Zákon o kybernetické bezpečnosti prošel Sněmovnou: co čeká firmy, stát a dodavatele

Poslanecká sněmovna 25. dubna ve třetím čtení schválila vládní návrh zákona o kybernetické bezpečnosti (sněmovní tisk 759). Pro předlohu hlasovalo 159 ze 165 přítomných poslanců, nikdo nebyl proti. Norma nyní míří do Senátu a po jeho souhlasu k podpisu prezidenta.

Česko se tak konečně přiblížilo implementaci směrnice NIS2. Zákon:

• rozšíří povinnosti kybernetické bezpečnosti na zhruba 6 000 subjektů,
  
• zakotví kolektivní zákaz rizikových dodavatelů,
  
• nabude účinnosti první den třetího kalendářního měsíce po vyhlášení, takže podnikům zůstane několik měsíců na přípravu.
  

Proč je zákon důležitý

• Převádí NIS2 do českého práva. EU požaduje, aby pravidla platila od 17. října 2024; Česko termín nestihlo, a proto musí nová úprava začít fungovat co nejdříve.
  
• Rozšiřuje okruh regulovaných subjektů ze stovek na přibližně 6 000 firem a institucí – od energetiky přes banky až po velké e-shopy.
  
• Ukládá povinnosti řídit rizika, hlásit incidenty a prověřovat dodavatelské řetězce. V nejzávažnějších případech hrozí pokuty až 10 milionů € nebo 2 % celosvětového obratu.
  

Co to znamená v praxi

1. Které firmy se týkají nové povinnosti? Typicky podniky s > 50 zaměstnanci nebo obratem nad 10 mil. € v regulovaných odvětvích.
   
2. Co je potřeba udělat teď hned?
   
   • Zmapovat požadavky zákona.
     
   • Pro­vést gap-analýzu vůči NIS2.
     
   • Nastavit procesy řízení rizik, hlášení incidentů a due-diligence dodavatelů.
     
3. Dodavatelské řetězce pod drobnohledem. Pokud vláda na návrh NÚKIBu označí výrobce za rizikového, kritické subjekty musí jeho technologie odepsat nebo je vůbec nepořizovat.
   
4. Času je víc, ale ne nazbyt. Reálně lze počítat se startem v druhé polovině roku 2025 – na implementaci zbývají spíše měsíce.
   

Co nakonec neprošlo

• Povinné hostování dat výhradně v EU – zamítnuto.
  
• Další zužování okruhu regulovaných subjektů – zamítnuto.
  
• Pevné omezení vládních pravomocí jen na nejkritičtější aktiva – částečně přijato, kabinet si však může působnost rozšířit nařízením.
  

Náš pohled

Už v únoru jsme varovali, že „vykostěný“ zákon by nechal kritickou infrastrukturu otevřenou útokům. Schválená verze naštěstí klíčové prvky zachovala: prověřování dodavatelů i rozšíření povinností na tisíce firem. Škoda je, že prošlo nelogické zúžení mechanismu prověřování dodavatelského řetězce jen do nejkritičtějších částí infrastruktury. Budeme dál sledovat projednávání v Senátu i praktickou aplikaci vládního práva veta vůči rizikovým dodavatelům.