Poslanecká sněmovna v pátek schválila nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2 do českého právního řádu. Legislativní novinka, jež by měla nabýt účinnosti v červenci 2025, přináší zásadní změny pro tisíce podniků napříč klíčovými odvětvími.
„Okruh regulovaných subjektů se výrazně rozšíří z přibližně 400 na odhadem 6 000 až 10 000 organizací,“ uvedl Tomáš Kubíček, partner společnosti BDO a vedoucí poradenství v oblasti kybernetické bezpečnosti. „Na změny by se neměly připravovat pouze firmy přímo spadající do klíčových odvětví, ale i jejich dodavatelé, partneři a technologičtí poskytovatelé. Celý ekosystém bude nově posuzován komplexně,“ doplnil Tomáš Kubíček.
Nový zákon zavádí povinnost nejen pro velké hráče v energetice, zdravotnictví, dopravě, ICT službách, potravinářství či veřejné správě, ale i pro střední a menší firmy, pokud jsou součástí širší skupiny nebo působí jako klíčoví dodavatelé.
Firmy čekají náročné úkoly: Od technických opatření po školení zaměstnanců
Podle Tomáše Kubíčka budou firmy muset zavést komplexní soubor bezpečnostních opatření – technických i organizačních. „Jedná se o zavedení technologií na ochranu sítí a dat, tvorbu interní dokumentace, školení zaměstnanců či definování bezpečnostních rolí a procesů řízení incidentů. Klíčové je také hlášení kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 24 hodin,“ popsal Tomáš Kubíček. „Zároveň bude nutné mít připravené krizové scénáře a plány obnovy provozu. Bez nich se firmy v případě incidentu vystavují vysokému riziku provozní paralýzy,“ dodal.
Firmy se budou muset rovněž registrovat u NÚKIB a absolvovat pravidelné audity bezpečnosti. Včasná příprava tak bude klíčem k bezproblémovému přechodu na novou legislativu.
Investice místo nákladů: Bezpečnost jako nutná součást podnikání
Odhady nákladů na dosažení souladu se zákonem se různí podle velikosti a připravenosti jednotlivých subjektů. „U menších a středních podniků odhadujeme jednorázové náklady na několik set tisíc korun, v některých případech až na jednotky milionů. K tomu se přičítají průběžné výdaje na udržování bezpečnostních opatření a školení,“ upřesnil Tomáš Kubíček.
Jak zdůraznil, nejde však pouze o splnění regulace, ale o ochranu samotného fungování firem v době narůstajících kybernetických hrozeb. „Z dlouhodobého hlediska jde o investici do ochrany firemního know-how, obchodních dat i důvěry zákazníků. V digitálním světě je kybernetická bezpečnost obdobou bezpečnostních zámků a pojištění v klasickém světě,“ vysvětlil Tomáš Kubíček.
Rizika nesplnění: Pokuty i pozastavení činnosti
Firmy, které novým požadavkům nevyhoví, riskují nejen kybernetické útoky, ale i významné finanční sankce. „Pokuty mohou u subjektů s vyššími povinnostmi dosáhnout až 250 milionů korun nebo 2 % ročního celosvětového obratu. V mírnějším režimu se mohou vyšplhat na 175 milionů korun. V krajních případech hrozí i pozastavení činnosti firmy až na šest měsíců,“ varoval Kubíček.
Zákon navíc umožňuje uvalit pořádkové pokuty až do výše 10 milionů korun, a to i opakovaně, pokud firma neplní své povinnosti. „Nejde tedy jen o formální hrozbu, ale o reálné nástroje, které stát může proti firmám využít,“ připomněl Tomáš Kubíček.
Vedle finančních ztrát je zde i hrozba poškození reputace a ztráty důvěry klientů, což může být pro mnoho podniků fatální „Firmám doporučujeme začít s přípravami co nejdříve, protože kyberbezpečnostní odborníci a potřebné technologie budou kvůli skokovému nárůstu poptávky na trhu postupně nedostupné. Kdo bude reagovat pozdě, riskuje nejen komplikace s plněním povinností, ale i vyšší ceny služeb,“ sdělil Tomáš Kubíček.
Zákon nyní putuje do Senátu a poté za prezidentem. Pokud tímto legislativním procesem projde bez komplikací, měl by nabýt účinnosti v červenci 2025.
Zdroj: Redakčně upravená tisková zpráva BDO
