Martin Thienel | 6. 11. 2025
Zákon o kyberbezpečnosti: Co se mění a jak nová nařízení o digitální bezpečnosti ovlivní každého z nás?
Už pár dní platí nový zákon, který zásadně mění pravidla hry v ochraně osobních údajů a kybernetické bezpečnosti. Zákon, který vstoupil v platnost 1. 11. 2025, je reakcí na evropskou směrnici NIS2 a slouží k její implementaci do českého práva. Na první pohled nová pravidla zasáhnou jen firmy a organizace, sekundárně se ovšem dotknou i běžných spotřebitelů. Pocítit to mohou nejen při každodenních nákupech na internetu, ale třeba i při cestách – ať už autem, vlakem, nebo třeba letadlem.
Zákon o kybernetické bezpečnosti reaguje na NIS2
Kybernetické útoky jsou dnes na zcela jiné úrovni než před pár lety. Phishing a další podobné hrozby denně míří na každého z nás a snahám o krádeže dat čelí i firmy všech velikostí a oborů. Proto je třeba na tyto útoky adekvátně reagovat – a právě to si klade za cíl jednotná evropská směrnice NIS2. Ta značně rozšiřuje nejen samotné povinnosti firem, ale také okruh těch, kterých se nařízení týkají. Zatímco dříve platila přísnější pravidla jen pro hrstku firem a organizací klíčových pro chod státu, s novým zákonem sem najednou spadá celá řada firem z více než patnácti odvětví. Od výrobních podniků přes poskytovatele digitálních služeb až po dopravce. Zákon pracuje s pojmem regulovaná služba. To znamená, že jsou definované služby podléhající regulaci, a na jejich poskytovatele se nové podmínky vztahují.
Další změnou je potom odpovědnost firem i za své dodavatele. Dříve firma odpovídala čistě jen za svou činnost, teď už si musí prověřovat celý dodavatelský řetězec a bezpečnost kontrolovat u všech jeho článků. Když už k bezpečnostnímu incidentu i přes všechna opatření přece jen dojde, aktéři musí rychle reagovat. Pryč je poněkud vágní a nejasné „bez zbytečného odkladu“, nový zákon definuje přesné lhůty. První hlášení musí proběhnout do 24 hodin od odhalení incidentu. Pokud firma své povinnosti zanedbá, pak hrozí pokuta. A nutno podotknout, že tentokrát skutečně vysoká. Až 250 milionů Kč nebo až 2 % z čistého celosvětového ročního obratu společnosti, přičemž platí ta vyšší z obou částek. To všechno znamená, že kyberbezpečnost přestává být i pro mnoho menších hráčů „vedlejší“ aktivitou, ale stává se jednou z klíčových priorit.
Firmy čeká spousta práce
Firmy, které nové povinnosti podléhají, musí v první řadě svou regulovanou službu ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost. Následně obdrží rozhodnutí o registraci. Potom už se jich týká povinnost rychlého hlášení kybernetických bezpečnostních incidentů a také postupné zavádění bezpečnostních opatření. Mezi ta patří pravidelná analýza rizik, zavádění krizových plánů a záloh s cílem minimalizovat dopady případného útoku, dále nepřetržitý monitoring potenciálních incidentů, školení zaměstnanců v otázkách kybernetické bezpečnosti, instalace antivirových systémů, šifrovacích zařízení a dalších technických a softwarových opatření nebo také prověřování dodavatelů.
Ceny služeb a produktů mohou růst
Co přesně to všechno bude znamenat pro koncové spotřebitele, to se zatím můžeme jen dohadovat. Přesné dopady nových nařízení budeme znát nejdřív za pár měsíců. Už teď je ale jasné, že zavádění nových opatření bude pro firmy znamenat spoustu peněz. A někdo to bude muset zaplatit. Lze tak předpokládat, že zvýšené náklady se promítnou i do ceny koncových produktů. Třeba v případě letecké dopravy se nařízení týkají jak samotných dopravců, tak i letišť nebo služeb řízení letového provozu. V pomyslném řetězci tak mohou letiště zvýšit ceny za jejich využívání právě dopravcům, kteří navíc sami budou muset implementovat zvýšená bezpečnostní opatření. V konečném důsledku to může vést ke zdražení letenek a doplňkových služeb. A podobné to bude i v případě vlaků, kde se zase zvýšená bezpečnost může projevit na cenách jízdenek.
Větší důraz na kybernetickou bezpečnost se pak přirozeně promítne i do nabídky pojišťoven, kde lze očekávat zvýšený zájem o produkty zahrnující tuto službu. Pojišťovny kybernetická rizika bedlivě sledují už dnes, důraz na pojištění ale zřejmě dál poroste. Nejen v portfoliu firemní klientely, ale i u běžných klientů. Třeba u pojištění aut může vznikat větší tlak na ochranu digitálních komponent vozu, u cestovního pojištění pak třeba na ochranu před situacemi, kdy dopravce bude čelit kybernetickému útoku a nebude možné cestu uskutečnit. To se zase přirozeně může podepsat i na ceně pojištění, byť žádné skokové zdražování zatím není na pořadu dne.
Bezpečná platba online a další digitální produkty
Zdražování je zatím pouze jedním z možných dopadů. Kde ale nejspíš platnost nového zákona pocítíme všichni a poměrně rychle, budou nejrůznější online služby. Ať už platební brány e-shopů, rezervační portály, internetové vyhledávače nebo aplikace umožňující nákup letenek či jízdenek. Poskytovatelé digitálních služeb pod nový zákon rovněž spadají, lze tak očekávat důkladnější ověřování identity, vícefázová ověřování nebo dodatečná opatření zajišťující bezpečnost dat a plateb. U velkých poskytovatelů už jsou tyto kroky takřka standardem, nyní ale zasáhnou i menší weby a platformy, které dosud těžily z benevolentnějšího nastavení systému. Jak přesně je to ovlivní a co všechno to bude znamenat pro zákazníky a běžné spotřebitele, to i v tomto případě zatím zůstává otázkou.