Nový zákon o kybernetické bezpečnosti: přes tisíc povinných subjektů se dosud neohlásilo
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti je účinný od 1. listopadu 2025, přesto se k 8. únoru 2026 ohlásilo NÚKIB pouze 4 825 z přibližně 6 000 regulovaných organizací. Neohlášené subjekty se vystavují riziku správního řízení se sankcemi až 250 milionů korun – a každý den prodlení toto riziko zvyšuje.
Nový zákon o kybernetické bezpečnosti rozšiřuje okruh regulovaných subjektů zásadním způsobem. Zatímco do 1. listopadu 2025 spadalo pod dohled NÚKIB přibližně čtyři sta organizací (převážně provozovatelé kritické infrastruktury a největší nemocnice), nově se regulace vztahuje na přibližně šest tisíc firem, úřadů, krajů, obcí a dalších subjektů. Kritéria pro zařazení stanovuje vyhláška č. 408/2025 Sb. o regulovaných službách. Typicky jde o středně velké a velké organizace ve 22 odvětvích – od energetiky a vodárenství přes zdravotnictví po zpracování potravin.
Zákon uložil všem dotčeným organizacím, které k 1. listopadu 2025 splňovaly podmínky vyhlášky, povinnost se ohlásit NÚKIB do 31. prosince 2025. K 1. lednu 2026 se ohlásilo přes 4 500 subjektů, tedy přibližně 75 procent z očekávaného počtu. K 8. únoru 2026 pak NÚKIB evidoval 4 825 nahlášených organizací.
Tato čísla naznačují, že přibližně 1 175 subjektů, které zákonem regulovány jsou, svou povinnost dosud nesplnilo. NÚKIB tyto organizace důrazně vyzývá k okamžitému ohlášení. Vedoucí odboru regulace NÚKIB Adam Kučínský upozorňuje, že neohlášené subjekty se již nyní dopouštějí přestupku. Sankce mohou dosáhnout až 250 milionů korun nebo dvou procent čistého celosvětového obratu. Zároveň připomíná, že řešení přestupku může být i mírnější – zejména pokud protiprávní stav netrvá dlouho a existují polehčující okolnosti, může NÚKIB věc vyřešit napomenutím.
Ředitel NÚKIB Lukáš Kintr zdůrazňuje, že cílem úřadu není trestat, ale pomoci všem dotčeným subjektům splnit nové požadavky a posílit bezpečnost České republiky. Organizace, které si nejsou jisty, zda se na ně zákon vztahuje, mohou využít kalkulačku na Portálu NÚKIB. Pro samotné ohlášení je připraven návod i videotutoriál.
Pro ty, kdo se již ohlásili, platí, že po doručení rozhodnutí o registraci od NÚKIB začíná plynout přechodná lhůta jednoho roku pro splnění povinností v oblasti hlášení incidentů a bezpečnostních opatření. Rozsah těchto opatření závisí na zařazení do vyššího nebo nižšího režimu – přibližně tisícovka organizací spadá do přísnějšího vyššího režimu.
Zákon přináší i zcela nové povinnosti: subjekty musí hodnotit rizika u dodavatelů, vést jejich evidenci a hlásit kybernetické incidenty. Stát – prostřednictvím NÚKIB nebo vlády – může nově rozhodnout o omezení nebo zákazu používání konkrétní technologie nebo dodavatele, pokud by jejich využití mohlo představovat bezpečnostní riziko.
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
