Posledních měsících a letech se objevilo mnoho nových zákonů a regulací, které se přímo či nepřímo dotýkají IT. Pojďme si udělat přehled jaké jsou stávající normy a jaké nás brzy čekají.

Posledních měsících a letech se objevilo mnoho nových zákonů a regulací, které se přímo či nepřímo dotýkají IT. Pojďme si udělat přehled jaké jsou stávající normy a jaké nás brzy čekají.

 

 

Přehled IT norem a regulací v Česku (řazeno podle účinnosti)

V posledních letech přibylo mnoho důležitých norem a regulací, které se týkají IT, kybernetické bezpečnosti a ochrany dat. Níže je přehled těch hlavních – od zavedeného GDPR, přes nové předpisy jako DORA nebo DSA, až po připravované NIS2, či AI Act.

 

1. GDPR – Obecné nařízení o ochraně osobních údajů

• Plný název: General Data Protection Regulation (EU) 2016/679
• V platnosti od: 25. května 2018
• Popis: Základní kámen ochrany osobních údajů v EU. Zavádí pravidla pro souhlas, transparentnost, přenositelnost dat a právo na výmaz.
• Dopad: Týká se všech firem zpracovávajících osobní údaje občanů EU. Vyžaduje jmenování DPO, hlášení úniků a dodržování práv subjektu údajů.

 

2. DMA – Zákon o digitálních trzích

• Plný název: Digital Markets Act (EU) 2022/1925
• V platnosti od: 2. května 2023
• Popis: Zaměřen na dominantní digitální platformy („gatekeepeři“). Zakazuje praktiky omezující konkurenci, např. zvýhodňování vlastních služeb.
• Dopad: Týká se technologických gigantů (Google, Apple, Meta). Vyžaduje interoperabilitu a transparentnost rozhraní.

 

 

3. DORA – Digitální provozní odolnost finančního sektoru

• Plný název: Digital Operational Resilience Act (EU) 2022/2554
• V platnosti od: 16. ledna 2023, účinnost od 17. ledna 2025
• Popis: Zvyšuje požadavky na kyberbezpečnost finančních institucí a jejich dodavatelů (včetně IT služeb).
• Dopad: Nutnost zavést řízení rizik, incident response, testování odolnosti, správu třetích stran.

 

4. DSA – Zákon o digitálních službách

• Plný název: Digital Services Act (EU) 2022/2065
• V platnosti od: 17. února 2024
• Popis: Pravidla pro platformy a online služby (sociální sítě, cloud, tržiště). Reguluje moderaci obsahu, reklamu a transparentnost algoritmů.
• Dopad: Týká se i malých a středních online služeb. Nutnost zavést oznamovací mechanismy, transparentní reporting, ochranu uživatelů.

 

5. CER – Kritické subjekty infrastruktury

• Plný název: Directive (EU) 2022/2557
• Předpoklad účinnosti v ČR: konec 2024
• Popis: Zajištění fyzické a provozní odolnosti subjektů kritické infrastruktury vůči krizím a hrozbám.
• Dopad: Povinnost provádět hodnocení rizik, mít krizové plány a bezpečnostní opatření i mimo oblast IT.

 

 

6. NIS2 – Směrnice o bezpečnosti sítí a informací

• Plný název: Directive (EU) 2022/2555
• Předpoklad účinnosti v ČR: konec 2025
• Popis: Nahrazuje původní směrnici NIS. Výrazně rozšiřuje rozsah organizací, které musejí plnit požadavky kybernetické bezpečnosti.
• Dopad: Dopad na desítky tisíc organizací – veřejná správa, energetika, zdravotnictví, MSP. Přísnější sankce, požadavky na řízení rizik, outsourcing, hlášení incidentů.

 

7. AI Act – Akt o umělé inteligenci

• Plný název: Artificial Intelligence Act (EU)
• Předpoklad účinnosti: 2025–2026 (postupné zavádění od 2025)
• Popis: První legislativa regulující AI podle rizikovosti systému. Rozděluje AI systémy do kategorií: zakázané, vysoce rizikové, omezené a volné.
• Dopad: Povinnost auditů, záznamů, lidského dohledu a transparentnosti pro vývojáře a nasazovatele AI systémů.

 

8. ePrivacy Regulation (zatím neschváleno)

• Plný název: Regulation on Privacy and Electronic Communications
• Stav: návrh od roku 2017, legislativní proces trvá
• Popis: Náhrada tzv. „cookie směrnice“. Reguluje soukromí v elektronické komunikaci – metadata, cookies, komerční sdělení.
• Dopad: Striktnější pravidla pro sledování uživatelů a práci s daty – navazuje na GDPR.