Implementace a dopady Nového zákona o kybernetické bezpečnosti (nZKB) k únoru 2026

Nacházíme se v kritickém bodě transformace české digitální ekonomiky. Uplynulo přesně tři a půl měsíce od chvíle, kdy 1. listopadu 2025 vstoupil v účinnost nový zákon o kybernetické bezpečnosti (nZKB), který do českého právního řádu transponoval evropskou směrnici NIS2. Období, které mnozí analytici nazývali „legislativním zemětřesením“, se přehouplo z fáze teoretických diskusí do tvrdé reality implementační praxe.

Zatímco konec roku 2025 byl definován hektickou administrativou spojenou s povinnou samoidentifikací subjektů, první čtvrtletí roku 2026 odhaluje skutečnou hloubku technologického a procesního dluhu, který si české firmy a instituce nesou z minulosti. K dnešnímu dni Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) registruje přes 4 800 organizací, které se ohlásily jako povinné subjekty. Toto číslo, ačkoliv impozantní, představuje pouze vrchol ledovce. Expertní odhady naznačují, že stovky dalších subjektů se stále pohybují v „šedé zóně“ nevědomosti nebo vědomého rizika, čímž se vystavují hrozbě drakonických sankcí a, což je v roce 2026 ještě citelnější, riziku vyloučení z dodavatelských řetězců.

Tento článek se zaměřuje na tři klíčové pilíře, které nyní dominují agendě představenstev:

1. Odolnost dodavatelského řetězce: Jak nový "Supply Chain Toolbox" a smluvní realita přepisují obchodní vztahy.

2. Technická a personální krize: Nedostatek expertů na trhu, mzdová inflace rolí CISO a technické výzvy při implementaci vyhlášek č. 409/2025 Sb. a 410/2025 Sb.

3. Odpovědnost managementu: Posun od formální compliance k reálné trestní a hmotné odpovědnosti vedení firem.

 

1. Legislativní rámec a aktuální stav implementace (Únor 2026)

1.1 Od směrnice NIS2 k české realitě nZKB

Cesta k současnému stavu nebyla přímočará. Směrnice Evropského parlamentu a Rady (EU) 2022/2555 (NIS2) nastavila celoevropský standard, ale teprve česká transpozice v podobě nového zákona o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) dala těmto pravidlům konkrétní, vymahatelnou podobu.

Zákon, účinný od 1. listopadu 2025, přinesl fundamentální změnu paradigmatu. Oproti předchozí úpravě (zákon č. 181/2014 Sb.), kde stát direktivně určoval prvky kritické infrastruktury, nZKB zavedl princip samoidentifikace. Odpovědnost za zjištění, zda organizace spadá pod regulaci, byla přenesena na samotné subjekty.

Lhůta pro toto prvotní ohlášení uplynula 60 dní po účinnosti zákona, tedy na přelomu let 2025 a 2026. Firmy musely provést komplexní analýzu svých služeb, obratu a počtu zaměstnanců, aby určily, zda spadají do režimu vyšších nebo nižších povinností.

Rozdíl mezi režimy: Dvojkolejná bezpečnost

Zákon a prováděcí vyhláška o regulovaných službách (č. 408/2025 Sb.) striktně rozlišují dva režimy, které mají zásadní dopad na nákladovost compliance:

V únoru 2026 se ukazuje, že hranice mezi těmito režimy je často tenčí, než se zdálo. Mnoho firem v dodavatelském řetězci "Important" subjektů je nuceno smluvně plnit požadavky "Essential" režimu, aby si udržely své zakázky.

1.2 Statistika registrací a "Šedá zóna"

K 13. únoru 2026 eviduje NÚKIB více než 4 800 organizací, které splnily svou povinnost a ohlásily se přes Portál NÚKIB. Portál, který slouží jako hlavní komunikační kanál, se stal centrálním nervovým systémem české kyberbezpečnosti.

Varovným signálem je však existence rozsáhlé "šedé zóny". Původní dopadové studie odhadovaly počet povinných subjektů na 6 000 až 10 000. Rozdíl mezi realitou a odhady naznačuje, že tisíce firem buď svou povinnost ignorují, nebo chybně vyhodnotily svá kritéria.

Rizika pro neohlášené subjekty v roce 2026:

1. Sankce: NÚKIB má k dispozici nástroje pro křížovou kontrolu dat z obchodního rejstříku a finančních výkazů. Úřad již v lednu 2026 varoval, že začne aktivně vyhledávat neohlášené subjekty a uplatňovat sankce za porušení informační povinnosti.

2. Retroaktivní povinnosti: Pokud úřad zjistí, že subjekt měl být regulován, bude vyžadovat zpětné plnění povinností, což může firmu v krátkém čase paralyzovat.

3. Reputační smrt: V době, kdy je bezpečnostní compliance veřejně diskutovaným tématem, může být označení za "neposlušný" subjekt důvodem pro ztrátu důvěry investorů a klientů.

1.3 Harmonogram pro rok 2026

Pro subjekty, které se řádně ohlásily, běží v únoru 2026 neúprosný odpočet. Zákon stanovuje lhůtu jednoho roku od doručení potvrzení o registraci na zavedení všech technických a organizačních opatření.

●   Listopad 2025 - Leden 2026: Fáze samoidentifikace a registrace (již uzavřeno).

●   Únor 2026 - Duben 2026: Fáze GAP analýzy a plánování. Firmy musí identifikovat rozdíly mezi svým stavem a požadavky vyhlášek.

●   Květen 2026 - Září 2026: Fáze implementace a nákupů. Nasazování technologií (SIEM, MFA, segmentace) a nábor specialistů.

●   Říjen 2026 - Leden 2027: Fáze auditu a ověřování. Příprava na ostrý start povinností.

Organizace, které v únoru 2026 nemají hotovou GAP analýzu, jsou již fakticky ve skluzu. Trh s bezpečnostními technologiemi a službami je přehřátý a dodací lhůty se prodlužují.

 

2. Aktuální krajina hrozeb: Únor 2026

Abychom pochopili naléhavost implementace nZKB, musíme se podívat na kontext hrozeb, kterým české firmy čelí právě teď. Zpráva NÚKIB o kybernetických incidentech za leden 2026 poskytuje střízlivý pohled na realitu.

2.1 Eskalace incidentů a DDoS útoky

V lednu 2026 zaznamenal NÚKIB celkem 32 významných kybernetických incidentů, což představuje nejvyšší měsíční hodnotu za poslední rok. Tento nárůst jasně koreluje s geopolitickým napětím a rostoucí profesionalizací útočníků.

Dominantním vektorem útoku (téměř 50 % všech incidentů) byly DDoS útoky zaměřené na dostupnost služeb. Tyto útoky, často vedené proruskými hacktivistickými skupinami, již nejsou jen "obtěžováním", ale sofistikovanými operacemi typu "pulse wave", které dokáží zahltit i robustní obranné systémy. Pro firmy v režimu Essential (energetika, doprava) i Important (e-shopy, digitální služby) to znamená nutnost investovat do pokročilých anti-DDoS řešení, která jdou nad rámec běžných firewallů.

2.2 Ransomware a AI hrozby

Ačkoliv leden 2026 nezaznamenal masivní vlnu ransomwaru reportovanou NÚKIB, experti ze soukromého sektoru varují, že jde o klid před bouří. Predikce pro rok 2026 hovoří o nástupu AI-driven ransomware kampaní. Útočníci využívají umělou inteligenci k:

●   Automatizaci vyhledávání zranitelností v infrastruktuře.

●   Vytváření vysoce personalizovaných phishingových emailů (Spear Phishing), které jsou nerozeznatelné od legitimní komunikace, a to i v češtině.

●   Tvorbě deepfake obsahu (audio i video) pro podvody typu "CEO fraud", kdy útočník vydávající se za ředitele firmy autorizuje podvodné platby.

2.3 Zranitelnosti síťových prvků

Specifickým a aktuálním problémem února 2026 je nová vlna útoků na zařízení Fortinet FortiGate. Tato zařízení jsou v českém prostředí extrémně rozšířená jako brány do firemních sítí. Útočníci zneužívají zranitelnosti v neaktualizovaném firmware k průniku do vnitřních sítí.

Tato situace ilustruje klíčový problém nZKB: Řízení zranitelností (Vulnerability Management). Zákon vyžaduje, aby firmy nejen "měly firewall", ale aby měly proces, který zajistí jeho okamžitou aktualizaci při vydání bezpečnostní záplaty. Pro mnoho firem bez dedikovaného IT security týmu je tato reakční doba (často v řádech hodin) nedosažitelná.

2.4 Hlášení incidentů na novém Portálu

Od 1. listopadu 2025 mají povinné subjekty povinnost hlásit incidenty prostřednictvím Portálu NÚKIB. Zkušenosti z prvních měsíců roku 2026 ukazují, že proces je technicky funkční, ale organizačně náročný.

Organizace narážejí na limity v procesech:

●   Detekce: Mnoho firem v režimu nižších povinností nemá nástroje (SIEM/SOC), které by jim řekly, že k incidentu vůbec došlo, dokud není pozdě.

●   Lhůty: Povinnost "včasného varování" do 24 hodin a úplného hlášení do 72 hodin je pro firmy bez non-stop dohledu (24/7) extrémně stresující.

●   Strach z represe: Přetrvává obava, že hlášení incidentu spustí kontrolu NÚKIB. Úřad se snaží komunikovat opak – že hlášení slouží k pomoci a varování ostatních – ale důvěra se buduje pomalu.

3. Detailní analýza povinností: Vyhlášky v praxi

Jádrem compliance v roce 2026 není samotný zákon, ale jeho prováděcí předpisy. Právě zde se láme chleba a zde vznikají největší náklady.

3.1 Vyhláška č. 409/2025 Sb. (Vyšší režim)

Pro subjekty v režimu vyšších povinností představuje tato vyhláška de facto implementaci normy ISO/IEC 27001 s několika specifickými národními požadavky.

Klíčové a bolestivé body implementace:

●   Role Architekta a Auditora kybernetické bezpečnosti: Zákon vyžaduje, aby tyto role byly obsazeny kvalifikovanými osobami, které jsou nezávislé a oddělené od provozu IT. V praxi to znamená, že IT manažer nemůže být zároveň Auditorem. Tento požadavek na "Segregation of Duties" nutí firmy buď nabírat nové drahé experty, nebo role outsourcovat.

●   Kryptografické prostředky: Vyhláška klade důraz na silné šifrování dat v klidu i při přenosu. Pro starší bankovní nebo energetické systémy (Legacy systems) je implementace moderních šifrovacích algoritmů technicky téměř nemožná bez kompletní výměny hardwaru.

●   Kontinuita činností (BCM): Požadavek na testované plány obnovy (Disaster Recovery) nutí firmy budovat záložní datacentra a provádět reálné testy obnovy, což je logisticky a finančně náročné.

3.2 Vyhláška č. 410/2025 Sb. (Nižší režim)

Ačkoliv je tento režim nazýván "nižším", pro běžnou výrobní firmu nebo nemocnici představuje revoluci. Vyhláška definuje 14 organizačních a 11 technických opatření.

Technické pasti nižšího režimu:

●   Multifaktorová autentizace (MFA): Vyhláška vyžaduje MFA pro všechny vzdálené přístupy a privilegované účty. Ve světě IT (admini, VPN) je to standard. Ve světě OT (výrobní linky, zdravotnické přístroje) je zavedení druhého faktoru na ovládacím panelu stroje často technicky neproveditelné nebo to dodavatel stroje zakazuje pod hrozbou ztráty záruky.

●   Síťová segmentace: Oddělení sítí je nutností. Firmy musí investovat do VLAN, firewallem oddělených zón a řízení toků dat. "Ploché sítě", kde každý vidí na každého, jsou v roce 2026 ilegální.

●   Zálohování: Požadavek na "bezpečné zálohování" implikuje ochranu proti ransomwaru, tedy ideálně neměnné (immutable) zálohy nebo offline kopie.

3.3 Cloudové vyhlášky (411/2025, 412/2025, 505/2025 Sb.)

Pro orgány veřejné moci (OVM) a subjekty využívající státní cloud platí navíc specifická regulace cloud computingu. Tyto vyhlášky definují bezpečnostní úrovně cloudu a pravidla pro zápis do katalogu cloud computingu. Pro komerční sféru je to signál, že státní sektor bude vyžadovat od svých cloudových dodavatelů certifikace a soulad s těmito přísnými normami.

 

4. Dodavatelský řetězec: Tichý zabiják byznysu

Pokud bychom měli identifikovat nejvýznamnější ekonomický dopad nZKB v únoru 2026, není to pokuta od NÚKIB, ale tlak v rámci dodavatelského řetězce (Supply Chain Security). Zákon ukládá povinným osobám zajistit bezpečnost nejen u sebe, ale i u svých dodavatelů.

4.1 ICT Supply Chain Toolbox a efekt domina

Dne 13. února 2026 byl představen společný rámec EU "ICT Supply Chain Security Toolbox", který NÚKIB okamžitě začal propagovat. Tento nástroj slouží k identifikaci rizikových profilů dodavatelů.

V praxi to spustilo dominový efekt:

1. Velký hráč (např. banka, ČEZ, automobilka) musí dle zákona řídit rizika dodavatelů.

2. Revize smluv: Tento hráč v lednu a únoru 2026 rozeslal stovky dodatků ke smlouvám svým dodavatelům (IT firmy, úklidové služby s přístupem do budovy, dodavatelé cateringu s přístupem do sítě).

3. Ultimátum: Dodatky obsahují požadavky na kybernetickou bezpečnost, právo na audit a smluvní pokuty.

4. Dopad na SME: Malá firma, která nZKB přímo nepodléhá, se najednou musí chovat, jako by podléhala, jinak přijde o klíčového zákazníka.

4.2 Vzorové smlouvy a právo na audit

V únoru 2026 se standardem stávají nové typy smluv o úrovni služeb (SLA), které obsahují rozsáhlé bezpečnostní doložky. Příkladem může být vzorová smlouva zveřejněná Krajskou nemocnicí Liberec, která explicitně definuje:

●   Povinnost dodavatele strpět zákaznický audit.

●   Povinnost likvidace dat po ukončení smlouvy.

●   Přesné lhůty pro hlášení incidentů (často přísnější než zákonných 72 hodin).

Firmy, které nejsou schopny tyto smluvní závazky podepsat (protože nemají procesy), jsou vytlačovány z trhu a nahrazovány konkurencí, která investovala do compliance. Kybernetická bezpečnost se tak stává tvrdou konkurenční výhodou.

4.3 Rizikoví dodavatelé a geopolitika

V souladu s novou strategií a Toolboxem firmy aktivně přehodnocují využívání technologií z rizikových zemí. "Multi-vendor strategie" se stává normou – firmy se snaží vyhnout závislosti (vendor lock-in) na jednom dodavateli, zejména pokud pochází ze zemí mimo EU/NATO. Pro české distributory čínského hardwaru (kamery, síťové prvky) je rok 2026 rokem dramatického poklesu prodejů do regulovaného sektoru.

 

5. Odpovědnost managementu: Konec "papírové" compliance

Nový zákon o kybernetické bezpečnosti přinesl revoluci v chápání odpovědnosti statutárních orgánů. Kybernetická bezpečnost přestala být technickým problémem IT oddělení a stala se právním rizikem představenstva.

5.1 Osobní a trestní odpovědnost v roce 2026

V únoru 2026 je právní rámec jasný: Statutární orgány (jednatelé, členové představenstva) nesou odpovědnost za řádné hospodaření, což zahrnuje i řízení kybernetických rizik.

Pokud dojde k incidentu a ukáže se, že management:

●   Nezajistil dostatečný rozpočet na bezpečnost,

●   Ignoroval varování bezpečnostního manažera,

●   Nezavedl funkční systém řízení rizik,

...může být vedení firmy voláno k osobní odpovědnosti. To může znamenat povinnost uhradit škodu způsobenou firmě z vlastního majetku. V extrémních případech (při hrubém zanedbání) hrozí i trestněprávní postihy.

NÚKIB má navíc novou pravomoc navrhnout soudu pozastavení výkonu řídící funkce pro osobu odpovědnou za závažné a opakované porušování povinností. Tato "jaderná možnost" je silným motivačním prvkem.

5.2 Jak se vyvinit (Exkulpace)

Právníci specializující se na korporátní právo v roce 2026 zdůrazňují, že jedinou obranou managementu je prokázání náležité péče. "Papírová compliance" – tedy směrnice schválená, ale nepoužívaná – před soudem neobstojí.

Management musí být schopen doložit:

1. Informovanost: Pravidelné body programu porad vedení věnované kyberbezpečnosti (zápisy!).

2. Vzdělávání: Certifikáty o školení managementu v oblasti kybernetických hrozeb.

3. Funkční CMS: Compliance Management System, který reálně funguje a je auditován.

4. Alokaci zdrojů: Důkazy o tom, že požadavky na bezpečnostní rozpočet nebyly bezdůvodně zamítnuty.

 

6. Implementační výzvy a trh práce

Realizace požadavků nZKB naráží v únoru 2026 na tvrdé limity českého trhu práce a ekonomickou realitu.

6.1 Krize nedostatku CISO

Největší brzdou implementace je absolutní nedostatek kvalifikovaných lidí. Role Manažera kybernetické bezpečnosti (CISO) je pro vyšší režim povinná a pro nižší vysoce doporučená. Na trhu však chybí stovky, ne-li tisíce expertů.

To vedlo k mzdové spirále. Měsíční náklady na zkušeného CISO se v roce 2026 pohybují v částkách, které jsou pro malé a střední podniky (SME) neakceptovatelné (často přesahují 150-200 tisíc Kč). Navíc zákon vyžaduje oddělení rolí – CISO nemůže být zároveň správcem sítě, což vylučuje kumulaci funkcí u stávajících ajťáků.

Řešení: Outsourcing a CISO-as-a-Service

Trh reaguje masivním nástupem služeb sdíleného bezpečnostního manažera. Firmy si nenajímají zaměstnance, ale službu, která jim garantuje plnění zákonných požadavků za zlomek ceny FTE (Full Time Equivalent).

6.2 Finanční náklady a technický dluh

Případová studie společnosti InovaTech a.s., prezentovaná v rámci vzdělávacích materiálů, ukazuje realitu nákladů. Pro středně velkou výrobní firmu (250 zaměstnanců) se náklady na prvotní compliance (Gap analýza, technologie, procesy) pohybují v řádech milionů korun, s následnými provozními náklady (OPEX) ve výši desítek procent IT rozpočtu.

Největší položkou není často nákup nového softwaru, ale odstranění technického dluhu:

●   Výměna nepodporovaných operačních systémů (Windows Server 2012, 2016).

●   Segmentace historicky "slepených" sítí.

●   Zavedení centrální správy identit (IDM).

 

7. Praktické případové studie: Scénáře z roku 2026

Pro lepší pochopení dopadů uvádíme dva modelové scénáře vycházející z aktuální situace na trhu.

Scénář A: Výrobní podnik "KovoLis s.r.o." (Nižší režim)

●   Situace: Firma dodává díly pro automobilový průmysl. Spadá do režimu "Important" jako výrobce motorových vozidel/dílů.

●   Problém: V lednu 2026 obdrželi od svého hlavního odběratele (Škoda Auto) požadavek na audit bezpečnosti OT sítí. Zjistili, že jejich výrobní linky běží na Windows XP, jsou připojeny k internetu pro servis dodavatele a nemají zálohy.

●   Řešení v tísni: KovoLis musel okamžitě investovat do průmyslových firewallů pro segmentaci linky (izolace od internetu) a zavést proces "Jump serveru" pro vzdálený přístup dodavatelů s MFA. Náklady byly neplánované, ale alternativou byla ztráta kontraktu.

●   Legislativní dopad: Firma nestihla samoidentifikaci do konce roku 2025 a nyní řeší dodatečné hlášení s právní podporou, aby minimalizovala pokutu.

Scénář B: Nemocnice "Městská péče" (Vyšší režim)

●   Situace: Poskytovatel zdravotních služeb, kritická infrastruktura.

●   Problém: Nedostatek personálu. Nemocnice nemůže sehnat Architekta a Auditora KB za tabulkové platy ve veřejném sektoru.

●   Řešení: Využití služby CISO-as-a-Service a externího auditu. Nemocnice musela vypsat veřejnou zakázku, která se však protahuje.

●   Riziko: Nemocnice je nyní v období, kdy formálně neplní požadavky vyhlášky 409/2025 Sb. Management (ředitel) musí prokazovat "úsilí" formou zápisů z jednání a vypsaných výběrových řízení, aby se vyvinil z případné odpovědnosti při kontrole NÚKIB.

 

8. Strategická doporučení a nabídka řešení

Vzhledem k výše uvedeným faktům je zřejmé, že pasivita je v únoru 2026 nejrizikovější strategií. Čas na implementaci se krátí a kapacity dodavatelů se vyčerpávají.

Jako expertní tým s hlubokou znalostí nZKB a praktických dopadů nabízíme komplexní portfolio služeb, které provedou vaši organizaci tímto náročným obdobím.

Naše služby pro rok 2026:

1. Komplexní GAP Analýza & Roadmap

Neztrácejte čas slepým zaváděním technologií. Naše analýza:

●   Přesně určí, do kterého režimu spadáte (pokud stále tápete).

●   Provede rozdílovou analýzu vůči konkrétním paragrafům vyhlášky 409/410 Sb..

●   Vytvoří akční plán (Roadmap) s prioritizací "Quick Wins" a dlouhodobých projektů, abyste stihli roční lhůtu.

2. CISO-as-a-Service (Externí manažer KB)

Nabízíme pronájem celého týmu bezpečnostních expertů za cenu jednoho juniorního zaměstnance.

●   Převezmeme roli Manažera kybernetické bezpečnosti dle zákona.

●   Zajistíme řízení bezpečnostní dokumentace, rizik a incidentů.

●   Garantujeme zastupitelnost a odbornost (certifikace CISM, CISA, CISSP).

●   Vyřešíme problém střetu zájmů a nedostatku lidí na trhu.

3. Podpora při auditech a Supply Chain Security

Ať už jste zadavatel nebo dodavatel, pomůžeme vám zvládnout tlak v řetězci.

●   Pro dodavatele: Příprava na zákaznické audity, vyplňování bezpečnostních dotazníků, pomoc s nápravnými opatřeními, abyste nepřišli o zakázky.

●   Pro zadavatele: Nastavení procesu hodnocení dodavatelů, příprava smluvní dokumentace (ve spolupráci s právníky) a revize SLA.

4. Technická implementace a Penetrační testování

Zajistíme technický soulad s vyhláškami.

●   Implementace MFA a SIEM řešení optimalizovaných pro české prostředí.

●   Provádění penetračních testů a skenů zranitelností, které jsou povinné pro vyšší režim a vysoce doporučené pro nižší.

●   Školení zaměstnanců formou Phish&Learn kampaní – transformace lidského faktoru z nejslabšího článku na první linii obrany.

Závěr

Rok 2026 je rokem pravdy pro českou kybernetickou bezpečnost. Nový zákon o kybernetické bezpečnosti není byrokratickým cvičením, ale reakcí na objektivní zhoršení bezpečnostní situace. Firmy, které tuto transformaci zvládnou, získají nejen právní jistotu, ale především robustní odolnost proti útokům a konkurenční výhodu na trhu, který stále více oceňuje důvěryhodnost.

 

Lhůta běží. Nečekejte na incident. Začněte řešit svou bezpečnost již dnes.