Zákon o kybernetické bezpečnosti mění pravidla hry: odpovědnost dopadá na vedení, ne jen na CISO
S novým zákonem o kybernetické bezpečnosti přestává být kybernetická bezpečnost záležitostí IT oddělení. Statutární orgány odpovídají osobně — a přechodná lhůta se krátí.
Od 1. listopadu 2025 platí zákon č. 264/2025 Sb. o kybernetické bezpečnosti, který do českého práva transponuje směrnici NIS2. Zákon přinesl zásadní posun v tom, kdo za kybernetickou bezpečnost v organizaci odpovídá — a jak.
Odpovědnost se přesouvá od CISO a IT týmů přímo na statutární orgány. CEO, jednatelé a členové představenstev jsou nově osobně odpovědní za to, zda jejich organizace plní zákonem stanovené požadavky. Nestačí mít jmenovaného manažera kybernetické bezpečnosti a předpokládat, že problém je tím vyřešen. Vedení musí aktivně schvalovat bezpečnostní politiku, zajišťovat dostatečné zdroje a absolvovat školení. Kybernetická bezpečnost se stala agendou boardroom, nikoliv serverovny.
Pro CISO to přináší novou roli: přestat být tím, kdo problémy řeší sám, a stát se tím, kdo vedení připravuje na to, co musí řídit a rozhodovat. To je zásadní posun. CISO dnes tráví energii obhajováním rozpočtu nebo vysvětlováním technických incidentů. Zákon jim nyní dává argument — a povinnost — mluvit s vedením jinak. Bezpečnostní rizika musí být součástí strategického řízení organizace, ne jen interní technické agendy.
Přechodná lhůta, která firmám dávala čas na přípravu, se blíží ke konci. Organizace, které dosud odkládaly implementaci, mají čím dál méně prostoru na manévrování. Zákon přitom rozšiřuje okruh povinných subjektů — nově pod regulaci spadá přes šest tisíc firem a organizací v České republice, tedy mnohonásobně více než dříve. Mnohé z nich dosud neměly ani základní struktury řízení kybernetické bezpečnosti.
Sankce za nedodržení jsou nastaveny tak, aby vedení skutečně zaujaly. Organizace ve vyšším režimu čelí pokutám až 250 milionů korun, případně dvěma procentům z celosvětového ročního obratu — dle toho, která hodnota je vyšší. V nižším režimu je strop 175 milionů korun nebo 1,4 % obratu. Vedle finančních sankcí zákon umožňuje dočasný zákaz výkonu funkce vedení až na šest měsíců. To je nástroj, který dosud v české kybernetické legislativě neexistoval.
Pro CISO, kteří doposud naráželi na nezájem vedení, je zákon zároveň příležitostí. Tam, kde dříve chyběla politická vůle investovat do bezpečnosti, je dnes zákonná povinnost. Argumentem přestávají být hrozby a incidenty; argumentem je zákon a osobní odpovědnost. To je jiný rozhovor.
Prakticky to pro CISO znamená několik kroků. Vedení je třeba informovat o rozsahu povinností, které na ně zákon klade, a zajistit, aby si bylo vědomo rizik spojených s neplněním. Je třeba nastavit pravidelné reportování, které vedení umožní informovaná rozhodnutí — ne technické briefingy, ale přehledy rizik v jazyce, kterému vedení rozumí. A je třeba zdokumentovat, že tato informovanost existuje, protože v případě incidentu nebo kontroly bude prokázání zapojení vedení zásadní.
Zákon č. 264/2025 Sb. nemění jen to, co musí organizace dělat. Mění to, kdo za výsledek odpovídá. CISO, kteří to dokáží využít jako příležitost ke strategickému dialogu s vedením, posílí svoji pozici. Ti, kteří budou čekat, až je vedení samo osloví, mohou čekat dlouho — nebo do první kontroly.
