Zákon č. 264/2025 Sb. o kybernetické bezpečnosti
Zákon č. 264/2025 Sb. je nový český zákon o kybernetické bezpečnosti účinný od 1. listopadu 2025. Transponuje evropskou směrnici NIS2, zavádí kategorii poskytovatele regulované služby a dva režimy povinností, vyšší a nižší. Dozor vykonává NÚKIB a lhůty pro registraci i zavedení opatření už běží.
Spolu se zákonem platí prováděcí vyhlášky číslo 409/2025 Sbírky pro vyšší režim a číslo 410/2025 Sbírky pro nižší režim. Říkají, jak musí organizace chránit data, počítače a systémy před útoky, a stanovují desítky konkrétních bezpečnostních opatření. Za jejich nedodržení hrozí sankce až 7, respektive 10 milionů eur.
- 1. 11. 2025 zákon číslo 264/2025 Sbírky je účinný, lhůty pro registraci a opatření už běží
- 409 a 410/2025 prováděcí vyhlášky pro vyšší (409) a nižší (410) režim
- až 7 a 10 mil. EUR horní hranice sankcí podle závažnosti a režimu
- NIS2 a NÚKIB transpozice evropské směrnice NIS2, dozor vykonává NÚKIB
Komu se zákon 264/2025 týká
Zákon se týká poskytovatelů regulovaných služeb v určených odvětvích nad prahové hodnoty, které se odvíjejí od velikosti organizace a kritičnosti služby. Pokud si zařazením nejste jistí, posouzení dopadu zjistí, zda a do jakého režimu spadáte.
| Klient | Režim podle velikosti |
|---|---|
| Nemocnice, klinika, ambulance | Velká organizace vyšší, jinak nižší |
| Domovy důchodců poskytující zdravotní péči | Velká organizace vyšší, jinak nižší |
| Vysoká škola | Velká organizace vyšší, jinak nižší |
| Obecní úřad, kraj | Velký úřad vyšší, jinak nižší |
| Ministerstvo, ústřední orgán státní správy | Vždy vyšší |
| Telekomunikace, DNS, eIDAS, cloud | Velký poskytovatel vyšší, jinak nižší |
| Firma v Příloze I (vyšší dopad) | Velká vyšší, střední nižší |
| Firma v Příloze II (nižší dopad) | Vždy nižší |
Velikost podniku, orientačně
- Velký podnik: 250 a více zaměstnanců nebo roční obrat nad 50 milionů eur.
- Střední podnik: 50 až 249 zaměstnanců nebo roční obrat 10 až 50 milionů eur.
- Malý a mikropodnik: méně než 50 zaměstnanců a roční obrat pod 10 milionů eur.
Příloha I (vyšší dopad)
energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, ICT služby, veřejná správa, vesmír.
Příloha II (nižší dopad)
poštovní a kurýrní služby, odpady, chemie, potraviny, výroba (elektronika, stroje, vozidla, zdravotnické prostředky), digitální poskytovatelé (online tržiště, vyhledávače, sociální sítě), výzkum.
Vyšší versus nižší režim
Oba režimy se liší rozsahem bezpečnostních opatření, povinnými rolemi, rozsahem hlášení incidentů a horní hranicí sankcí. Nižší režim řídí vyhláška 410/2025, vyšší režim přísnější vyhláška 409/2025.
| Položka | Nižší režim | Vyšší režim |
|---|---|---|
| Manažer kybernetické bezpečnosti | Povinně | Povinně |
| Architekt a auditor kybernetické bezpečnosti | Dobrovolně | Povinně |
| Nezávislý audit | Dobrovolně | Povinně |
| Rozsah bezpečnostních opatření | Méně rozsáhlý, základní soubor opatření | Širší a přísnější soubor opatření |
| Hlášení incidentů NÚKIB | Jen významné incidenty | Všechny incidenty |
| Horní hranice sankce | Až 7 milionů eur nebo 1,4 % obratu | Až 10 milionů eur nebo 2 % obratu |
| Prováděcí vyhláška | Vyhláška číslo 410/2025 Sbírky | Vyhláška číslo 409/2025 Sbírky |
Klíčové termíny a lhůty
Lhůty běží od data účinnosti 1. listopadu 2025 a jdou sekvenčně po sobě. Přesné kalendářní termíny se odvíjejí od data účinnosti a od data doručení rozhodnutí NÚKIB o registraci.
-
Samoidentifikace přes portál NÚKIB
do 60 dní od data účinnosti (1. listopadu 2025)
Organizace si přes portál NÚKIB sama vyhodnotí a ohlásí, zda spadá pod regulaci a do jakého režimu. Pokud si zařazením nejste jistí, řeší to posouzení dopadu zákona.
-
Doručení rozhodnutí NÚKIB o registraci
typicky do 30 až 60 dní podle správního řádu
NÚKIB potvrdí registraci poskytovatele regulované služby. Od doručení tohoto rozhodnutí běží další lhůty.
-
Hlášení kontaktních údajů odpovědných osob
do 30 dní od doručení rozhodnutí
Organizace nahlásí kontaktní a odpovědné osoby, typicky manažera kybernetické bezpečnosti a jeho zástup.
-
Zavedení bezpečnostních opatření a hlášení incidentů
do 1 roku od doručení rozhodnutí
Organizace zavede povinná bezpečnostní opatření podle svého režimu a začne hlásit incidenty. Zavedení desítek konkrétních opatření je nejnáročnější krok, proto je dobré začít včas.
Týká se vás bezpečnost, i když nespadáte pod zákon
I když pod regulaci přímo nespadáte, dobrovolné zvýšení odolnosti se vyplatí. Pomáhá s kyberpojistkou, s požadavky odběratelů a hlavně s obranou před reálným útokem.
-
Kyberpojistka
Pojišťovny stále častěji požadují doložený audit jako podmínku pro uzavření kyberpojistky, snížení pojistného a hladké plnění z pojistné události.
-
Veřejné tendry a smluvní řetězce
Regulované subjekty přenášejí bezpečnostní požadavky na své dodavatele a odběratele. Doložený audit otevírá lepší zakázky a buduje důvěru.
-
Reálné riziko útoku
Ransomware, phishing a úniky dat zasahují i organizace mimo regulaci. Audit odhalí slabá místa dřív, než je najde útočník, a chrání před sankcemi i reputační škodou.
Jak vám GBH pomůže se zákonem 264/2025
Provedeme vás od prvního posouzení až po doložené opatření. Zjistíme zařazení, ověříme reálný stav a připravíme vaše lidi.
-
Audit kybernetické bezpečnosti
Zjistíme, zda a do jakého režimu spadáte, kde máte mezery a co musíte splnit a do kdy. Posouzení dopadu zákona od 2 900 Kč, navazuje gap analýza a plán implementace.
Více o službě -
Penetrační testy
Řízený útok na vaše aplikace, sítě a Wi-Fi prověří, zda zavedená opatření skutečně drží. Najdeme zranitelnosti dřív než útočník a ukážeme, jak je opravit.
Více o službě -
Školení kyberbezpečnosti
Lidé jsou první linie obrany a zákon počítá s jejich povědomím. Praktické školení s cvičným phishingem, certifikáty a příručkou.
Více o službě
Checklist připravenosti na zákon 264/2025
Nechte si zdarma poslat přehledný checklist, který vás provede povinnostmi nového zákona o kybernetické bezpečnosti. Zjistíte, co a do kdy musíte stihnout, a získáte náskok dřív, než vám začnou utíkat lhůty.
- Krok za krokem, co a do kdy musíte podle zákona 264/2025 splnit
- Lhůty pro samoidentifikaci, registraci a zavedení opatření na jednom místě
- Přehled povinných rolí a opatření pro vyšší i nižší režim
- Na co se zaměřit jako první, aby vám neutekly nejbližší termíny
Pošleme vám checklist na e-mail do 1 pracovního dne. Žádný spam, jen co potřebujete k přípravě.
Spadáte pod zákon 264/2025?
Odpovězte na pár otázek a získejte nezávazný orientační výsledek. Nejde o právní poradenství ani závazné zařazení, jen o první vodítko. Jistotu dá posouzení dopadu zákona.
Nástroj slouží jen jako nezávazný orientační indikátor, nejde o právní poradenství ani závazné zařazení. Definitivní zařazení do režimu potvrdí posouzení dopadu zákona od našich auditorů.
Časté dotazy k zákonu 264/2025
Stručné odpovědi na to, na co se nás organizace ptají nejčastěji. Pokud tu nenajdete svou otázku, ozvěte se a rádi poradíme.
- Co je zákon č. 264/2025 Sb.?
-
Je to nový český zákon o kybernetické bezpečnosti, který je účinný od 1. listopadu 2025. Transponuje evropskou směrnici NIS2, zavádí jednotnou kategorii poskytovatele regulované služby a dva režimy povinností, vyšší a nižší. Dozor nad ním vykonává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
- Od kdy zákon 264/2025 platí a kdy musím něco udělat?
-
Zákon je účinný od 1. listopadu 2025 a lhůty běží od tohoto data sekvenčně. Nejprve je samoidentifikace přes portál NÚKIB do 60 dní, poté přijde rozhodnutí o registraci, do 30 dní od něj se hlásí odpovědné osoby a do 1 roku od něj musí být zavedena bezpečnostní opatření a zahájeno hlášení incidentů.
- Jaký je rozdíl mezi vyšším a nižším režimem?
-
Liší se rozsahem povinností. Nižší režim podle vyhlášky 410/2025 má základní soubor opatření, povinného manažera kybernetické bezpečnosti, hlásí jen významné incidenty a sankce sahá až do 7 milionů eur. Vyšší režim podle vyhlášky 409/2025 má širší a přísnější opatření, navíc povinného architekta a nezávislého auditora, hlásí všechny incidenty a sankce sahá až do 10 milionů eur.
- Jak poznám, jestli pod zákon 264/2025 spadám?
-
Zařazení závisí na odvětví podle Přílohy I nebo II, velikosti organizace a kritičnosti služby. Orientačně to ukáže náš nástroj Spadáte pod 264/2025 na této stránce. Závazné zařazení potvrdí posouzení dopadu zákona, které u nás pořídíte od 2 900 Kč.
- Jaké hrozí sankce za nedodržení zákona 264/2025?
-
Horní hranice pokuty je až 7 milionů eur nebo 1,4 % obratu v nižším režimu a až 10 milionů eur nebo 2 % obratu ve vyšším režimu, podle závažnosti porušení. Dozorovým orgánem je NÚKIB.
- Týká se mě zákon, i když nespadám pod regulaci?
-
Přímo možná ne, ale dobrovolné zvýšení odolnosti se vyplatí. Pojišťovny stále častěji požadují doložený audit pro kyberpojistku, regulované subjekty přenášejí bezpečnostní požadavky na své dodavatele a odběratele a ransomware i phishing zasahují organizace bez ohledu na regulaci.
- Co je posouzení dopadu zákona a kolik stojí?
-
Je to rychlé nezávislé posouzení, které vyhodnotí, zda pod regulaci spadáte, v jaké úrovni a co reálně musíte splnit. Pořídíte ho od 2 900 Kč bez DPH, v případě navazující gap analýzy nebo plánu implementace je zdarma. Pomůžeme i s přihlášením a komunikací s NÚKIB.
Nečekejte, až vám utečou lhůty
Zjistíme za vás, zda a v jakém režimu pod zákon 264/2025 spadáte
Začněte posouzením dopadu zákona od 2 900 Kč. Vyhodnotíme zařazení, ukážeme mezery a navrhneme konkrétní další krok. Úvodní konzultace je nezávazná a zdarma.
Ozveme se do 1 pracovního dne
Napište nám, co řešíte. Doporučíme další krok a navrhneme nezávaznou konzultaci.