Kybernetická bezpečnost pohledem legislativy – NIS2 v praxi

Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) zásadně mění povinnosti organizací – veřejných i soukromých. Řada subjektů se do regulace dostává vůbec poprvé, jiné čeká výrazné rozšíření odpovědnosti vedení, nové povinnosti v oblasti řízení rizik, dokumentace, dodavatelů i hlášení incidentů.

Tento seminář nabízí praktický a srozumitelný výklad dopadů nového zákona o kybernetické bezpečnosti, a to z pohledu práva, odpovědnosti a reálného fungování organizace. Na školení zjistíte, co musí vaše organizace skutečně udělat, doložit a obhájit při kontrole nebo incidentu.

Kurz je veden v právním kontextu, ale s důrazem na praktickou aplikaci zákona, rozhodování managementu, spolupráci právníků, compliance a IT a na minimalizaci sankčních a reputačních rizik.

Součástí výkladu jsou i vazby na přestupkovou a trestní odpovědnost, ochranu osobních údajů a další veřejnoprávní předpisy.

Co si ze školení odnesete:

• jistotu, zda a proč se na vás regulace vztahuje,
• přehled povinností, které nelze „odložit na IT oddělení“,
• praktický postup, jak nastavit řízení kybernetické bezpečnosti obhajitelné při kontrole,
• jasno v oznamování incidentů, odpovědnosti vedení a rizicích sankcí,
• přehled dopadů na smlouvy, dodavatele a klíčové služby.

Struktura semináře:

Dopad regulace: kdo je regulovaným subjektem a jak postupovat při posouzení

• Základní koncepce nové právní úpravy a její vazba na evropský rámec.
• Poskytovatel regulované služby: základní znaky, typové situace a praktické vymezení regulované služby.
• Vyšší a nižší režim povinností – rozdíly z hlediska rozsahu opatření a organizačních dopadů.
• Praktický postup právního posouzení dopadu regulace (odpovědnosti, doporučené kroky).

Povinnosti po registraci: governance, rozsah řízení kybernetické bezpečnosti, interní dokumentace

• Povinnosti bezprostředně po registraci a průběžné povinnosti (kontaktní údaje, oznamování změn apod.).
• Stanovení rozsahu řízení kybernetické bezpečnosti (primární a podpůrná aktiva, evidence, hranice rozsahu).
• Přehled typových bezpečnostních opatření a jejich význam pro právní praxi (prokazatelnost, odpovědnost, auditovatelnost).
• Nastavení odpovědností: vedení, právní útvar, compliance, IT – doporučené modely spolupráce.

Kybernetické incidenty: oznamování, komunikace, lhůty a minimální obsah hlášení

• Incident reporting: klíčové lhůty a adresáti, praktická organizace oznamování.
• Minimální obsah hlášení a zásady interního incident managementu.
• Komunikace vůči dotčeným osobám/uživatelům, rizika publicity, součinnost se státními orgány.
• Nástroje veřejné moci v reakci na incidenty (výstraha/varování/reaktivní protiopatření) a jejich praktické dopady.

Dodavatelské řetězce a strategicky významné služby: smlouvy, nákup, kontrola dodavatelů

• Řízení dodavatelského řetězce a povinnosti součinnosti dodavatelů při incidentu.
• Strategicky významné služby: základní režim, klíčové pojmy, dopady do interních procesů a smluv.
• Omezení/zákazy rizikových dodavatelů a dopady do závazkových vztahů (změna dodavatele, ukončení smlouvy, kontinuita služby).

Veřejná správa, kontrola, nápravná opatření a sankce: jak minimalizovat právní rizika

• Institucionální rámec (role NÚKIB, Portál, Národní CERT, součinnost).
• Stav kybernetického nebezpečí a mimořádná opatření: podmínky, právní režim, okamžitá vykonatelnost, praktické dopady.
• Kontrolní oprávnění, nápravná opatření a donucovací prostředky (včetně pořádkových a donucovacích pokut).
• Přestupky a sankce (typové skutkové podstaty, sankční logika, prevence), odpovědnost vedení.

Registrace ZDE.

Foto: Pixabay
Zdroj: Školení365