Dne 1. listopadu 2025 nabyl účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen NZKB), kterým byla do českého právního řádu implementována směrnice Evropského parlamentu a Rady (EU) 2022/2555[1], známá jako NIS2. Nová právní úprava představuje zásadní rozšíření dosavadního režimu kybernetické bezpečnosti, a to nejen z hlediska okruhu regulovaných subjektů, ale rovněž z hlediska rozsahu povinností, odpovědnosti vedení a možných sankčních dopadů.
Je potravinářství regulovaným odvětvím dle NZKB?
Jedním z 15 odvětví, na která regulace kybernetické bezpečnosti nově výslovně dopadá, je právě potravinářský průmysl. Zařazení potravinářství mezi regulovaná odvětví odpovídá významu tohoto sektoru pro zajištění základních společenských potřeb, kontinuity dodavatelských řetězců a celkové odolnosti státu. Kybernetický incident v potravinářském podniku již nemusí mít pouze interní provozní dopady, ale může se promítnout do výroby, skladování, distribuce, dostupnosti potravin a důvěry spotřebitelů.
Sebeidentifikace jako první krok
Základním východiskem nové právní úpravy je proces sebeidentifikace. Každý subjekt působící v relevantním regulovaném odvětví musí sám posoudit, zda splňuje podmínky pro zařazení mezi poskytovatele regulované služby. Subjekty mají jednat proaktivně, tedy nečekají na rozhodnutí či výzvu ze strany Národního úřadu pro kybernetickou a informační bezpečnost (dále jen NÚKIB).
Při procesu sebeidentifikace je nutné vycházet zejména z vyhlášky č. 408/2025 Sb., o regulovaných službách (dále jen vyhláška), konkrétně části 8. přílohy vyhlášky, která je věnována potravinářskému průmyslu. Vyhláška v rámci potravinářského průmyslu vymezuje jako regulované služby konkrétně:
- průmyslovou výrobu potravin;
- průmyslové zpracování potravin; a
- velkoobchodní distribuci potravin.
Poskytovatelem regulované služby se v uvedených případech stává potravinářský podnik, který se danou činností zabývá a současně naplňuje stanovené velikostní kritérium, tedy je velkým nebo středním podnikem ve smyslu doporučení Komise 2003/361/ES[2].
Prakticky to znamená, že subjekty podnikající v těchto oblastech potravinářského průmyslu by měly provést důsledné posouzení svých činností, zda svým podnikáním naplňují znaky definované ve vyhlášce. Rozhodující není pouze formální zápis předmětu podnikání, ale skutečně vykonávaná činnost, její rozsah, ekonomický význam a zařazení do příslušné regulované služby a následně vyhodnocení velikostního kritéria.
Pokud subjekt dospěje k závěru, že splňuje podmínky podle NZKB a naplňuje velikostní kritérium po dvě po sobě jdoucí účetní období, vzniká mu povinnost ohlásit regulovanou službu NÚKIB. Ohlášení se provádí elektronicky prostřednictvím Portálu NÚKIB. U subjektů, které splňovaly podmínky již ke dni účinnosti zákona, uplynula základní 60denní lhůta k ohlášení dne 31. prosince 2025.
Potravinářství v režimu nižších povinností
Vyhláška o regulovaných službách zařazuje potravinářské regulované služby do režimu nižších povinností, a to v případě, že je poskytovatelem velký nebo střední podnik. Tento závěr však nelze chápat jako bagatelizaci dopadů regulace. I režim nižších povinností vyžaduje důsledné zavedení systematických organizačních, technických a procesních opatření v oblasti kybernetické bezpečnosti, jak je blíže definuje vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních v režimu nižších povinností.
Subjekty v režimu nižších povinností musí zejména identifikovat a řídit kybernetická rizika, nastavit režim odpovědnosti v rámci organizace, přijmout přiměřená bezpečnostní opatření, řešit incidenty, vést příslušnou dokumentaci a zajistit, aby kybernetická bezpečnost nebyla pouze otázkou IT oddělení, ale součástí celkového systému řízení společnosti. V potravinářství bude významné zejména propojení kybernetických opatření s provozními technologiemi, výrobními systémy, logistickými platformami, skladovým hospodářstvím a systémy sledovatelnosti potravin.
Zvláštní pozornost by měla být věnována dodavatelskému řetězci. Potravinářské podniky jsou často závislé na externích IT dodavatelích, poskytovatelích cloudových služeb, logistických partnerech, dodavatelích výrobních technologií nebo servisních společnostech. Nová regulace proto v praxi vyžaduje také revizi smluvních vztahů, nastavení bezpečnostních požadavků vůči dodavatelům a určení postupů pro řešení incidentů vzniklých mimo vlastní infrastrukturu podniku.
Vyšší režim a další možné dopady
Ačkoliv uvedené potravinářské regulované služby podle vyhlášky spadají do režimu nižších povinností, nelze vyloučit, že konkrétní subjekt bude dotčen přísnějším režimem z jiného titulu, například pokud současně poskytuje jinou regulovanou službu zařazenou do režimu vyšších povinností nebo pokud bude jeho služba registrována na základě zvláštního rozhodnutí NÚKIB.
NZKB současně umožňuje zařazení subjektu do regulace rovněž na základě významu poskytované služby, jejího dopadu na společnost, vazby na kritickou infrastrukturu nebo rozhodnutí příslušného orgánu. Potravinářský podnik tak může být významný nejen svou velikostí, ale i svým postavením v dodavatelském řetězci, regionální nezastupitelností nebo návazností na jiné kritické služby.
Režim vyšších povinností je spojen s robustnějším souborem požadavků, přísnější úrovní řízení rizik, detailnější dokumentací, hlubší kontrolou dodavatelů a vyšší mírou zapojení vedení společnosti. Pro členy statutárních orgánů je přitom podstatné, že NZKB výslovně posiluje jejich odpovědnost za řízení kybernetických rizik. Kybernetická bezpečnost se tak stává otázkou řádné správy a řízení společnosti, nikoliv pouze technickou nebo provozní záležitostí.
Významným motivačním prvkem jsou rovněž sankce. Porušení povinností podle NZKB může vést k citelným finančním postihům, přičemž u nejzávažnějších porušení mohou sankce dosahovat až 250 milionů Kč nebo až 2 % čistého celosvětového ročního obratu, podle toho, která z těchto částek je vyšší.
Závěr
Dopady NIS2 a NZKB na potravinářský průmysl nelze vnímat pouze jako formální registrační povinnost. Vzhledem k významu výroby, zpracování a distribuce potravin je kybernetická odolnost subjektů v potravinářském průmyslu stále důležitější součástí jejich provozní stability. Subjekty by proto měly začít řádnou sebeidentifikací a v případě označení za regulovaný subjekt ze strany NÚKIB by měly přijmout odpovídající technická, organizační a smluvní opatření. V potravinářství půjde zejména o ochranu výrobních a logistických systémů, řízení rizik v dodavatelském řetězci a schopnost zajistit kontinuitu dodávek i při kybernetickém incidentu.
Mgr. Jakub Málek, managing partner
JUDr. Tereza Pechová, advokátní koncipientka
[1] Směrnice Evropského parlamentu a rady (EU) 2022/2555 ze dne 14. prosince 2022, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148.
[2] Doporučení Komise 2003/361/ES ze dne 6. května 2003, o definici mikropodniků a malých a středních podniků.
Galerie
Pro přidání komentáře se prosím přihlaste. Pokud nemáte účet, můžete si zaregistrovat nový účet.