W kwietniu 2025 r. czeska Izba Poselska zatwierdziła projekt nowej ustawy o cyberbezpieczeństwie celem implementacji unijnej dyrektywy NIS2 do krajowego porządku prawnego. Ustawa rozszerza zakres regulacji w porównaniu do dotychczasowego aktu, funkcjonującego od 2014 r. Przepisy obejmują od 6000 do 9000 organizacji, w tym dostawców usług chmurowych, producentów krytycznych produktów i firmy z sektorów energetyka, transport, zdrowie czy finanse.
Zmiany w ustawie o cyberbezpieczeństwie w Czechach
Nowa ustawa rozszerza zakres regulacji. Obejmuje wiekszą liczbę organizacji niż do tej pory. Przepisy dotyczą również małych i średnich przedsiębiorstw, które wcześniej im nie podlegały.
Bardzo ważne jest wprowadzenie bezpośredniej odpowiedzialności kierownictwa najwyższego za przestrzeganie przepisów związanych z cyberbezpieczeństwem. Konieczne będą zatwierdzanie polityk bezpieczeństwa i zapewnienie odpowiednich zasobów.
Organizacje zostaną objęte obowiązkiem zgłaszania incydentów w zakresie cyberbezpieczeństwa w określonych ramach czasowych. Oprócz tego wymaga się regularnego przeprowadzania analiz ryzyka i wdrożenia środków bezpieczeństwa.
Nowa ustawa wprowadza również warunek współpracy z NÚKIB. Organizacje będą musiały wdrażać środki bezpieczeństwa i reagować na ostrzeżenia wydawane przez Narodowy Urząd ds. Cyberbezpieczeństwa i Informacji.
Ustawa wejdzie w życie pierwszego dnia trzeciego miesiąca kalendarzowego po jej ogłoszeniu. Organizacje będą miały 60 dni na dostosowanie się do aktualnych wymogów.
Cele unijnej dyrektywy NIS 2
Aby osiągnąć swój cel, NIS 2:
- Rozszerza zakres na 18 sektorów krytycznych i tworzy dwie kategorie regulowanych podmiotów celem objęcia przepisami również średnich przedsiębiorstw o istotnym wpływie społecznym.
- Harmonizuje minimalne standardy bezpieczeństwa i unifikuje kompetencje nadzorcze oraz sankcyjne celem usunięcia „regulacyjnego patchworku”, który utrudniał transgraniczne świadczenie usług cyfrowych.
- Wzmacnia koordynację transgraniczną poprzez sieć CSIRT i nowo powołany organ EU-CyCLONe. Wprowadzono trójfazowy termin powiadamiania (24h, 72h i 1 miesiąc) o incydentach.
- Wprowadza silniejszą egzekucję, tj. jednolite górne limity kar i możliwość czasowej dyskwalifikacji członków organów statutowych. Kary mają wynosić do 10 mln euro lub do 2% obrotu.
Co dodaje czeska ustawa względem NIS2?
Czeski projekt nowej ustawy o cyberbezpieczeństwie w dużej mierze wiernie odwzorowuje system przewidziany w dyrektywie NIS 2, a w niektórych obszarach nawet go rozwija. Wprowadza m.in. obowiązek prowadzenia rejestru aktywów ICT i corocznego niezależnego audytu zgodności oraz doprecyzowuje odpowiedzialność osobistą kadry zarządzającej – włącznie z możliwością jej dyskwalifikacji na okres do trzech lat. W rezultacie czeska transpozycja zbliża się do modelu „harmonizowanego minimum plus”, którego celem jest poprawa egzekwowania przepisów bez jednoczesnego osłabiania konkurencyjności czeskich przedsiębiorstw na unijnym rynku cyfrowym.
Przepisy zawarte w §§ 17–24 nZKB odzwierciedlają strukturę dyrektywy, ale jednocześnie ją rozbudowują. Oprócz obowiązkowego rejestru zasobów ICT i dorocznego audytu zgodności ustawa nakłada na podmioty obowiązek sporządzania mapy przepływu danych. Oznacza to rozszerzenie wymagań względem minimum unijnego, co z jednej strony zwiększa kontrolowalność całego systemu, ale z drugiej podnosi koszty zgodności po stronie przedsiębiorców.
Nowością w dyrektywie NIS 2 jest wyraźne wskazanie osobistej odpowiedzialności najwyższego kierownictwa. Zgodnie z art. 20, organy statutowe mają obowiązek nie tylko zatwierdzać strategię cyberbezpieczeństwa, ale też aktywnie nadzorować jej realizację i poddawać się odpowiednim szkoleniom. Czeski nZKB (w §§ 30-32) implementuje ten wymóg do prawa krajowego i idzie jeszcze dalej: przewiduje możliwość wystąpienia przez NÚKIB z wnioskiem o dyskwalifikację członka organu statutowego na maksymalnie 3 lata w przypadku powtarzających się poważnych naruszeń. Ta forma sankcji – określana w debacie publicznej jako przykład „gold-platingu” – ma na celu zwiększenie efektywności systemu, ponieważ obejmuje osoby fizyczne, a nie tylko odpowiedzialność po stronie podmiotu jako osoby prawnej.
Jednym z istotnych elementów harmonizacji wynikającej z dyrektywy NIS 2 jest ujednolicony system sankcji. Dla podmiotów kategorii essential ustalono maksymalną wysokość kary na poziomie 10 mln euro lub 2% globalnego obrotu, a dla important entities – odpowiednio 7 mln euro lub 1,4% obrotu (art. 34–35). Czeski projekt nZKB (§§ 59–61) przelicza te wartości na lokalne warunki, ustanawiając górne limity na poziomie 250 mln CZK / 2% oraz 100 mln CZK / 1,4%. Tym samym zachowana zostaje równoważność sankcji w stosunku do pozostałych państw członkowskich UE. Autor ustawy potwierdził ten zamiar podczas trzeciego czytania w Izbie Poselskiej, powołując się na kurs wymiany przyjęty na poziomie 1 EUR ≈ 25 CZK.
Co nowe przepisy oznaczają dla firm działających na rynku czeskim?
Dotychczas ustawa o cyberbezpieczeństwie dotyczyła głównie największych podmiotów. Teraz, po wdrożeniu dyrektywy NIS2, obowiązki obejmą także małe i średnie przedsiębiorstwa działające w „istotnych” sektorach, m.in.:
- IT,
- energetyka,
- transport,
- zdrowie,
- finanse,
- produkcja o znaczeniu krytycznym (np. infrastruktura przemysłowa).
Jeśli Twoja firma działa w Czechach i spełnia kryteria – najpewniej będzie objęta ustawą.
Istotne w tym kontekście są też obowiązkowe procedury bezpieczeństwa. Firmy będą musiały:
- stworzyć politykę bezpieczeństwa informacji (lub zaktualizować już istniejącą),
- wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo,
- wdrożyć techniczne i organizacyjne środki ochrony (np. firewalle, szyfrowanie, monitoring),
- regularnie oceniać ryzyka i dokumentować sposoby ich minimalizacji.
Ustawa jasno wskazuje, że za cyberbezpieczeństwo odpowiada najwyższe kierownictwo firmy, a nie tylko dział IT. Zarząd będzie musiał zatwierdzać polityki bezpieczeństwa oraz zadbać o odpowiedni budżet i zasoby. Jeśli dojdzie do naruszenia bezpieczeństwa (np. atak ransomware czy wyciek danych), firma będzie musiała zgłosić to do NÚKIB.
Warto również sprawdzić wpis: Błędy popełniane przez polskich przedsiębiorców w Czechach
Zwiększa się też ryzyko kontroli i sankcji. NÚKIB będzie miał prawo:
- przeprowadzać audyty i kontrole,
- nakładać kary finansowe za nieprzestrzeganie przepisów,
- wydawać zalecenia, których firma musi się trzymać.
Dostosowanie się do ustawy może wymagać wysiłku, ale jeszcze większym ryzykiem może być zignorowanie jej znaczenia. W cyfrowym ekosystemie odpornym będzie ten, kto działa proaktywnie, a nie reaktywnie. Cyberbezpieczeństwo staje się językiem, którym biznes musi nauczyć się mówić. Nie po to, aby spełniać wymogi ustawy, ale po to, aby w ogóle móc uczestniczyć w grze.
