Počítá nový zákon o kyberbezpečnosti (nZKB) s nějakým minimem a postupným doděláním povinností?
Podle vyhlášek k nZKB (vyhláška č. 409/2025 Sb. a 410/2025 Sb.) existuje nutné minimum výslovně jen v nižším režimu. Podle informací od NÚKIB pro vyšší režim může platit minimum jen u firem, které začínají na zelené louce nebo prokazatelně nemají zdroje. Firmy začínající od nuly ve vyšším režimu musí mít alespoň zmapovaná všechna aktiva regulovaných služeb, analýzu a plán zvládání rizik, BIA či GAP analýzu, prohlášení o aplikovatelnosti a krizový plán. Zbytek pak mohou dodělat v rámci přehledu bezpečnostních opatření, kde bude naplánováno, kdy budou zavedena.
Nižší režim, začíná-li firma od nuly, má nutné minimum v návrhu vyhlášky pro nižší režim. Jde o § 3 odstavec 2 až 6 (zajišťování kyberbezpečnosti) a § 4 (povinnosti vrcholného vedení), § 5 (bezpečnost lidských zdrojů) § 6 (řízení kontinuity činností) a § 10 (řešení incidentů) vyhlášky pro nižší režim. Zbytek opatření lze rovněž dodělat v rámci přehledu bezpečnostních opatření. Vyhlášky jsou už zveřejněny ve sbírce zákonů, můžete si je přečíst.
Není zkrátka důvod panikařit. Vždy je to o projevené snaze. I kdyby to pro začátek byla GAP analýza s reportem a plánem, kdy a jak budete řešit mezery v souladu a bezpečnostní rizika. Pamatujte, že kontrola je sekundární nástroj státu a sankce až krajní možnost. To zásadní je proto na vás: Chcete jen splnit zákonný rámec, nebo budovat skutečně bezpečné podnikání? My v tom máme jasno – chceme firmy chránit, ne jim plnit šanony.