České organizace vstupují do klíčového období, kdy se v letech 2026–2027 postupně naplno projeví nové legislativní rámce v oblasti kybernetické bezpečnosti, umělé inteligence a digitálních služeb. Vedle již účinného zákona o kybernetické bezpečnosti budou v srpnu 2026 a 2027 nabývat plné účinnosti hlavní části evropského AI Actu a od roku 2027 také zákon o právu na digitální služby. Nyní je tak správný čas na systematickou přípravu – analýzu dopadů, plánování změn a integraci nových požadavků do stávajících IT a procesních struktur. Nová legislativa přitom nepředstavuje jen povinnosti, ale i příležitost k modernizaci IT, posílení bezpečnosti, zefektivnění služeb a budování důvěry zákazníků i občanů v digitální prostředí.
Nové povinnosti pro tisíce organizací
Od 1. listopadu 2025 platí nový zákon o kybernetické bezpečnosti nZoKB, který nahradil dosavadní právní rámec a zásadně rozšířil okruh regulovaných subjektů. V platnost vešly i tři prováděcí vyhlášky – o regulovaných službách, o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností a pro poskytovatele v režimu nižších povinností.
Nová legislativa vycházející z evropské směrnice NIS2 staví na principu proporcionality, tedy že organizace musí zavádět taková opatření, která odpovídají jejich skutečným rizikům. Prvním krokem by proto měla být identifikace aktiv a analýza rizik, z níž vyplyne, jaká opatření mají být zavedena
„v nezbytné míře“.
Podle Františka Janů ze společnosti Gordic už legislativa na dotčené organizace klade konkrétní povinnosti: „Organizace měly do konce loňského roku povinnost ohlásit regulované služby a kontaktní údaje na Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Pokud organizace tuto skutečnost zjistí dodatečně, je nutné realizovat hlášení co neodkladně. Jedná se o vážnou skutkovou podstatu, za kterou hrozí velmi vysoké pokuty. Pomoci s určením může kalkulačka NÚKIBu, která umožňuje předběžné posouzení, do jakého režimu regulace daná organizace nebo jí poskytovaná služba spadá.“
Dalšími kroky, které by měly následovat jsou analýza rizik, zpracování bezpečnostní dokumentace, nastavení zodpovědností a řízení, případně zavedení adekvátních bezpečnostních opatření, školení zaměstnanců, a zajištění procesů monitoringu včetně hlášení bezpečnostních incidentů. „Tyto procesy je vhodné integrovat do stávajících IT struktur, nikoli budovat zcela odděleně. Je třeba si uvědomit, že zajištění kybernetické bezpečnosti není jednorázový projekt, ale dlouhodobý proces a ty organizace, které nedisponují potřebnými zdroji na realizaci některých bezpečnostních opatření vlastními lidmi mohou využít softwarové nástroje a služby třetích stran,“ upřesňuje František Janů.
AI Act: Evropa reguluje umělou inteligenci
Evropská unie se stala prvním regionem na světě, který přijal komplexní právní rámec pro umělou inteligenci. Od 1. srpna 2024 platný AI Act má za cíl zajistit bezpečné a transparentní využívání AI napříč sektory. Nařízení nahlíží na systémy umělé inteligence podle míry rizika, jak mohou ohrozit uživatele na základních lidských právech nebo na bezpečnosti – od minimálního až po vysoké. Pro vysoce rizikové systémy, například ty využívané ve zdravotnictví, dopravě nebo správě veřejných agend, stanovuje povinnost vedení dokumentace, řízení rizik, lidského dohledu a zajištění transparentnosti.
Ačkoli jde o nařízení EU, které je přímo použitelné a není nutné jej převádět do českých zákonů, vznikl na národní úrovni návrh adaptačního zákona o umělé inteligenci. Jeho cílem je připravit české prostředí na praktické uplatňování pravidel, aniž by ukládal nové povinnosti nad rámec AI Actu. Soustředí se hlavně na určení odpovědných orgánů a nastavení kontrolních postupů.
Na úrovni EU byla pak dále přijata směrnice o odpovědnosti za vadné výrobky, která rozšířila definici výrobku právě o systémy umělé inteligence.
Specialistka na legislativu eGovernmentu Simona Kobylková ze společnosti Gordic upozorňuje, že samotný AI Act vstoupil v platnost již v srpnu 2024, nicméně jeho účinnost je postupná: „Část týkající se zakázaných systémů, které představují nepřijatelné riziko, vstoupila v účinnost 2. února 2025. Pravidla týkající se obecných modelů umělé inteligence pak nabyla účinnosti loni v srpnu. Hlavní části nařízení AI Actu, mezi které budou spadat i vysoce rizikové systémy a požadavky na jejich regulaci, nabydou účinnosti v srpnu 2026, přičemž k úplnému rozvinutí celého legislativního rámce dojde v srpnu 2027.“
Podle Kobylkové by firmy i instituce měly už nyní provést inventuru využívaných AI systémů a vyhodnotit, zda spadají do některé z regulovaných kategorií: „Kdo používá systémy s vyšší mírou rizika, měl by zkontrolovat smluvní vztahy s dodavateli, nastavit odpovědnostní pravidla, doplnit technickou dokumentaci, zavést interní směrnice, zajistit školení a kontrolní postupy.“
Digitální služby: nový přístup k úřednímu styku a evropská peněženka
Další klíčovou legislativní úpravou je zákon o právu na digitální služby (ZoPDS), jehož plná účinnost je naplánována na začátek roku 2027. Tento zákon má umožnit, aby všechny úřední úkony mohly být prováděny digitálně – od podání přes podpis až po doručení dokumentu. Zákon vychází z principu, že občan by měl mít možnost vyřídit své záležitosti se státem zcela online, bez nutnosti fyzické přítomnosti, a mimo jiné přináší také instituty jako digitální zastoupení, fikci úředně ověřeného podpisu či integraci informačních systémů veřejné správy na evropskou peněženku digitální identity (EUDI Wallet).
Podle odborníka na legislativu a eGovernment Víta Cvrčka ze společnosti Gordic je nyní rozhodující období, kdy se připravují konkrétní metodiky a technické standardy. „Instituce, organizace a úřady by se přitom neměly zaměřovat jen na formální stránku, ale především na funkčnost a použitelnost digitálních služeb pro občany. Ty musí být nejen bezpečné, ale i uživatelsky srozumitelné,“ upozorňuje Cvrček.
Evropská digitální peněženka (EUDI Wallet), která má nahradit dnešní eDoklady, bude sloužit nejen pro uchovávání dokladů, ale také pro ověřování totožnosti a sdílení ověřených atributů, jako jsou například profesní kvalifikace nebo oprávnění. „S tímto vývojem souvisí i rozšiřování možnosti kvalifikovaného podepisování s využitím peněženky, které umožní občanům podepisovat dokumenty bezpečně a bez nutnosti fyzických čipových karet. Tento model se rychle stává standardem v celé EU a je považován za klíčový krok k plné digitalizaci veřejné správy,“ upozorňuje Vít Cvrček.
Společný jmenovatel: důvěra a bezpečnost
Všechna zmíněná opatření – nZoKB, AI Act i ZoPDS – směřují k jednomu cíli, kterým je zvýšení důvěryhodnosti a bezpečnosti digitálního prostředí. Evropa se tímto směrem posouvá systematicky, ale úspěch bude záviset především na včasné přípravě organizací. Z jejich pohledu by nemělo jít jen o naplnění legislativních požadavků – nové rámce jim přinášejí také příležitost ke zefektivnění procesů, modernizaci IT infrastruktury a posílení důvěry jejich zákazníků, partnerů a uživatelů. Jak se shodují všichni odborníci, „začít řešit soulad s legislativou až ve chvíli, kdy je platná, je už pozdě“.
Pro české firmy i instituce jsou proto následující měsíce obdobím, kdy je potřeba analyzovat, plánovat a implementovat – a přemýšlet o právních povinnostech ne jako o překážce, ale jako o příležitosti ke zlepšení procesů i bezpečnosti.
