Maximální pokuta: Až €10M nebo 2 % celkového ročního obratu
Koho se zákon týká?
- Energetika (elektřina, plyn, ropa, teplo) — 50+ zaměstnanců NEBO obrat 10M+ EUR
- Doprava (letecká, železniční, vodní, silniční)
- Bankovnictví a finanční tržní infrastruktura
- Zdravotnictví (nemocnice, laboratoře, výzkum)
- Pitná voda a odpadní voda
- Digitální infrastruktura (IXP, DNS, TLD, cloudové služby, datová centra)
- Řízení ICT služeb (MSP, MSSP)
- Veřejná správa (centrální a regionální)
- Vesmírný průmysl
- Poštovní a kurýrní služby
- Správa odpadů
- Chemický průmysl
- Výroba potravin
- Výroba zdravotnických prostředků
- Výroba počítačů a elektroniky
- Strojírenství a výroba motorových vozidel
- Digitální poskytovatelé (platformy, vyhledávače, sociální sítě)
- Výzkum (fakulty a výzkumné instituce)
Povinná opatření (Art. 21)
- Řízení a analýza kybernetických bezpečnostních rizik (Art. 21 odst. 2a)
- Hlášení kybernetických bezpečnostních incidentů NÚKIB do 24 hodin
- Business continuity plán a plán obnovy po incidentu
- Bezpečnost dodavatelského řetězce (hodnocení dodavatelů)
- Bezpečnost sítě a informačních systémů — penetrační testování
- Řízení přístupu a autentizace (MFA povinné pro privilegovaný přístup)
- Kryptografie a šifrování přenášených a ukládaných dat
- Školicí programy pro zaměstnance v oblasti kybernetické bezpečnosti
- Bezpečnost lidských zdrojů a politiky přijímání zaměstnanců
- Pravidelné bezpečnostní audity a hodnocení souladu
Doporučená (ale ne povinná) opatření
- Kybernetické pojištění (NÚKIB doporučuje, ale zákon nevyžaduje)
- Certifikace ISO 27001 (uznána jako důkaz souladu, ale není povinná)