Evropská a česká legislativa relativně nedávno přinesla dva významné právní předpisy, které zásadně ovlivní digitální prostředí. Na evropské úrovni jde o AI Act[1], který představuje první ucelený rámec pro vývoj a používání umělé inteligence (AI). Na národní úrovni je to zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který do českého právního řádu přenáší evropskou směrnici NIS2. Tyto dva právní předpisy spolu sice souvisejí, ale zaměřují se věcně na odlišné oblasti a skupiny subjektů.
Systémy umělé inteligence
AI Act se soustředí na pravidla pro uvádění systémů umělé inteligence na trh, jejich provozování a využívání. Povinnosti dopadají na subjekty působící v roli poskytovatelů (providerů), tedy ty, kteří systémy AI vyvíjejí nebo distribuují, ale i na subjekty působící v roli uživatelů (deployerů), kteří AI využívají v rámci své činnosti. Okruh působnosti je tedy velmi široký a zasahuje jak soukromý, tak veřejný sektor. Nařízení rozlišuje různé úrovně rizika spojené s užíváním AI a pro vysoce rizikové systémy stanoví přísnější požadavky na dokumentaci, transparentnost či dohled.
Pro řadu uživatelů-zaměstnavatelů je novinkou povinnost zajistit, aby jejich zaměstnanci, kteří při práci používají systémy AI, disponovali odpovídající úrovní znalostí a dovedností. Tuto úroveň musí zaměstnavatel jako subjekt zavádějící AI systémy zajistit též u dalších osob, které se jeho jménem zabývají provozem a používáním systémů AI. Tyto povinnosti již postupně „nabíhají“ (vstupují v účinnost) – od 2. února 2025 v oblasti povinného školení zaměstnanců či dalších osob, třebaže plná použitelnost většiny dalších povinností z AI Actu nastane až s účinností od 2. 8. 2026.
Dle doporučení České asociace umělé inteligence[2] by se školení zaměstnanců nemělo omezovat pouze na ovládání konkrétního nástroje, ale mělo by poskytnout širší kontext a porozumění základním principům fungování AI. Součástí školení by měly být praktické scénáře z prostředí, v němž školení účastníci působí, a také aktivní práce s AI nástroji. Nezbytnou součástí jsou též etické a právní aspekty využívání AI, včetně zásad ochrany dat a odpovědného nakládání s výstupy AI.
Kybernetická bezpečnost
Zákon o kybernetické bezpečnosti naproti tomu směřuje k zajištění odolnosti sítí, informačních systémů a datových aktiv proti kybernetickým hrozbám. Povinnosti se vztahují na osoby poskytující regulované služby, tedy zejména subjekty z oblastí, kde je zajištění funkčnosti informačních systémů zásadní – energetika, zdravotnictví, doprava, finanční sektor, digitální infrastruktura či oblast výzkumu, vývoje a vzdělávání a další významná infrastruktura. Tyto subjekty budou zatíženy různými povinnostmi podle toho, jestli spadají do režimu vyšších nebo nižších povinností, což se řídí zejména s ohledem na význam poskytovatele, dopady jím poskytovaných služeb nebo rizikovost provozu. Pro posouzení tohoto zařazení je rozhodující nejen samotné znění zákona, ale i soubor kritérií uvedený v prováděcích vyhláškách zákona. Nicméně alespoň základní orientaci pro tzv. předběžný screening poskytuje rychlá kalkulačka dostupná na portálu NÚKIB: https://portal.nukib.gov.cz/kalkulacka
Zákon o kybernetické bezpečnosti vstupuje v účinnost 1. 11. 2025, přičemž podrobnosti a časové harmonogramy implementace stanoví prováděcí vyhlášky (které k datu tohoto přehledu ještě nebyly vyhlášeny).
Hlavní rozdíly obou regulací
Rozdíl mezi oběma právními předpisy je patrný zejména v jejich předmětu a okruhu povinných subjektů. AI Act se vztahuje na široké spektrum subjektů, které AI vyvíjejí nebo používají v rámci své činnosti, a to bez ohledu na jejich velikost či obor. Zákon o kybernetické bezpečnosti se naopak zaměřuje na poskytovatele vymezeného okruhu regulovaných služeb, kde je klíčová ochrana před kybernetickými incidenty. Odlišný je i časový rámec – některé povinnosti dle AI Actu jsou jeho adresáti již povinni dodržovat, přičemž postupně mezi lety 2025 a 2027 dojde k zavedení všech povinností, zatímco povinnosti podle zákona o kybernetické bezpečnosti budou povinné osoby (poskytovatele regulovaných služeb) tížit od začátku listopadu 2025 a roku 2026. V některých případech se povinnosti mohou překrývat – pokud subjekt zároveň využívá AI a poskytuje regulované služby. V takových situacích bude nezbytné implementovat oba režimy, každý podle pravidel příslušného právního předpisu.
Závěr a doporučení
Každá organizace by si měla zmapovat, jaké AI nástroje její zaměstnanci používají, ověřit, zda nehrozí vysoce rizikové případy, a nastavit odpovídající procesy včetně řízení rizik a zajištění proškolení pro všechny osoby, které při plnění svých povinností pro organizaci AI systémy využívají. Další povinnosti podle AI Actu se týkají např. řízení rizik u vysoce rizikových AI systémů.
Na subjekty poskytující regulované služby podle zákona o kybernetické bezpečnosti se vztahují povinnosti v oblasti řízení kybernetických rizik a incidentů v regulovaných službách. Rozsah těchto povinností se liší v závislosti na režimu vyšších nebo nižších povinností. Pro základní orientaci v těchto režimech mohou subjekty využít tzv. předběžný screening pomocí kalkulačky NÚKIB.
Osoby, které využívají systémy AI a zároveň poskytují regulované služby, budou muset plnit povinnosti jak podle AI Actu, tak podle zákona o kybernetické bezpečnosti. V takovém případě je řešení otázek zavádění a používání AI systémů vhodné v praxi propojit s bezpečnostními opatřeními podle zákona o kybernetické bezpečnosti. Včasná koordinace právních, IT a compliance týmů minimalizuje náklady a rizika.
Také používáte ve Vaší organizaci AI nástroje nebo alespoň zvažujete jejich zavedení, ať už jako uživatel nebo poskytovatel, a chcete mít jistotu, jaký bude tento krok mít právní dopad na Vaši organizaci a jaké povinnosti budete muset plnit? Neváhejte nás kontaktovat s žádostí o konzultaci.
HOLEC, DUDÁK, BARTŮŇKOVÁ ADVOKÁTI s.r.o.
7. 10. 2025
Právní upozornění: Žádná informace zde uvedená není právní radou a nesmí být takto vykládána nebo použita. Pro řešení Vaší konkrétní situace se prosíme obraťte na odborníka.
[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci)
[2] Dostupné zde [online]: https://asociace.ai/pravidla-pro-firmy-pri-vyberu-ai-vzdelavani-pro-zamestnance/