Legislativa ČR - ZoKB
Implementace evropské směrnice NIS2 do českého práva vrcholí novým Zákonem o kybernetické bezpečnosti (264/2025 Sb.). Tento zákon však není izolovaným ostrovem, ale součástí širšího evropského ekosystému.
🧭 Průvodce kybernetickou legislativou 2026
Pro správnou orientaci je nutné chápat vztahy mezi ochranou firem, bezpečností produktů a certifikací:
- Zákon o kybernetické bezpečnosti (ZoKB): Základní kámen pro ochranu firem v ČR. Říká, které firmy musí zavést zabezpečení a hlásit incidenty.
- Akt pro digitály (Nařízení 2024/2690): Specifická a přísnější pravidla pro cloud, MSP a digitální infrastrukturu, která mají přednost před obecnou vyhláškou ZoKB.
- Cyber Resilience Act (CRA): Zaměřuje se na bezpečnost samotných produktů (SW a HW). Bez shody s CRA (značka CE) nesmí být výrobek na trhu EU.
- NCCS a certifikace: Rámec pro to, jak se má certifikovat (např. schéma EUCC), aby byl certifikát platný v celé EU.
Přehled přijaté legislativy ČR
(Stav k 1. 1. 2026)
- 264/2025 Sb. Zákon o kybernetické bezpečnosti – e-Sbírka
- 408/2025 Sb. Vyhláška o regulovaných službách – e-Sbírka
- Vymezuje regulované služby, kritéria významnosti a režimy (vyšší/nižší).
- 409/2025 Sb. Vyhláška o bezpečnostních opatřeních (Režim vyšších povinností) – e-Sbírka
- 410/2025 Sb. Vyhláška o bezpečnostních opatřeních (Režim nižších povinností) – e-Sbírka
- 411/2025 Sb. Vyhláška o bezpečnostních úrovních ISVS – e-Sbírka
- 412/2025 Sb. Vyhláška o bezpečnostních pravidlech pro cloudové služby – e-Sbírka
- 334/2025 Sb. Vyhláška o Portálu NÚKIB a hlášení – e-Sbírka
Checklist povinností (dle ZoKB 2025)
| Požadavek | Relevantní předpis / § | Poznámka |
|---|---|---|
| Identifikace služby | Vyhláška 408/2025 Sb., §§ 1–3 | Určení režimu (vyšší/nižší povinnosti). |
| Registrace u NÚKIB | Zákon 264/2025 Sb., § 4–5 | Povinnost registrovat službu a kontaktní údaje. |
| Bezpečnostní opatření (V) | Vyhláška 409/2025 Sb., §§ 1–27 | Konkrétní technická a organizační opatření. |
| Bezpečnostní opatření (N) | Vyhláška 410/2025 Sb., §§ 1–14 | Zjednodušená sada opatření pro nižší režim. |
| Hodnocení aktiv | Vyhláška 409/2025 Sb., Příloha č. 1 | Identifikace primárních a podpůrných aktiv. |
| Řízení dodavatelů | Zákon 264/2025 Sb., § 13 odst. 5 | Propisování požadavků do smluv (SLA, bezpečnost). |
| Hlášení incidentů | Zákon 264/2025 Sb., § 16 | Povinnost hlásit incidenty do 24 hodin od zjištění. |
| Provozní připravenost | Zákon 264/2025 Sb., § 13 odst. 4 | Termín: do 1 roku od registrace služby. |
Důležité upozornění: Pokud firma poskytuje cloudové služby, MSP nebo spravuje DNS, technické požadavky se neřídí vyhláškou 409/2025 Sb., ale přímo Aktem pro digitály (EU 2024/2690). Více informací naleznete v sekci Akt pro digitály vs. ZoKB.