Nový zákon o kybernetické bezpečnosti zavádí změny dané směrnicí NIS2 do českého právního řádu. Hlavním cílem nového zákona, a jeho prováděcích předpisů v podobě několika vyhlášek je definovat určitou (minimální) úroveň zabezpečení IT infrastruktury v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích a tím zvýšit úroveň ochrany proti útokům v kyberprostoru.
Jde o zákon č. 264/2025 Sb. o kybernetické bezpečnosti (zákon) a navazující prováděcí vyhlášku č. 408/2025 o regulovaných službách (vyhláška), které nabyly účinnosti ke dni 01. 11. 2025.
Každá organizace bude povinna ve lhůtě 60 dnů od nabytí účinnosti zákona sama vyhodnotit, zda spadá do režimu podle nového zákona o kybernetické bezpečnosti.
Kritérii jsou, velikost podniku, zda působí v odvětví, které je zákonem regulováno (energetika, zdravotnictví, digitální služby apod.), a zda v tomto odvětví přímo poskytuje službu nebo činnost, která je regulována.
Harmonogram plnění povinností dle nového zákona:
- Nabytí účinnosti nového zákona k 1. 11. 2025.
- Každá organizace je povinna po účinnosti zákona sama vyhodnotit, zda spadá do režimu nového zákona (zda poskytuje regulovanou službu) a tuto skutečnost musí ohlásit Úřadu pro kybernetickou bezpečnost. Tuto ohlašovací povinnost musí splnit do 60 dnů od nabytí účinnosti zákona, tedy do 31. 12. 2025. Ohlášení se povede elektronicky vyplněním formuláře prostřednictvím internetových stránek Úřadu (https://nukib.gov.cz/).
- V návaznosti na toto ohlášení přijde organizaci (zpravidla v ten samý den) automaticky systémem vygenerované potvrzení (rozhodnutí) o její registraci jako provozovatele služby spadající do režimu nového zákona.
- Rozhodnutí o registraci obdrží organizace do datové schránky, přičemž datum doručení je klíčové z hlediska běhu dalších lhůt dle citovaného zákona.
- Nejpozději do 1 roku od doručení rozhodnutí o registraci je organizace povinna se přizpůsobit požadavkům zákona, tedy předně zavést bezpečnostní opatření a začít hlásit případné kybernetické bezpečnostní incidenty.
Jak vyplývá ze shora uvedeného účinností nového zákona tedy vznikají organizacím pouze určité a v zásadě snadno splnitelné povinnosti, jako je registrace či nahlášení kontaktních údajů. Základní opatření za účelem splnění vyžadovaných standardů kybernetické bezpečnosti a nastavení procesů dle nového zákona tedy bude třeba implementovat nejpozději (budeme-li počítat s provedením registrace až ke konci zákonné lhůty) do 31. 12. 2026. Neznamená to však, že je do tohoto data potřeba zavést úplně všechna opatření, je však třeba začít s jejich postupným zaváděním a zajistit hlášení případných kybernetických bezpečnostních incidentů.
Každá organizace, pokud splní podmínky pro registraci, bude spadat podle své velikosti a významnosti do jednoho ze dvou režimů, a sice tzv. režim nižších povinností a režim vyšších povinností.
- Režim nižších povinností se vztahuje na střední podniky, které sice poskytují důležité služby, ale nemají zásadní strategický význam.
- Režim vyšších povinností bude platit pro velké podniky se strategickým významem pro společnost.
Jde o opatření směřující k zajištění určité minimální úrovně kybernetické bezpečnosti, stanoví se určité povinnosti pro vrcholové vedení společnosti, určí se jednotlivým zaměstnancům bezpečnostní role, stanoví se pravidla pro řízení dodavatelů, zajistí se fyzická bezpečnost zařízení a komunikačních sítí, stanoví se pravidla pro ověřování identit administrátorů a uživatelů, stanoví se pravidla pro zvládání a hlášení kybernetických bezpečnostních událostí a incidentů atd.
V návaznosti na typ režimu bude třeba, aby organizace provedla adekvátní bezpečnostní opatření, která jsou upravena příslušnou vyhláškou.
Poskytovatel služby, který splňuje podmínky pro registraci regulované služby podle zákona je sám povinen tuto službu ohlásit Úřadu pro kybernetickou bezpečnost pro účely vydání rozhodnutí o registraci regulované služby. Přičemž nový zákon o kybernetické bezpečnosti vychází z principu tzv. samoidentifikace, kdy povinná osoba sama na základě vlastní analýzy ověří, zda pod regulaci zákona spadá, či nikoliv.
Podmínky pro registraci regulované služby (resp. podmínky, při jejichž naplnění má povinná osoba ohlašovací povinnost vůči úřadu) zákon stanovil (§ 4 zákona) tak, že:
- povinná osoba (poskytovatel služby) je alespoň středním nebo velkým podnikem a zároveň
- povinná osoba poskytuje službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice v některém ze zákonem definovaných odvětví.
Určení velikosti podniku
Při určení velikosti organizace zákon o kybernetické bezpečnosti stanoví povinnost (§ 4 odst. 1) vycházet z doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.
Kritéria pro počítání velikosti podniku jsou:
- počet zaměstnanců a zároveň
- roční obrat nebo bilanční suma roční rozvahy.
K výkladu citovaného doporučení Komise slouží Uživatelská příručka k definici malých a středních podniků (dostupné na oficiálních stránkách (https://op.europa.eu/).
Počet zaměstnanců. Počítají se jen zaměstnanci na hlavní pracovní poměr na pracovní smlouvu, byť se zkráceným úvazkem, ale bez DPP a DPČ a bez OSVČ.
Finanční kritéria. Roční obrat se určuje výpočtem příjmů, které organizace během daného roku získala z prodeje výrobků a poskytování služeb v rámci běžných činností podniku. Bilanční suma roční rozvahy se vztahuje k hodnotě hlavních aktiv organizace. Kategorie velikosti podniku se stanoví podle nižšího z finančních kritérií. Obrat ani bilanční suma rozvahy nejsou zpracovateli známy, nicméně, jak bude uvedeno dále, nejsou pro účely této analýzy důležité.
Výpočet. Výsledná kategorie velikosti podniku se určí tak, že se nejprve na základě finančních kritérií (roční obrat a bilanční suma roční rozvahy) provizorně určí kategorie velikosti podniku podle nižšího z finančních kritérií, následně se porovná počet zaměstnanců. Konečná kategorie velikosti podniku bude určena jako vyšší kategorie ve srovnání počtu zaměstnanců a finančních kritérií.
Určení poskytované služby
Detailní seznam regulovaných služeb uvedených v zákoně o kybernetické bezpečnosti je uveden ve vyhlášce o regulovaných službách.
