Huge-linkedin-02

Alexandra Mára Paurová

26. 11. 2025

Nový zákon o kybernetické bezpečnosti změnil pravidla hry. Nejvíc dopadá na menší firmy

Od 1. listopadu 2025 začal v Česku platit nový zákon o kybernetické bezpečnosti, který zásadně mění požadavky na to, jak firmy pracují se svými dodavateli a subdodavateli. Ačkoliv je zákon formálně zaměřen především na větší a kritické podniky, v praxi dopadá na tisíce menších firem. A to velmi konkrétně skrze nové smluvní požadavky, vyšší odpovědnost i rostoucí náklady.

Víte, kdo hlídá vaše dodavatele?

Jedním z hlavních principů nové úpravy je přerušit takzvaný slabý článek v řetězci. Zákon klade důraz na to, aby bezpečnost nebyla pouze interní záležitostí firmy, ale aby zahrnovala i všechny její partnery.

Firmy, které spadají pod kybernetickou regulaci, teď musí:

  • právně zavázat své dodavatele k dodržování bezpečnostních opatření,

  • pravidelně kontrolovat a auditovat jejich činnost,

  • zmapovat rizika v celém dodavatelském řetězci.

A právě tady začínají problémy především pro malé a střední podniky.

Nerovné vyjednávání: deka pro malé firmy

Velké společnosti nemají kapacity přizpůsobovat smlouvy každému partnerovi. Místo toho zavádějí jednotné dodatky a podmínky, které jednoduše předloží k podpisu. Menší dodavatelé pak často dostanou celou „deku“ právních a bezpečnostních povinností, o jejichž podobě nemají šanci vyjednávat.

Výsledek? Menší firma nese plnou odpovědnost, ale nemá nástroje, jak povinnosti efektivně a ekonomicky zvládnout. Právní nejistota roste a spolupráce se strategickými klienty se komplikuje.

Kyberbezpečnost jako nové GDPR?

Nový zákon mnohým připomíná dopad, který měl před několika lety nástup GDPR. I zde firmy musí upravovat smluvní dokumentaci, zavádět nové procesy a řešit odpovědnost za rizika mimo vlastní organizaci.

Rozdíl je v rozsahu kybernetická bezpečnost se netýká jen dat, ale celého provozu firmy a její infrastruktury.

Co za tím stojí? Reálná hrozba

Důvodem zpřísnění pravidel je nárůst kybernetických útoků, jejichž cílem nejsou peníze, ale přístup k citlivým informacím a narušení klíčových služeb. Kritická infrastruktura je častým terčem špionáže nebo sabotáže.

A protože útočníci často míří právě přes menší, méně chráněné dodavatele, stát se rozhodl zajistit bezpečnost celého řetězce.

Co by si firmy měly uvědomit?

  • Nejde o to, jestli jste přímo regulovaný subjekt. Pokud jste dodavatel větší firmy, změny se vás velmi pravděpodobně týkají.

  • Nová pravidla vytvářejí řetězec odpovědnosti. Pokud selže váš dodavatel, může za to nést odpovědnost vaše firma.

  • Podpisem jednostranných dodatků můžete přijmout závazky, které budou mít významný dopad na vaše rozpočty, provoz i právní odpovědnost.

Pokud jste menší nebo střední podnik a spolupracujete s velkými klienty, očekávejte nové smluvní požadavky. Než je bez rozmyslu podepíšete, je dobré vědět, co vlastně znamenají.

Zákon o kybernetické bezpečnosti už platí. Teď je čas, aby firmy začaly jednat promyšleně a s vědomím svých skutečných povinností.