Rechtsmeldung | Tschechische Republik | Cybersicherheit
Tschechien stärkt gesetzlich die Cyberresilienz
Das neue Cybersicherheitsgesetz erweitert erheblich die Anforderungen an Unternehmen. Sie sollten sich frühzeitig mit den Änderungen vertraut machen, um Fristen einzuhalten.
24.11.2025
Von Yevgeniya Rozhyna | Bonn
Mit dem Gesetz wird die Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) umgesetzt. Diese EU-weite Regelung dient der Verbesserung der Cybersicherheit. Die neuen Regularien sind seit dem 1. November 2025 gültig und ersetzen die bestehende Gesetzgebung.
Das Gesetz (Nr. 264/2025 Sb.) erweitert den Anwendungsbereich für Betreiber kritischer Infrastrukturen und umfasst nun auch mittelständische Unternehmen. Durch das Konzept der Selbstidentifikation ist jedes Unternehmen dazu verpflichtet eine Selbstbewertung vorzunehmen und zu prüfen, ob es die relevanten Kriterien erfüllt. Sofern die Kriterien erfüllt sind, besteht der nächste Schritt darin die regulierten Dienstleistungen der Nationalen Cyber- und Informationssicherheit (NÚKIB) zu melden. Die Meldung und die Registrierung bei der Sicherheitsbehörde muss bis zum 31. Dezember 2025 erfolgen.
Wer muss sich registrieren?
I. Unternehmen oder Organisationen, die in einem regulierten Sektor, gemäß § 4 des Cybersicherheitsgesetzes, tätig sind:
- öffentliche Verwaltung;
- Energiebranche;
- verarbeitende Industrie;
- Lebensmittelindustrie;
- chemische Industrie;
- Wasserwirtschaft;
- Recht- und Justiz;
- digitale Infrastruktur und Dienstleistungen;
- Finanzwesen;
- Gesundheitswesen;
- Wissenschaft, Forschung und Bildung;
- Post- und Kurierdienste;
- Verteidigungsindustrie;
- Raumfahrtindustrie.
II. Unternehmen und Organisationen, die Kriterien bezüglich der Unternehmensgröße nach Empfehlung der EU-Kommission 2003/361/EG erfüllen:
- Mittlere Unternehmen mit weniger als 250 Beschäftigten, einem Jahresumsatz von höchstens 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro;
- Große Unternehmen mit mehr als 250 Beschäftigten, einem Jahresumsatz von über 50 Millionen Euro oder einer Jahresbilanz über 43 Millionen Euro.
III. Nicht betroffen: Einzelunternehmen und kleine Unternehmen, sofern sie keine regulierten Dienste erbringen oder als kritisch für die Infrastruktur eingestuft sind.
Spätestens ein Jahr nach der Registrierung müssen die vorgeschriebenen Sicherungsmaßnahmen umgesetzt werden. Unternehmen sollten daher frühzeitig damit beginnen, organisatorische und technische Sicherheitsmaßnahmen umzusetzen. So lassen sich Compliance-Risiken reduzieren und Geldbußen vermeiden. Denn die Nichteinhaltung der Vorschriften wird mit Geldstrafen von bis zu 250 Millionen Tschechischen Kronen oder zwei Prozent des weltweiten Umsatzes geahndet.
NÚKIB stellt einen ausführlichen Leitfaden mit Informationen rund um die neuen Pflichten zur Verfügung.
Zum Thema:
