Kybernetická bezpečnost pro obce a města: Jaké nové povinnosti přináší zákon

Nový zákon o kybernetické bezpečnosti, který do českého práva zavádí evropskou směrnici NIS2, přináší od podzimu 2025 revoluční změny. Pro vedení měst a obcí to znamená nejen nové povinnosti, ale i přímou osobní odpovědnost a hrozbu likvidačních pokut. V tomto článku získáte jasný přehled o tom, co vás čeká, jaké kroky musíte neprodleně podniknout a jak se efektivně chránit před riziky, která nová legislativa přináší.

Hrozba, která nečeká: Když kybernetický útok ochromí chod města

Představte si běžné ráno na úřadě. Najednou přestanou fungovat e-maily, interní systémy jsou nedostupné a webové stránky města hlásí chybu. Během několika hodin je jasné, že nejde o technickou závadu, ale o cílený kybernetický útok. Data jsou zašifrovaná a útočníci požadují výkupné v řádu milionů korun. Služby pro občany se zastavily. Toto není scénář z filmu, ale realita.

Nový zákon o kybernetické bezpečnosti (NIS2): Co se od 1. listopadu 2025 mění?

Od 1. listopadu 2025 nabývá účinnosti zcela nový zákon o kybernetické bezpečnosti. Nejde o pouhou novelu, ale o kompletní rekodifikaci, která nahrazuje dosavadní právní úpravu a plně implementuje evropskou směrnici NIS2 (Directive (EU) 2022/2555). Cílem je sjednotit a výrazně zvýšit úroveň kybernetické odolnosti napříč klíčovými sektory v celé Evropské unii.

Zákon dramaticky rozšiřuje počet povinných subjektů – z původních zhruba 400 na více než 6 000 organizací v České republice. Klíčovou roli v novém systému hraje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který bude dohlížet na plnění povinností a sloužit jako hlavní komunikační a registrační autorita prostřednictvím svého portálu.

Zásadní změnou je posun od vnímání kybernetické bezpečnosti jako čistě technického problému IT oddělení k jejímu chápání jako strategické priority, za kterou nese plnou odpovědnost vrcholné vedení organizace. Právníci ARROWS se na tuto oblast specializují a jsou připraveni vás celým procesem provést. Pro okamžité řešení vaší situace nám napište na office@arws.cz

Týká se to i naší obce? Kdo přesně spadá pod novou regulaci

Nová legislativa míří přímo i na veřejnou správu. Zákon výslovně stanoví, že mezi regulované subjekty patří obce s rozšířenou působností (ORP). Tyto obce se automaticky stávají poskytovateli regulovaných služeb a jsou zařazeny do takzvaného „režimu nižších povinností“.

Nenechte se však zmást označením „nižší“. I tento režim ukládá jasně definovaný a vymahatelný soubor povinností, jejichž zanedbání povede k přísným sankcím. Ostatní obce (I. a II. typu) sice nespadají přímo pod povinnou regulaci, zákon jim ale doporučuje „přiměřeně zabezpečovat“ své informační systémy. Standardy dané novým zákonem se tak stávají de facto nejlepší praxí pro celou veřejnou správu.

Pojem "přiměřenosti" je právně neostrý a může se stát zdrojem sporů při případné kontrole nebo po bezpečnostním incidentu. To, co se vedení obce může zdát jako přiměřené, nemusí NÚKIB vyhodnotit jako dostatečné. V ARROWS vám pomůžeme nastavit taková opatření, která budou nejen funkční, ale i právně obhajitelná. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Vaše nové povinnosti v praxi: 4 klíčové oblasti, které musíte ovládnout

Pro obce s rozšířenou působností zákon definuje 13 kategorií bezpečnostních opatření. Čtyři z nich jsou však naprosto zásadní a jejich zavedení je povinné pro všechny.14 Pojďme se na ně podívat podrobněji.

Zajišťování kybernetické bezpečnosti (Governance & Management)

Tato oblast představuje základní kámen celého systému. Nejde jen o nákup antivirového programu, ale o zavedení systematického procesu řízení. Musíte vytvořit, schválit a prosazovat interní bezpečnostní politiku a navazující dokumentaci.

Zásadní novinkou je povinnost promítnout bezpečnostní požadavky do smluv s vašimi dodavateli, zejména s poskytovateli IT služeb. Vaše smlouvy musí nově obsahovat jasné klauzule o standardech zabezpečení a odpovědnosti. Celý proces se odborně nazývá řízení kybernetických bezpečnostních rizik a stává se trvalou povinností.

Povinnosti vrcholného vedení (Leadership Responsibility)

Nový zákon klade bezprecedentní důraz na osobní odpovědnost vrcholného vedení. Starostové, místostarostové a radní již nemohou delegovat odpovědnost na IT oddělení. Musí prokazatelně schvalovat bezpečnostní opatření, dohlížet na jejich plnění a zajistit pro ně dostatečné finanční i personální zdroje.

Součástí této odpovědnosti je i povinnost absolvovat školení v oblasti kybernetické bezpečnosti. Cílem je, aby vedení rozumělo rizikům, kterým čelí, a dokázalo přijímat informovaná rozhodnutí. Toto je jeden z klíčových bodů, které bude NÚKIB při kontrolách ověřovat.

Bezpečnost lidských zdrojů (The Human Factor)

Statistiky ukazují, že nejslabším článkem zabezpečení je často člověk. Proto zákon vyžaduje zavedení pravidel pro bezpečné chování uživatelů, včetně silných hesel, a především pravidelné a prokazatelné vzdělávání všech zaměstnanců.

Musíte zajistit vstupní školení pro nováčky i průběžná školení pro stávající zaměstnance, aby dokázali rozpoznat hrozby, jako je například phishing. Součástí systému musí být i postupy pro řešení případů, kdy zaměstnanec pravidla poruší.

Řešení kybernetických incidentů (Incident Response)

I při nejlepším zabezpečení může k incidentu dojít. Proto musíte mít připravený proces, jak na takovou situaci reagovat. To zahrnuje detekci, vyhodnocení závažnosti a samotné řešení kybernetického bezpečnostního incidentu, kterým se rozumí jakékoli narušení bezpečnosti informací ve vašich systémech.

Klíčovou povinností je hlášení incidentů s významným dopadem Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).Pro každý takový incident musíte také vypracovat závěrečnou zprávu. Včasná a správná reakce může výrazně snížit výsledné škody.

FAQ – Právní tipy k zavedení bezpečnostních opatření

1. Musíme opravdu školit i starostu a radní?

Ano, zákon výslovně vyžaduje, aby vrcholné vedení absolvovalo školení v oblasti kybernetické bezpečnosti. Jedná se o klíčový prvek pro prokázání osobní odpovědnosti. ARROWS pro vás a vaše vedení připraví certifikované školení na míru. Pro více informací nás kontaktujte na office@arws.cz.

2. Co přesně znamená "zohlednit bezpečnost v dodavatelských smlouvách"? 

Znamená to, že vaše smlouvy s IT dodavateli musí obsahovat konkrétní klauzule o bezpečnostních standardech, odpovědnosti za incidenty a povinnosti součinnosti. Potřebujete revizi nebo přípravu smluv? Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Čas se krátí: Klíčové termíny, které si musíte zapsat do kalendáře

Nový zákon přináší striktní časový harmonogram, jehož nedodržení bude okamžitě sankcionováno. Přípravy není možné odkládat.

Klíčové termíny jsou dva:

1. Do 60 dnů od účinnosti zákona (tj. nejpozději do konce prosince 2025): Musíte provést takzvanou samoidentifikaci a ohlásit poskytování regulované služby prostřednictvím Portálu NÚKIB.
2. Do 1 roku od doručení rozhodnutí o registraci: Musíte plně implementovat všechna požadovaná bezpečnostní opatření a zavést procesy pro hlášení incidentů.

Tento harmonogram nedává prostor pro váhání. Je nutné začít s analýzou a přípravou implementačního plánu okamžitě. Zmeškání těchto lhůt vás automaticky vystavuje riziku správního řízení.

Rizika a sankce	Jak pomáhá ARROWS
Zmeškání 60denní lhůty pro registraci: Okamžité riziko zahájení správního řízení a uložení pokuty ze strany NÚKIB za nesplnění registrační povinnosti.	Provedení registrace u NÚKIB: Zajistíme za vás kompletní proces samoidentifikace a ohlášení regulované služby, abyste předešli sankcím. Potřebujete pomoc s registrací? Napište na office@arws.cz.
Nesprávná identifikace služeb: Chybná registrace může vést k budoucím sporům s regulátorem a k sankcím za neplnění povinností pro neregistrované, ale regulované služby.	Právní analýza a klasifikace služeb: Posoudíme portfolio vašich činností a bezchybně určíme, které spadají pod regulaci. Chcete jistotu ve vaší klasifikaci? Kontaktujte nás na office@arws.cz.
Zahájení implementace příliš pozdě: Nestihnutí roční lhůty pro zavedení opatření znamená přímé porušení zákona a vystavení se plné výši sankcí.	Příprava implementačního plánu: Vytvoříme pro vás právní a organizační harmonogram implementace, abyste všechny povinnosti splnili včas a efektivně. Spojte se s námi na office@arws.cz a začněte hned.

Osobní odpovědnost a likvidační pokuty: Co hrozí vedení obce při nečinnosti?

Největší změnou, kterou nový zákon přináší, jsou sankce. Ty nejsou jen finanční, ale i osobní. Finanční pokuty mohou dosáhnout až 250 000 000 Kč nebo 2 % z celkového ročního obratu (v kontextu obce se bude jednat o rozpočet), podle toho, která částka je vyšší. Taková pokuta může být pro rozpočet menšího města zcela likvidační.

Ještě závažnější je však nově zavedená osobní odpovědnost členů vrcholného vedení. Pokud NÚKIB shledá, že k závažnému pochybení došlo v důsledku hrubé nedbalosti vedení, může soud na jeho návrh rozhodnout o dočasném pozastavení výkonu řídicí funkce. Pro starostu či radního to může znamenat dočasný zákaz výkonu funkce.

Tato hrozba zásadně mění pohled na kybernetickou bezpečnost. Již se nejedná pouze o ochranu obecního majetku, ale také o ochranu osobní kariéry a reputace každého člena vedení. Investice do kvalitního právního poradenství a zavedení prokazatelných opatření je tak zároveň investicí do osobní právní ochrany. Neváhejte se obrátit na naši kancelář – office@arws.cz, abychom vám pomohli tato rizika efektivně řídit.

Rizika a sankce	Jak pomáhá ARROWS
Únik citlivých dat občanů (např. ze sociálního odboru): Vážné narušení soukromí, riziko žalob od dotčených osob a souběžné řízení s ÚOOÚ (GDPR).	Krizové právní řízení a zastupování: Okamžitě převezmeme komunikaci s úřady (NÚKIB, ÚOOÚ) a připravíme strategii pro minimalizaci právních a finančních dopadů. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Ransomware útok a ochromení služeb úřadu: Zastavení provozu, neschopnost sloužit občanům, obrovské finanční ztráty a tlak na zaplacení výkupného.	Právní podpora při řešení incidentu: Poskytneme právní stanovisko k (ne)placení výkupného, řešíme smluvní povinnosti vůči dodavatelům a pomáháme s dokumentací pro pojišťovnu. Potřebujete právní pomoc v krizi? Kontaktujte nás na office@arws.cz.
Kontrola z NÚKIB a zjištění nedostatků v dokumentaci: Uložení pokuty za neúplné nebo formálně chybné interní směrnice a politiky.	Vyhotovení interních směrnic a dokumentace: Připravíme kompletní sadu bezpečnostní dokumentace, která je v souladu se zákonem a obstojí při kontrole. Chcete mít dokumentaci v pořádku? Napište na office@arws.cz.
Osobní pochybení vedení (např. neschválení rozpočtu na bezpečnost): Zahájení řízení o pozastavení výkonu funkce pro konkrétní členy vedení.	Zastupování ve správním a soudním řízení: Budeme vás osobně zastupovat a hájit vaše kroky, abychom prokázali, že jste nejednali s hrubou nedbalostí. Čelíte osobní odpovědnosti? Spojte se s námi na office@arws.cz.

Kybernetická bezpečnost s mezinárodním přesahem

Ačkoliv se může zdát, že provoz obce je čistě lokální záležitostí, v digitálním světě tomu tak není. Používáte cloudové služby jako Microsoft 365 nebo Google Workspace? Jejich datová centra se často nacházejí v zahraničí, například v Irsku nebo Německu. Spolupracujete s partnerským městem v jiné zemi EU? Vyměňujete si data s mezinárodními dodavateli?

Všechny tyto aktivity mají mezinárodní právní přesah. Jelikož je směrnice NIS2 celoevropská, incident týkající se dat uložených v zahraničí může vyvolat povinnosti nejen podle českého práva, ale i podle legislativy jiného členského státu. Díky deset let budované síti ARROWS International řešíme případy s mezinárodním prvkem na denní bázi a dokážeme zajistit komplexní právní ochranu i za hranicemi České republiky.

Jak vám v ARROWS zajistíme klidné spaní: Komplexní právní podpora pro vaši obec

Plnění nových povinností v oblasti kybernetické bezpečnosti je komplexní úkol, který vyžaduje nejen technické znalosti, ale především precizní právní rámec. V ARROWS chápeme specifika veřejné správy a nabízíme komplexní právní podporu šitou na míru potřebám vaší obce. Naše dlouholeté zkušenosti, kdy se staráme o více než 51 obcí a krajů, 150 akciových společností a 250 s.r.o., jsou pro vás zárukou kvality.

Naše služby zahrnují:

• Přípravu kompletní bezpečnostní dokumentace, včetně interních směrnic a politik, které budou v souladu se zákonem.
• Revizi a přípravu smluv s vašimi IT dodavateli, aby obsahovaly nezbytné bezpečnostní klauzule.
• Odborná školení pro zaměstnance i vrcholné vedení, která splní zákonné požadavky a budou zakončena certifikátem.
• Zastupování při komunikaci a řízení s NÚKIB a dalšími správními orgány.
• Právní konzultace a stanoviska pro prevenci rizik i pro krizové řízení v případě incidentu.

Zakládáme si na rychlosti a vysoké kvalitě. Navíc rádi propojujeme naše klienty, pokud vidíme zajímavé obchodní či rozvojové příležitosti. Nečekejte, až se kybernetická hrozba stane realitou. Spojte se s námi na office@arws.cz a získejte právní řešení na míru, které ochrání vaši obec, vaše občany i vás osobně.

FAQ – Nejčastější právní dotazy k novému zákonu o kybernetické bezpečnosti

1. Jsme malá obec s rozšířenou působností a máme omezený rozpočet. Musíme opravdu plnit všechna tato opatření?

Ano, zavedení čtyř povinných oblastí (řízení bezpečnosti, odpovědnost vedení, bezpečnost lidských zdrojů a řešení incidentů) je ze zákona závazné pro všechny ORP bez ohledu na jejich velikost či rozpočet. Klíčem je princip přiměřenosti u ostatních opatření, jehož nesprávné vyhodnocení je značným právním rizikem. Právní poradenství vám pomůže nastavit opatření efektivně a v souladu se zákonem, což je ve výsledku levnější než čelit pokutám. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz

2. Máme externího IT správce. Není to jeho odpovědnost?

Externí IT správce má provozní odpovědnost definovanou ve smlouvě. Nový zákon však klade konečnou právní a osobní odpovědnost přímo na vrcholné vedení vaší obce. Nemůžete ji smluvně přenést na dodavatele. Je proto klíčové mít smlouvu, která dodavatele zavazuje k plnění standardů vyžadovaných zákonem a definuje jeho součinnost. Pro revizi vašich smluv se na nás obraťte na office@arws.cz.

3. Co se stane, když kybernetický útok přijde od dodavatele? Jsme za to zodpovědní?

Ano, za zabezpečení celého svého dodavatelského řetězce nesete odpovědnost vy. Zákon přímo vyžaduje řízení rizik spojených s dodavateli. Pokud útok proběhne přes systém vašeho dodavatele, budete vyšetřováni vy. Správně nastavené smlouvy a procesy kontroly dodavatelů mohou vaši odpovědnost výrazně snížit, ale nikdy ji zcela nevyloučí. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

4. Jaký je rozdíl mezi "kybernetickou událostí" a "kybernetickým incidentem"?

Zjednodušeně řečeno, „událost“ je jakákoli pozorovaná nestandardní situace ve vašem systému (např. neúspěšný pokus o přihlášení). „Incident“ je až taková událost, která prokazatelně narušila bezpečnost – tedy vedla k poškození, nedostupnosti nebo úniku dat. Hlásit se musí až incidenty s významným dopadem. Správná klasifikace je klíčová. Pro konzultaci nás kontaktujte na office@arws.cz.

5. Může být starosta osobně postižen, i když o IT nic neví?

Ano, jednoznačně. Zákon nestanovuje, že vedení musí být IT experty. Ukládá mu však povinnost péče řádného hospodáře, což v tomto kontextu znamená povinnost se informovat, zajistit si odborné poradenství a vyčlenit adekvátní prostředky na zajištění bezpečnosti. Ignorace problému s odůvodněním "tomu nerozumím" bude pravděpodobně posouzena jako hrubá nedbalost. Pro diskrétní konzultaci se na nás obraťte na office@arws.cz.

6. Naše obec leží v pohraničí a spolupracujeme s partnery v Německu/Polsku. Vztahuje se na nás něco navíc?

Ano. Jakmile sdílíte data přes hranice, vstupuje do hry nejen NIS2, ale i nařízení GDPR v plné síle. Musíte zajistit, aby přenos a zpracování dat odpovídaly evropským standardům na obou stranách hranice. Díky naší mezinárodní síti ARROWS International vám poskytneme právní jistotu i v těchto případech. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.