Nový zákon o kybernetické bezpečnosti: dopady pro obce a školy – I. část

Úvod a vymezení problematiky

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025, představuje zásadní milník v české právní úpravě kybernetické bezpečnosti. Nahrazuje dosavadní zákon č. 181/2014 Sb. a implementuje evropskou směrnici NIS 2 (směrnice Evropského parlamentu a Rady (EU) 2022/2555), čímž harmonizuje národní právní rámec s unijními standardy. Nově rozšiřuje působnost regulace i na veřejný sektor, který dosud nebyl považován za kritickou infrastrukturu, konkrétně na obce s rozšířenou působností (ORP) a školské instituce (§ 3 a § 4 odst. 1 zákona). Pro lepší představu o praktickém dopadu zákona lze uvést ilustrativní příklad: ředitel menší školy kdysi považoval největší kybernetické riziko za „ztracenou flashku s fotografiemi školního představení“. Po účinnosti nového zákona by však podobná ztráta spadala mezi hlášené kybernetické incidenty s povinností oznámit ji Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tento příklad názorně ukazuje, jak regulace pronikla do každodenního provozu škol a obcí a jak výrazně posiluje odpovědnost za bezpečnost dat.

Hlavním cílem zákona je vybudovat komplexní systém řízení kybernetické bezpečnosti v prostředí stále více digitálně závislém – a to nejen z hlediska ochrany osobních údajů, ale také kontinuity poskytování veřejných služeb (§ 5 a § 6 zákona). Zákon zavádí dva základní režimy povinností – vyšší („essential“) a nižší („important“) – které se liší nároky na organizaci a procesní řízení kybernetické bezpečnosti (§ 8, § 9 zákona). Zatímco vyšší režim