Blog

V kontextu posledních týdnů a měsíců nemá smysl opět připomínat, o čem je Zákon č. 264/2025 Sb., o kybernetické bezpečnosti. O jeho dopadech a přínosech jsme ostatně psali v minulých článcích. Zákon jako takový je však od 1. 11. v účinnosti a společnostem již plynou určité povinnosti. Jaké to jsou?

Ohlášení regulované služby

Po nabytí účinnosti zákona a vyhlášky o regulovaných službách ke dni 1. listopadu 2025 vzniká povinnost ohlásit poskytování regulované služby prostřednictvím portálu NÚKIB.  Ohlášení regulované služby může provést pouze statutár společnosti nebo tzv. zástupce, kterého však musí pověřit statutár společnosti. Toto ohlášení je zásadní krok – až na jeho základě může stát provádět dozor, metodické vedení a komunikaci v případě incidentů.

Po podání ohlášení NÚKIB rozhodne o registraci subjektu. Od doručení rozhodnutí o registraci běží lhůta 30 dnů, během níž musí organizace nahlásit kontaktní osoby a další doplňující údaje jakou jsou veřejné IP adresy k dané regulované službě a používaná doménová jména. Tento krok je časově pevně stanoven a je třeba se na něj administrativně
připravit. Naši konzultanti jsou připraveni s Vámi pojít krok po kroku ohlášení regulované služby.

Dva režimy povinností

Zákon pracuje se dvěma úrovněmi povinností – režimem nižší povinnosti a režimem vyšší povinnosti. To, do kterého z režimů subjekt spadá, se určuje nejen podle jeho velikosti společnosti (počet zaměstnanců, obrat, rozvaha), ale podle povahy a významu poskytovaných služeb. Proces zařazení do režimu je definován vyhláškou č. 408/2025 Sb., o
kategorizaci regulovaných služeb. Každý subjekt má povinnost sám posoudit, zda poskytuje službu uvedenou ve vyhlášce, a podle toho se zařadit do jednoho z režimů.

Režim vyšší povinnosti znamená rozsáhlejší bezpečnostní opatření, povinné role a přísnější dohled. Režim nižší povinnosti představuje základní, ale stále závazný rámec bezpečnostních opatření. V obou případech jde o povinné a kontrolovatelné požadavky.

Důležité lhůty

Jak již zaznělo v textu výše, tak zákon je účinný od 1. 11. 2025 a od toho termínu běží 60ti denní lhůta pro ohlášení regulované služby. Důležitým milníkem z pohledu dalších aktivit lze brát Rozhodnutí o registraci. Od okamžiku přijetí tohoto rozhodnutí od NÚKIBu plyne lhůta 30 dnů na doplnění kontaktních údajů a lhůta jeden rok pro implementaci všech povinností stanovených zákonem a prováděcími
vyhláškami:

• Vyhláška
  č. 409/2025 Sb. – pro subjekty v režimu vyšší povinnosti
• Vyhláška
  č. 410/2025 Sb. – pro subjekty v režimu nižší povinnosti

Zdroj: https://portal.nukib.gov.cz/storage/uploads/2025/11/11/harmonoram-nzkb-v2_uid_69136221347c6.png

Povinnost implementace zahrnuje zavedení řízení rizik, incidentů, provozní kontinuity, bezpečné správy sítí a systémů, školení vedení a zaměstnanců a vytvoření prokazatelné dokumentace. Dokumentované informace jsou klíčové – při kontrole NÚKIB se dokazuje výhradně dokumenty a záznamy, nikoliv ústním vysvětlením.

Firmy, které již mají certifikaci ISO/IEC 27001, mají značnou výhodu, protože velká část procesního rámce je využitelná. I přesto bude nutné doplnit specifické požadavky zákona.

Závěr

Často se naši konzultanti setkávají s chybným názorem: „My, ale neposkytujeme žádnou kritickou infrastrukturu státu“.  Kritická infrastruktura státu je hlavní důvod implementace NIS2 do české legislativy, ale nikoli jediný. A proto doporučujeme všem společnostem projít Vyhlášku č. 408/2025 Sb. o regulovaných službách, aby se mohli s jistotou identifikovat jako subjekt nespadající pod Zákon o kybernetické bezpečnosti. 

Organizace, které se s námi připraví včas, sníží náklady na případnou likvidaci škod z incidentů, získají stabilitu a mohou využít kybernetickou bezpečnost jako konkurenční výhodu, nikoliv jako zátěž