Poslanecká sněmovna v pátek schválila nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2 do českého právního řádu. Legislativní novinka, jež by měla nabýt účinnosti v červenci 2025, přináší zásadní změny pro tisíce podniků napříč klíčovými odvětvími.

Dále se tématu věnuje Tomáš Kubíček, partner společnosti BDO a vedoucí poradenství v oblasti kybernetické bezpečnosti.

„Okruh regulovaných subjektů se výrazně rozšíří z přibližně 400 na odhadem 6 000 až 10 000 organizací,“ uvádí Tomáš Kubíček z poradenské společnosti BDO. „Na změny by se neměly připravovat pouze firmy přímo spadající do klíčových odvětví, ale i jejich dodavatelé, partneři a technologičtí poskytovatelé. Celý ekosystém bude nově posuzován komplexně,“ doplňuje Tomáš Kubíček.

Nový zákon zavádí povinnost nejen pro velké hráče v energetice, zdravotnictví, dopravě, ICT službách, potravinářství či veřejné správě, ale i pro střední a menší firmy, pokud jsou součástí širší skupiny nebo působí jako klíčoví dodavatelé.

Firmy čekají náročné úkoly: od technických opatření po školení zaměstnanců
Podle Tomáše Kubíčka budou firmy muset zavést komplexní soubor bezpečnostních opatření – technických i organizačních. „Jedná se o zavedení technologií na ochranu sítí a dat, tvorbu interní dokumentace, školení zaměstnanců či definování bezpečnostních rolí a procesů řízení incidentů. Klíčové je také hlášení kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 24 hodin,“ popisuje Tomáš Kubíček.

„Zároveň bude nutné mít připravené krizové scénáře a plány obnovy provozu. Bez nich se firmy v případě incidentu vystavují vysokému riziku provozní paralýzy,“ dodává Tomáš Kubíček.

Firmy se budou muset rovněž registrovat u NÚKIB a absolvovat pravidelné audity bezpečnosti. Včasná příprava tak bude klíčem k bezproblémovému přechodu na novou legislativu.

Investice místo nákladů: bezpečnost jako nutná součást podnikání
Odhady nákladů na dosažení souladu se zákonem se různí podle velikosti a připravenosti jednotlivých subjektů. „U menších a středních podniků odhadujeme jednorázové náklady na několik set tisíc korun, v některých případech až na jednotky milionů. K tomu se přičítají průběžné výdaje na udržování bezpečnostních opatření a školení,“ konstatuje Tomáš Kubíček.

Jak zdůrazňuje, nejde však pouze o splnění regulace, ale o ochranu samotného fungování firem v době narůstajících kybernetických hrozeb.

„Z dlouhodobého hlediska jde o investici do ochrany firemního know-how, obchodních dat i důvěry zákazníků. V digitálním světě je kybernetická bezpečnost obdobou bezpečnostních zámků a pojištění v klasickém světě,“ vysvětluje Tomáš Kubíček.

Rizika nesplnění: pokuty i pozastavení činnosti
Firmy, které novým požadavkům nevyhoví, riskují nejen kybernetické útoky, ale i významné finanční sankce. „Pokuty mohou u subjektů s vyššími povinnostmi dosáhnout až 250 milionů korun nebo 2 % ročního celosvětového obratu. V mírnějším režimu se mohou vyšplhat na 175 milionů korun. V krajních případech hrozí i pozastavení činnosti firmy až na šest měsíců,“ varuje Tomáš Kubíček.

Zákon navíc umožňuje uvalit pořádkové pokuty až do výše 10 milionů korun, a to i opakovaně, pokud firma neplní své povinnosti. „Nejde tedy jen o formální hrozbu, ale o reálné nástroje, které stát může proti firmám využít,“ připomíná Tomáš Kubíček.

Vedle finančních ztrát je zde i hrozba poškození reputace a ztráty důvěry klientů, což může být pro mnoho podniků fatální.

„Firmám doporučujeme začít s přípravami co nejdříve, protože kyberbezpečnostní odborníci a potřebné technologie budou kvůli skokovému nárůstu poptávky na trhu postupně nedostupné. Kdo bude reagovat pozdě, riskuje nejen komplikace s plněním povinností, ale i vyšší ceny služeb,“ varuje Tomáš Kubíček.

Zákon nyní putuje do Senátu a poté za prezidentem. Pokud tímto legislativním procesem projde bez komplikací, měl by nabýt účinnosti v červenci 2025.

(tz)