Nový zákon o kybernetické bezpečnosti
Přinášíme vám aktualizované vydání newsletteru, ve kterém Vás informuje o aktualitách, které souvisejí s implementací povinností podle nového zákona o kybernetické bezpečnosti. V tomto vydání Vám představíme vybrané povinnosti a nové podpůrné materiály zveřejněné NÚKIB.
Lhůta pro ohlášení regulovaných služeb uplynula. Nyní je čas nahlásit údaje NÚKIB, pokud tak poskytovatelé regulovaných služeb doposud neučinili
NÚKIB v průběhu února rozeslal registrovaným poskytovatelům regulovaných služeb rozhodnutí o registraci. Dle veřejně dostupných informací k 8. únoru dosáhl počet nahlášených subjektů 4825, tedy nižší počet, než byl očekáván. Po doručení rozhodnutí o registraci mají poskytovatelé regulovaných služeb povinnost nahlásit doplňující údaje, pokud tak dosud neučinili. Hlásí se kontaktní údaje a informace o vlastnické struktuře poskytovatele regulované služby, technické údaje týkající se regulované služby, jako např. IP adresy a doménová jména, a informace o jejím geografickém rozšíření a přeshraničním poskytování.
NÚKIB zároveň upozorňuje, že poskytovatelé, kteří ohlášení regulovaných služeb doposud neprovedli, by tak měli učinit co nejdříve. NÚKIB disponuje interními databázemi se subjekty poskytujícími regulované služby a aktivně začal k registraci vyzývat poskytovatele, kteří se doposud neregistrovali.
V případě neohlášení některé ze služeb v této lhůtě čelí subjekty sankcím až 250 milionů Kč nebo až do výše 2 % čistého celosvětového ročního obratu. NÚKIB naznačuje, že délka případného prodlení může významně ovlivnit výši sankce. Ohlášení se provádí prostřednictvím Portálu NÚKIB.
Regulované služby registrovány, údaje nahlášeny. Co teď?
Poskytovatelé, kterým bylo doručeno rozhodnutí o registraci, mají 1 rok na implementaci a provádění přiměřených organizačních a technických opatření, včetně zavedení procesů pro hlášení kybernetických bezpečnostních incidentů. Bezpečnostní opatření se zavádí v rámci stanoveného rozsahu řízení kybernetické bezpečnosti. Konkrétní rozsah povinností se pak odvíjí od zařazení do režimu (nižší / vyšší povinnosti / poskytovatelé digitálních služeb) a je dále rozveden v příslušných prováděcích předpisech – prováděcí vyhlášky, resp. prováděcí nařízení Komise (jde-li o digitální služby).
V prvé řadě tak doporučujeme stanovit rozsah řízení kybernetické bezpečnosti. Tím se rozumí identifikace aktiv souvisejících s poskytováním regulované služby – ve zkratce to, jaké služby jsou poskytovány a na čem jsou závislé. Dále doporučujeme provést GAP analýzu – zmapování současného stavu bezpečnostních opatření ve Vaší organizaci, identifikaci mezer a návrh implementačního postupu. Regulace však počítá i s uznatelností bezpečnostních opatření dle jiných unijních předpisů.
Zvláštní pozornost je třeba věnovat roli vrcholného vedení. Regulace v některých případech ukládá povinnosti přímo statutárním orgánům, které mohou nést odpovědnost za jejich porušení. Poskytovatelé v režimu vyšších povinností mají navíc povinnost zřídit výbor pro řízení KB a jmenovat bezpečnostní role s odpovídajícími pravomocemi. Poskytovatelé v režimu nižších povinností pak musí určit osobu pověřenou kybernetickou bezpečností s odpovídajícími pravomocemi. Mezi další povinnosti patří mimo jiné povinnost absolvovat školení v oblasti kybernetické bezpečnosti, zajistit dostatečné zdroje (finanční i lidské), prosazovat zlepšování KB a seznamovat se s plněním bezpečnostních opatření.
NÚKIB zveřejnil další podpůrné materiály, které usnadní plnění povinností dle nové regulace
V souvislosti s účinností nového zákona o kybernetické bezpečnosti, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) postupně zveřejňuje nové podpůrné materiály. Tyto materiály obsahují praktické návody a přehledné informace, které pomohou při plnění povinností, které z nové regulace vyplývají.
Materiály
Materiály k mapování bezpečnostních opatření dle prováděcího nařízení pro poskytovatele digitálních služeb a (i) vyhlášky pro poskytovatele v režimu vyšších povinností a (ii) standardu ISO 270001 – Přehledně mapuje vazby mezi bezpečnostními opatřeními podle prováděcího nařízení Komise (EU) 2024/2690, které se týká digitálních služeb, a vyhlášky č. 409/2025 Sb., která upravuje režim vyšších povinností poskytovatelů regulovaných služeb. Zaměřuje se na poskytovatele digitálních služeb, jako jsou např. cloud computing, datová centra, DNS služby, online tržiště či sociální platformy, a je určen zejména subjektům, u nichž dochází k souběhu dle obou regulací. Jeho cílem je usnadnit implementaci bezpečnostních opatření v situacích, kdy se překrývají požadavky obou předpisů. Obdobný materiál zveřejnila i Evropská agentura pro bezpečnost sítí a informací (ENISA) ve vztahu k standardu ISO 270001.
Materiál k významnosti incidentu v režimu nižších povinností – Poskytuje praktický návod, jak mají poskytovatelé regulovaných služeb v režimu nižších povinností sami vyhodnocovat významnost dopadu kybernetických bezpečnostních incidentů. Na rozdíl od režimu vyšších povinností zde významnost neposuzuje NÚKIB, ale přímo poskytovatel. Popisuje tříkrokový proces zahrnující stanovení únosné míry újmy, posouzení dopadů v definovaných oblastech (např. provoz služby, počet dotčených osob či citlivost dat) a aplikaci rozhodovacího pravidla. Materiál poskytuje rovněž praktické příklady.
Materiál k aplikaci přiměřenosti při zavádění bezpečnostních opatření v režimu nižších povinností – Vysvětluje, jak uplatňovat zásadu přiměřenosti při zajišťování kybernetické bezpečnosti poskytovatelem regulované služby v režimu nižších povinností podle vyhlášky č. 410/2025 Sb. Vyhláška je založena na principu tzv. performativních pravidel – stanoví cíle, nikoliv konkrétní postupy; ponechává poskytovatelům prostor zvolit vhodná opatření s ohledem na jejich velikost, technické možnosti a specifika provozu. Materiál zdůrazňuje tři klíčové body přiměřenosti: proporcionalitu (opatření musí odpovídat závažnosti rizika a bezpečnostním potřebám), ekonomickou efektivitu (náklady nesmí převyšovat přínos a možný dopad incidentu) a uživatelskou přívětivost (příliš složitá opatření mohou vést k jejich obcházení). Materiál obsahuje také praktické příklady při zavádění bezpečnostních opatření.
Materiál k významnosti incidentu v režimu nižších povinností – Poskytuje praktický návod, jak mají poskytovatelé regulovaných služeb v režimu nižších povinností sami vyhodnocovat významnost dopadu kybernetických bezpečnostních incidentů. Na rozdíl od režimu vyšších povinností zde významnost neposuzuje NÚKIB, ale přímo poskytovatel. Popisuje tříkrokový proces zahrnující stanovení únosné míry újmy, posouzení dopadů v definovaných oblastech (např. provoz služby, počet dotčených osob či citlivost dat) a aplikaci rozhodovacího pravidla. Materiál poskytuje rovněž praktické příklady.
Doporučení k (ne)poskytování informací v oblasti kybernetické bezpečnosti – Shrnuje pravidla a limity poskytování informací s ohledem na ochranu kybernetické bezpečnosti podle § 36 zákona o kybernetické bezpečnosti, zákona o svobodném přístupu k informacím a zákona o ochraně utajovaných informací. Zdůrazňuje, že informace, jejichž zveřejnění by mohlo ohrozit bezpečnostní opatření nebo zajišťování kybernetické bezpečnosti, se neposkytují, přičemž zvláštní režim se vztahuje také na informace vedené v evidencích NÚKIB. Cílem materiálu je poskytnout vodítko, jak správně aplikovat výjimky z práva na informace v praxi.
Materiál k počítání velikosti podniku – Vysvětluje, jak postupovat při určování velikostní kategorie subjektu podle nového zákona, přičemž vychází z doporučení Evropské komise 2003/361/ES o definici mikropodniků a malých a středních podniků. Velikost podniku se určuje na základě počtu zaměstnanců, ročního obratu a bilanční sumy roční rozvahy. Materiál podrobně vysvětluje majetkovou provázanost, na základě, které se mohou společnosti považovat za propojené a jejichž velikost se sčítá. Podobně vysvětluje také provázanost personální. Zdůrazňuje, že zákon zavádí několik výjimek z obecných pravidel. Tak například osoby se zcela oddělenými technickými aktivy se nepovažují za partnerské či propojené podniky. Tato výjimka se typicky může uplatnit při investování do start-upů, kde nedochází k provázání informačních systémů nebo sdílení hardwaru napříč holdingem.
Materiál k hlášení kybernetických bezpečnostních incidentů – Ozřejmuje, co je incidentem a událostí, kdo má povinnost incidenty hlásit, jaký je postup a jaké sankce hrozí za opožděné nebo neprovedené ohlášení. Incidenty musí být hlášeny prostřednictvím Portálu NÚKIB (případně e-mailem či datovou schránkou) bez zbytečného odkladu, nejpozději do 24 hodin. Proces zahrnuje prvotní hlášení, následné oznámení do 72 hodin, průběžné zprávy na výzvu a závěrečnou zprávu do 30 dnů. Speciální pravidla se vztahují na vybrané digitální služby dle nařízení Komise (EU) 2024/2690. Samotný vznik incidentu není přestupkem, přestupkem je jeho neohlášení ve stanovené lhůtě.
Materiál ke stanovení rozsahu řízení kybernetické bezpečnosti – Osvětluje klíčové pojmy, zejména rozlišení primárních aktiv (poskytované služby a informace) a podpůrných aktiv (technická, personální a organizační zajištění). Rozsah řízení musí zahrnovat všechna aktiva související s poskytováním regulované služby a tvoří základ pro další povinnosti, jako je zavádění bezpečnostních opatření či hlášení incidentů. Stanovení rozsahu probíhá ve třech krocích – určení primárních aktiv, jejich posouzení z hlediska poskytování regulované služby a určení souvisejících podpůrných aktiv. Rozsah musí být řádně zdokumentován a pravidelně aktualizován. Do doby jeho stanovení platí výchozí rozsah všech aktiv poskytovatele. Nově nabytá nebo změněná aktiva jsou automaticky součástí rozsahu, dokud nedojde k jejich řádnému posouzení a potenciálnímu vyjmutí.
Materiál k informační povinnosti podle § 19 zákona – Popisuje povinnosti poskytovatele regulované služby vůči uživatelům jeho služby podle § 19 ZKB. Poskytovatel oznámí bez zbytečného odkladu uživatelům kybernetický bezpečnostní incident s významným dopadem, pokud to považuje za vhodné z důvodu zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv. Posouzení, zda je vhodné informovat o incidentu s významným dopadem, vždy závisí na konkrétní situaci, okolnostech a uvážení poskytovatele regulované služby. Zákon nestanovuje přesná kritéria, kdy oznámení je či není vhodné. NÚKIB však může ve správním řízení rozhodnout, že poskytovateli uloží povinnost informovat uživatele o incidentu nebo naopak uloží zákaz informovat, přičemž v rozhodnutí vždy stanoví rozsah informační povinnosti nebo zákazu a při rozhodování zvažuje bezpečnostní otázky, nikoliv obchodní zájmy poskytovatelů.
Návody
Návod k ohlášení regulované služby – Ohlášení regulované služby je první povinností podle § 6, kterou musí organizace splnit do 60 dnů prostřednictvím formuláře na Portálu NÚKIB dostupného od 1. listopadu 2025. Ohlášení provádí statutární orgán nebo pověřený zástupce po přihlášení přes Identitu občana, přičemž formulář vyžaduje určení velikosti podniku a výběr poskytovaných regulovaných služeb s automatickým určením režimu povinností. Po odeslání ohlášení obdrží organizace do datové schránky rozhodnutí o registraci, od jehož doručení začínají běžet lhůty k dalším povinnostem.
Návod k pověření zástupců organizací – ástupci organizace jsou fyzické osoby pověřené statutárním orgánem k provádění úkonů podle zákona o kybernetické bezpečnosti. Pokud má organizace českého člena statutárního orgánu a pověřuje osobu s českým dokladem, používá se formulář přes Portál NÚKIB s automatickým zpracováním po přihlášení přes Identitu občana, zatímco v případě člena statutárního orgánu ze zahraniční nebo pověřování cizince se používá formulář přes datovou schránku.
Návod k hlášení údajů k regulovaným službám – Hlášení kontaktních a doplňujících údajů podle § 11 musí poskytovatel provést do 30 dnů od doručení rozhodnutí o registraci. Formulář vyplňuje statutární orgán nebo pověřený zástupce po přihlášení přes Identitu občana, přičemž je třeba zadat kontaktní osoby a k jednotlivým regulovaným službám přiřadit tyto osoby a doplnit rozsahy veřejných IP adres a používaných doménových jmen. Údaje lze nahlásit rovnou při ohlášení regulované služby.
Schémata
Schéma pro samoidentifikaci v odvětví Výzkum a vývoj – Znázorňuje proces samoidentifikace pro regulovanou službu 19.1. Výzkum a vývoj dle nového zákona o kybernetické bezpečnosti. Některé výzkumné organizace mohou spadat i do režimu vyšších povinností., a to za situace, kdy v posledních 5 letech vykonávaly tzv. citlivou výzkumnou činnost (aplikovaný výzkum vojenského materiálu pro budoucí využití pro vojenské účely) nebo aplikovaný výzkum v oblasti pokročilých polovodičů, umělé inteligence, kvantové technologie nebo biotechnologie.
Navrhované změny legislativy v oblasti kybernetické bezpečnosti
Směrnice NIS 2 ani český zákon o kybernetické bezpečnosti nepředstavují konečný stav regulace. Na úrovni EU se již připravují další legislativní iniciativy; patří mezi ně:
- EU Digital Omnibus: Návrh směřuje ke zjednodušení a sjednocení ohlašování incidentů napříč EU, a to prostřednictvím jednotného vstupního bodu spravovaného agenturou ENISA.
- Revize aktu o kybernetické bezpečnosti (CSA 2): Navrhuje možnost jednotné certifikace kybernetické bezpečnosti platné také podle NIS 2
- Akt o digitálních sítích (DNA): Navazuje na revidovaný CSA 2 a navrhuje jednotné hlášení komunikačních služeb napříč EU.