Stránky o kybernetické bezpečnosti

Průvodce kyb. legislativou ČR v roce 2026

Jak do sebe vše zapadá?

V roce 2026 se evropská kybernetická legislativa stala komplexním ekosystémem. Už nestačí sledovat pouze jeden zákon. Aby firma byla v souladu („compliant“), musíte rozumět vztahům mezi ochranou subjektů, bezpečností produktů a certifikací.

Tento průvodce pomůže zorientovat se v „bruselské mozaice“ kybernetické bezpečnosti.

pruvodceKB%20leg2026

1. Tři pilíře digitální bezpečnosti

Současnou regulaci lze rozdělit do tří hlavních směrů podle toho, co chrání:

Pilíř I: Ochrana organizací (Subjekty)

  • NIS2 (Směrnice EU 2022/2555): Základní kámen. Říká, které firmy (střední a velké) musí mít zabezpečení a hlásit incidenty. eu-legislativaV ČR implementováno Zákonem o kybernetické bezpečnosti (264/2025 Sb.).
  • Směrnice o odolnosti kritických subjektů (Critical Entities Resilience Directive, EU 2022/2557) - CER: Zaměřuje se na fyzickou bezpečnost (ochrana budov, napájení) kritické infrastruktury.eu-legislativa
  • Akt pro digitály (Nařízení 2024/2690): Specifická a přísnější pravidla pro cloud, MSP a digitální infrastrukturu.eu-legislativa

Pilíř II: Bezpečnost výrobků (Produkty)

  • Cyber Resilience Act (CRA - 2024/2847): První zákon, který řeší bezpečnost samotného softwaru a hardwaru. Pokud výrobek nemá „CE“ značku shody s CRA, nesmí se v EU prodávat.eu-legislativa
  • Nařízení 2025/2392: Technický výkladový klíč, který definuje, do jaké rizikové třídy váš produkt spadá.eu-legislativa

Pilíř III: Důvěra a standardy (Certifikace)

  • Cybersecurity Act & NCCS: Rámec pro to, jak se má certifikovat.
  • EUCC: Konkrétní schéma pro certifikaci IT produktů, které uznávají všechny státy EU.

2. Praktický příklad: Jak se vás to dotkne?

Představte si, že jste poskytovatel cloudových služeb:

  1. Jako firma jste „Důležitým subjektem“ dle ZoKB. Musíte mít zaveden ISMS a hlásit incidenty NÚKIBu.
  2. Protože jste cloud, neřídíte se českou vyhláškou, ale Aktem pro digitály (2024/2690), který vám dává přísnější limity pro hlášení (např. výpadek nad 12 hodin).
  3. Pokud pro svůj cloud vyvíjíte vlastní aplikaci nebo prodáváte vlastní routery, musíte pro ně získat certifikaci dle CRA.
  4. Aby zákazníci věřili vašemu cloudu, necháte si ho certifikovat podle evropského schématu EUCC/EUCS.

3. Časová osa – co sledovat v roce 2026?

Rok 2026 je rokem „ostrého startu“ pro reporting:

  • Leden 2026: Většina subjektů pod ZoKB již musí mít hotovou GAP analýzu a implementovat opatření dle příslušných Vyhlášek.
  • Září 2026: Začíná platit povinné hlášení zranitelností u produktů podle CRA.
  • Průběžně: Sledujte vydávání nových harmonizovaných norem (EN), které budou jedinou cestou, jak prokázat shodu bez drahých auditů.

Tip na závěr: Kybernetická bezpečnost už není IT problém, ale právní a obchodní podmínka. Produkty a firmy bez prokazatelné shody s těmito předpisy budou po roce 2027 vytlačeny z trhu EU.

Back to Top