Problematika kybernetické bezpečnosti začala být poprvé systémově státem řešena v roce 2000.

V roce 2010 bylo přijato usnesení vlády č. 205, které se věnuje Řešení problematiky kybernetické bezpečnosti České republiky.[1] Toto usnesení ustanovilo MVČR gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Ministru vnitra bylo dále uloženo:

1.     koordinovat činnost ostatních státních institucí v oblasti zajišťování kybernetické bezpečnosti,

2.     koordinovat zastupování České republiky v otázkách kybernetické bezpečnosti na mezinárodních fórech, včetně účasti státních orgánů na činnosti příslušných mezinárodních organizací,

3.     do 30. dubna 2010 předložit vládě ke schválení statut meziresortní koordinační rady pro kybernetickou bezpečnost,

4.     do 15. prosince 2010 předložit vládě strategii pro oblast kybernetické bezpečnosti,

5.     nejpozději k 31. prosinci 2010 zahájit zajišťování provozu vládního pracoviště CSIRT (Computer Security Incident Response Team).

Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast.[2] Současně tímto usnesením Vláda ČR zřídila Radu pro kybernetickou bezpečnost[3] a schválila vznik Národního centra kybernetické bezpečnosti (jakožto součásti NBÚ).

V roce 2011 byla přijata Strategie pro oblast kybernetické bezpečnosti České republiky na období let 2011 až 2015[4] a akční plán k této strategii. Nicméně díky převodu gesce z MVČR na NBÚ je tato strategie častěji označována jako: Strategie pro oblast kybernetické bezpečnosti České republiky na období let 2012 až 2015.[5]

V předložené strategii byly vytýčeny následující strategické cíle a opatření:

• vytvoření legislativního rámce,
• vybudování Národního centra kybernetické bezpečnosti a vládního pracoviště CERT,
• ochrana kritických informačních infrastruktur,
• posilování kybernetické bezpečnosti informačních a komunikačních systémů veřejné správy,
• zefektivnění potírání kriminality v kybernetickém prostoru,
• koordinace aktivit k zajištění kybernetické bezpečnosti v Evropě,
• používání spolehlivých a důvěryhodných informačních technologií,
• zvyšování povědomí o kybernetické bezpečnosti,
• odezva na kybernetické útoky.

Dne 28. června 2013 předložil NBÚ návrh zákona o kybernetické bezpečnosti Vládě České republiky. Následný legislativní proces proběhl bez významnějších připomínek a zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) vstoupil v platnost dne 29. srpna 2014 s účinností od 1. ledna 2015.

Současně se zákonem byly vypracovávány i prováděcí právní předpisy, konkrétně:

• vyhláška č. 316/2014, o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti);
• vyhláška č. 317/2014, kterou se stanoví významné informační systémy a jejich určující kritéria;
• vyhláška č. 315/2014, novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.

Veškeré prováděcí předpisy nabyly účinnosti současně se zákonem o kybernetické bezpečnosti.

V srpnu 2015 byl na základě požadavků stanovených v ZoKB vybrán provozovatel Národního CERT týmu. Tímto provozovatelem se stalo sdružení CZ.NIC.[6] Dne 18. prosince 2015 pak došlo k podpisu Veřejnoprávní smlouvy o zajištění činnosti Národního CERT a o spolupráci v oblasti kybernetické bezpečnosti.[7] Tato smlouva byla uzavřena na dobu neurčitou.

Zákon o kybernetické bezpečnosti od roku 2015, kdy nabyl účinnosti, prošel dvěma obsahově významnými novelizacemi.

První novelizace byla provedena zákonem č. 104/2017 Sb.,[8] s účinností od 1. července 2017 a zákona č. 205/2017 Sb. s účinností od 1. srpna 2017. Tato novela rozšířila okruh povinných osob spadajících pod ZoKB o provozovatele informačních systémů a dále upravila některé sankce.

Druhá obsahově významnější novelizace byla provedena zákonem č. 205/2017 Sb.,[9] s účinností od 1. srpna 2017. Touto novelou byla do ZoKB implementována Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (NIS) a zároveň byl zřízen Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který po NBÚ převzal práva a povinnosti v oblasti kybernetické bezpečnosti včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. NÚKIB je ve výše uvedených oblastech ústředním správním orgánem.

V současné době je problematika kybernetické bezpečnosti specificky řešena zákonem o kybernetické bezpečnosti, nicméně dílčí aspekty ochrany České republiky před kybernetickými útoky je možné nalézt i v jiných právních předpisech. Z pohledu kybernetické bezpečnosti jsou nejvýznamnějšími následující dokumenty:

Ústavní zákony

• Ústavní zákon č. 1/1993 Sb., Ústava České republiky, ve znění pozdějších předpisů
• Ústavní zákon č. 2/1993 Sb., Listina základních práv a svobod, ve znění pozdějších předpisů[10]
• Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky

Zákony

• zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů
• zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů[11]
• zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů
• zákon č. 240/2000 Sb., o krizovém řízení a změně některých zákonů (krizový zákon), ve znění pozdějších předpisů
• zákon č. 365/2000 Sb., o informačních systémech veřejné správy, ve znění pozdějších předpisů
• zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů[12]
• zákon č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů[13]
• zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů[14]
• zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění pozdějších předpisů
• zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů
• zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů[15]
• zákon č. 111/2009 Sb., o základních registrech, ve znění pozdějších předpisů
• zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim
• zákon č. 89/2012 Sb., občanský zákoník
• zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
• zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce

Prováděcí předpisy

• nařízení vlády č. 522/2005 Sb., kterým se stanoví seznamy utajovaných informací, ve znění pozdějších předpisů 
• vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor, ve znění pozdějších předpisů
• vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy)
• nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
• vyhláška 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů
• vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
• vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
• vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)