Nový zákon o kyberbezpečnosti: Praktický přehled pro OSVČ a malé firmy

Koho se zákon o kybernetické bezpečnosti týká?

Nový zákon č. 264/2025 Sb zavádí tzv. samoidentifikaci. Jinými slovy: nikdo vás neupozorní, že se na vás zákon vztahuje – musíte si to vyhodnotit sami. A pokud to neuděláte správně, může vám hrozit i sankce. Zákon cílí především na podniky, jejichž služby jsou důležité pro chod státu nebo společnosti – například v dopravě, energetice, zdravotnictví nebo IT infrastruktuře. Ale pozor, není to jen o hlavním oboru podnikání. Do regulace můžete spadnout i vedlejší činností – třeba pokud provozujete menší fotovoltaickou elektrárnu nebo poskytujete IT služby větším firmám.

Jak zjistit, zda se vás zákon o kybernetické bezpečnosti týká

Nejjednodušší způsob je využít kalkulačku na webu NÚKIBu. Zákon cílí především na podniky, které jsou důležité pro chod státu a společnosti. Pokud se tedy nenajdete už ve druhém kroku kalkulačky (odvětví), je to v pořádku. Ale pozor – pokud máte i jiné aktivity než hlavní podnikání, buďte opatrní. Např. zmíněná fotovoltaika – ověřte, že výkon vaší elektrárny je podlimitní. Případně si projděte Vyhlášku o regulovaných službách č. 408/2025 Sb. Možná budete potřebovat klasifikaci NACE-CE nebo využít rejstřík ekonomických subjektů ČSÚ. Jak se říká – neznalost zákona neomlouvá.

Co když se vás zákon netýká?

Cílem zákona je zvyšování kybernetické odolnosti firem i celé společnosti. Většina živnostníků tedy spíše zůstane „mimo zákon“. Můžete si tedy oddychnout? Ne tak docela. Kybernetická bezpečnost – nebo spíše bezpečnost informací – je základním předpokladem přežití podnikání. To, že vás zákon nezavazuje, neznamená, že na vás útočníci nezaútočí.

Praktický návod: Jak si chránit své online podnikání

Co dělat, pokud nechcete kybernetickou bezpečnost nechat na náhodě?

1. Vzdělávejte sebe i svůj tým – Lidská chyba je stále nejčastější příčinou problémů. Aspoň jednou ročně si projděte novinky v oblasti hrozeb a tipy, jak být obezřetným uživatelem technologií.
2. Prověřte své dodavatele – Má váš dodavatel přístup do systému? Zajistěte mu vlastní účet s omezenou platností. Řešte sdílení dat, ukončení spolupráce i dohodu o mlčenlivosti (NDA).
3. Připravte se na změny systémů – Při přechodu na nový e-mail, rezervační systém nebo software mějte vždy plán B. Hodí se hlavně tehdy, když něco přestane fungovat v klíčový moment.
4. Mějte plán pro krizové situace – Požár, blackout nebo útok? Sepište si jednoduchý plán: co udělat, komu volat, kde vzít náhradní zařízení. V krizi není čas hledat informace na internetu.
5. Zrevidujte fyzické zabezpečení – Kdo má přístup do vašich prostor? Jsou zařízení a data fyzicky chráněná? Zámek nestačí, když máte v kanceláři citlivé informace.
6. Zkontrolujte kvalitu hesel – Používáte silná a unikátní hesla? Má každý svůj účet? Jeden účet sdílený více lidmi je bezpečnostní riziko.
7. Zapněte vícefaktorové ověření (MFA) – Zabezpečte přístupy tam, kde to jde – například do e-mailu, účetních systémů nebo sociálních sítí. I firemní Instagram je dnes důležitý komunikační kanál.
8. Zašifrujte disk a zálohujte data – Ztráta notebooku neznamená ztrátu dat, pokud máte disk šifrovaný. Automatické zálohování vám navíc ušetří starosti při selhání zařízení.
9. Používejte antivirový program – A nejen na počítači – i na mobilu. Útoky přes aplikace a phishingy cílí čím dál víc právě na telefony.
10. Aktualizujte aplikace – Zastaralé programy jsou častým cílem útoků. Kde to jde, zapněte automatické aktualizace. Minimalizujete tím bezpečnostní díry.

I malý podnik může být terčem útoku. Myslete na svou bezpečnost

Zákon o kybernetické bezpečnosti dopadne na stovky firem, ale většina živnostníků bude nejspíš mimo jeho přímý dosah. Přesto se vyplatí chovat se zodpovědně – ne kvůli zákonu, ale kvůli sobě. Kyberbezpečnost není jen o technologiích, ale hlavně o přístupu. Začněte s malými kroky – a ideálně už dnes.