikace, bankovnictví, nemocnice nad určitou velikost, poskytovatelé klíčové digitální infrastruktury a podobné organizace. Vyšší režim znamená komplexní systém řízení bezpečnosti informací, pravidelné audity, řízení rizik dodavatelů a přísné lhůty pro hlášení incidentů.
Vyhláška č. 410/2025 Sb. popisuje nižší režim. Dopadá na širší okruh menších, ale stále významných poskytovatelů služeb. Povinnosti jsou proporcionálně mírnější, ale jádro zůstává: zavést bezpečnostní opatření, určit odpovědnou osobu, hlásit incidenty a být schopen svá opatření doložit.
Koho se zákon týká
Nemusíte být v energetice ani v bankovnictví. Mezi nově regulované patří třeba poskytovatelé veřejných správních systémů, vodárny, dopravní podniky, výrobci ve vybraných odvětvích, poskytovatelé cloudu a datových center, část zdravotnictví a řada dalších. O zařazení nerozhoduje pocit, ale objektivní kritéria: typ služby, velikost organizace a počet zaměstnanců nebo obrat.
Klíčová novinka je samoidentifikace. Organizace si musí sama vyhodnotit, zda do působnosti zákona spadá, a pokud ano, zaregistrovat se u NÚKIB ve stanovené lhůtě. Spoléhat na to, že se úřad ozve první, je rizikové.
Co udělat hned
První tři kroky jsou pro většinu organizací stejné.
Zjistěte, zda do zákona spadáte: Projděte si kritéria podle typu služby a velikosti. Pokud si nejste jistí, je to samo o sobě důvod k odborné konzultaci.
Určete režim a odpovědnou osobu: Vyšší nebo nižší režim určuje rozsah povinností. Odpovědnou osobu potřebujete tak jako tak, aby měla agenda jasného vlastníka.
Udělejte analýzu rozdílů: Porovnejte současný stav s tím, co zákon a příslušná vyhláška požadují. Z analýzy rozdílů vznikne konkrétní plán s prioritami a termíny.
Proč to neodkládat
Lhůty běží od účinnosti zákona, tedy od 1. listopadu 2025. Registrace, jmenování odpovědné osoby i zavedení opatření mají své termíny a NÚKIB má pravomoc kontrolovat a sankcionovat. Pokuty se odvíjejí od obratu a mohou dosáhnout milionů korun. Důležitější než hrozba pokuty je ale samotná odolnost: subjekty v působnosti zákona jsou typicky ty, jejichž výpadek skutečně bolí.
V GBH Cyber procházíme s organizacemi přesně tyto kroky. Pomůžeme určit, do jakého režimu spadáte, provedeme analýzu rozdílů proti vyhlášce 409/2025 nebo 410/2025 a navrhneme realistický plán. Penetračním testem nebo auditem pak ověříme, že opatření opravdu fungují, a ne jen vypadají dobře na papíře.
Nevíte, jestli se vás zákon týká? Domluvte si nezávaznou konzultaci a projdeme to společně.