- Hana Skoupá
Návrh nového Zákona o kybernetické bezpečnosti prošel Senátem bez jediného pozměňovacího návrhu. Teď už zbývá jen podpis prezidenta – a pravidla se začnou měnit. Jednou z hlavních novinek je povinnost tzv. samoidentifikace. Znamená to, že si firmy musí samy vyhodnotit, jestli na ně zákon dopadá, a pokud ano, ohlásit to státu. Co to v praxi znamená a kde začít?
Co je to samoidentifikace?
Samoidentifikace je proces, kdy si organizace musí sama posoudit, jestli spadá pod nový zákon o kybernetické bezpečnosti tím, že poskytuje regulovanou službu. A pokud ano, musí to do 60 dní od účinnosti zákona ohlásit na Portále NÚKIB. Týká se tedy vlastně úplně všech společností a dalších organizací napříč odvětvími.
Proč je to důležité?
Protože pokud byste byli regulovaným subjektem a neohlásili se na NÚKIB, mohla by vám hrozit pokuta – až 250 milionů korun nebo 2 % z ročního obratu (podle toho, co je víc).
I když uvedené sankce jsou spíš odstrašujícího charakteru, doporučujeme samoidentifikaci nepodcenit a opravdu zjistit si, jestli se vás nový zákon bude týkat.
Co si k samoidentifikaci připravit?
Velikost společnost: Při určování velikosti nezapomeňte zahrnout všechny společnosti ve své vlastnické struktuře, a to nejen v Česku (např. mateřské nebo dceřiné společnosti apod.). Počítat můžete podle počtu zaměstnanců nebo finančních ukazatelů.
Všechny činnosti, kterými se zabýváte: Nestačí jen vaše hlavní podnikatelská činnost. Zkontrolujte si, co všechno máte zapsané v obchodním rejstříku, nevykonávané činnosti nechte vymazat. Pro zjištění, jestli na vás zákon dopadne může být rozhodující i vedlejší podnikání nebo specifická služba (např. pokud máte tzv. ERU licenci na výrobu elektřiny fotovoltaikou).
To, jestli na vás zákon dopadne, záleží na velikosti společnosti, typu i rozsahu služeb, které poskytujete. Pro rychlé ověření můžete využít dostupné nástroje, včetně našeho průvodce URCI.SE.
Na co si dát pozor?
Nenechávat samoidentifikaci na poslední chvíli.
Nemyslet si, že samoidentifikací to končí. Naopak – začíná.
Nespoléhat na to, že „když o tom nevíme, tak to asi neplatí“. Bohužel platí.
Stáhněte si e-book
FAQ k samoidentifikaci
Co je to samoidentifikace?
Samoidentifikace je proces, při kterém organizace sama posuzuje, jestli poskytuje regulovanou službu a spadá tak pod působnost nového Zákona o kybernetické bezpečnosti. Jde o klíčový první krok k určení vašich povinností v oblasti kybernetické bezpečnosti. Nový Zákon o kybernetické bezpečnosti by měl být účinný na podzim 2025.
Kdo se musí samoidentifikovat?
Samoidentifikaci musí provést všechny organizace, aby zjistily, jestli poskytují alespoň jednu regulovanou službu a musí ji tak ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Některé organizace samoidentifikaci dělat nemusí, protože NÚKIB je jako povinné osoby registruje sám. Jde o podniky poskytující velmi specifické služby (jde například o subjekty kritické infrastruktury).
Pokud podnikáte v rámci skupiny, každá společnost v holdingu se musí samoidentifikovat a ohlásit své regulované služby sama za sebe. V České republice neplatí, že by holding přebíral stejný režim pro všechny společnosti.
Do kdy musím ohlásit regulovanou službu?
Ohlášení regulovaných služeb musíte provést nejpozději do 60 dnů od účinnosti nového Zákona o kybernetické bezpečnosti. Se samoidentifikací tedy doporučujeme začít co nejdříve. U některých větších společností může trvat delší dobu, než se identifikují všechny služby, které by mohly spadat mezi regulované.
Jaké jsou kroky samoidentifikace?
Proces samoidentifikace zahrnuje tři základní kroky:
- Analýzu činností – identifikace poskytovaných služeb
- Vyhodnocení prahových hodnot – počet zaměstnanců, obrat, uživatelé služeb
- Ohlášení regulovaných služeb – přes portál NÚKIB
Výsledkem ohlášení regulovaných služeb je rozhodnutí o registraci regulované služby, které vám doručí NÚKIB.
Jak zjistím, jestli spadám pod nový Zákon o kybernetické bezpečnosti?
K tomu, abyste správně vyhodnotili, jestli budete spadat pod nový zákon, potřebujete znát velikost vaší organizace (buď dle obratu nebo počtu zaměstnanců) a odvětví, ve kterých poskytujete nějaké služby. Pozor – nemusí jít jen o vaši hlavní podnikatelskou činnost, ale zohledňují se i vedlejší činnosti organizace. Následně zjistíte, jestli vaše poskytované služby jsou regulované podle vyhlášky o regulovaných službách.
Pro zjištění můžete také využít různě dostupné nástroje a kalkulačky, například průvodce na stránce urci.se.
Jaké jsou sankce za neprovedení samoidentifikace?
Sankce za nesplnění povinností (včetně nesplnění povinnosti samoidentifikace) mohou dosáhnout až 250 milionů korun nebo 2 % z ročního obratu. Podle toho, co bude ve vašem případě víc.
Potřebuji externí pomoc se samoidentifikací?
Samoidentifikaci ve většině případech zvládnete sami. Konzultaci s odborníky doporučujeme, pokud si nejste jisti interpretací zákona, máte komplexní organizační strukturu, poskytujete služby ve více sektorech nebo chcete minimalizovat riziko chybného posouzení.
Kde najdu oficiální formuláře pro ohlášení regulované služby?
Oficiální informace k provedení samoidentifikace jsou uvedeny v legislativě a na Portále NÚKIB. Přes tento portál bude probíhat i samotné ohlášení regulovaných služeb. NÚKIB také průběžně aktualizuje informace a detaily k ohlášení regulované služby.
