Od 1. listopadu je účinný nový zákon o kybernetické bezpečnosti, který implementuje změny dané směrnicí NIS2.
Na koho zákon dopadá
Právní úprava se dotkne subjektů, které poskytují některou z regulovaných služeb. Výčet těchto služeb a dalších kritérií je uveden v příloze vyhlášky o regulovaných službách. Pokud poskytujete některou z vyjmenovaných služeb a splňujete potřebná kritéria, jste poskytovatelem regulované služby a dopadají na vás povinnosti dle zákona o kybernetické bezpečnosti, a to v příslušném režimu.
Zákon dále odlišuje speciální subjekty, kterým přidává některé zvláštní povinnosti. Jedná se o subjekty poskytující službu registraci domén a poskytovatele strategicky významných služeb (služeb, jejichž narušení by mohlo míz závažný dopad na bezpečnost ČR nebo vnitřní pořádek). Strategicky významné služby budou stanoveny nařízením vlády.
Dva režimy povinností
Zákon rozlišuje dva režimy povinností: 1. režim vyšších povinností a 2. režim nižších povinností. Kritéria pro zařazení do daného režimu jsou dána rovněž přílohou vyhlášky o regulovaných službách. Základním kritériem je velikost podniku, může se ale jednat i o další faktory.
Zákon však vyjmenovává poskytovatele, kteří budou vždy v režimu vyšších povinností. Jedná se o:
- poskytovatele regulované služby, kteří splní dvě výše popsaná kritéria, a kteří
- jsou jediným poskytovatelem této služby v ČR,
- poskytují službu, jejíž narušení by mohlo mít významný dopad na bezpečnost ČR, vnitřní pořádek nebo život a zdraví,
- poskytují službu, jejíž narušení by mohlo vyvolat významná systémová rizika,
- jsou pro svůj specifický význam na regionální nebo celostátní úrovni zásadní pro konkrétní odvětví;
- poskytovatele služby, jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí;
- poskytovatele služby, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností;
- subjekty kritické infrastruktury.
Povinnosti
a) Registrace
První povinnost, kterou musí poskytovatel regulované služby splnit, je registrace. Registrovat regulovanou službu je nutné do 60 dnů od splnění podmínek pro registraci (pokud jsou splněny již před účinností zákona, bude to 60 dnů od nabytí účinnosti). Registrace se provádí prostřednictvím Portálu NÚKIB. Poskytovateli je následně doručeno rozhodnutí o registraci, to je významné zejména pro počítání lhůt k plnění dalších povinností.
b) Hlášení kontaktních údajů
Poskytovatel musí ohlásit kontaktní a doplňující údaje nejpozději do 30 dnů od doručení rozhodnutí o registraci. Hlášení se provádí opět prostřednictvím Portálu NÚKIB.
c) Hlášení kybernetických bezpečnostních incidentů
Nejpozději do 1 roku od doručení rozhodnutí o registraci je poskytovatel povinen začít hlásit kybernetické bezpečnostní incidenty.
Poskytovatel v režimu vyšších povinností musí hlásit NŮKIBu všechny kybernetické bezpečnostní incidenty, u nichž nelze vyloučit úmyslné zavinění. Poskytovatel v režimu nižších povinností bude hlásit Národnímu CERTu ty incidenty, které mají významný dopad a nelze u nich vyloučit úmyslné zavinění. Hlášení se budou podávat prostřednictvím Portálu NÚKIB.
S tímto se také pojí povinnost vést evidenci údajů o kybernetických bezpečnostních incidentech, událostech, hrozbách a zranitelnostech.
d) Bezpečnostní opatření
Ve stejné lhůtě, tedy do 1 roku, musí být zavedena bezpečnostní opatření, ta se liší dle režimu povinností. Zákon vyjmenovává oblasti bezpečnostních opatření, konkrétní povinnosti stanoví NÚKIB vyhláškami pro příslušné režimy (pro režim vyšších povinností zde, pro režim nižších povinností zde).
(https://portal.nukib.gov.cz/storage/uploads/2025/11/11/harmonoram-nzkb-v2_uid_69136221347c6.png)
Sankce
za nedodržení povinností hrozí poskytovateli v režimu vyšších povinností pokuty až do výše 250 mil. Kč, poskytovateli v režimu nižších povinností pak do výše 175 mil. Kč.
V případě, že budete mít v této souvislosti zájem o více informací, neváhejte se na nás obrátit.
Tento článek je pouze informativní a nepředstavuje právní radu ani návod pro konkrétní případ.