- Hana Skoupá
- Aktualizováno k 1. 11. 2025
Nový zákon o kybernetické bezpečnosti je účinný od 1. listopadu 2025. Od tohoto dne začala organizacím v Česku, které poskytují regulovanou službu, běžet 60denní lhůta pro ohlášení služeb NÚKIB. Této povinnosti předchází tzv. samoidentifikace, v rámci které si organizace musejí samy vyhodnotit, jestli na ně zákon dopadá nebo nikoliv. Jak na to?
Co je to samoidentifikace?
Samoidentifikace je proces, kdy si organizace musí sama posoudit, jestli spadá pod nový zákon o kybernetické bezpečnosti tím, že poskytuje regulovanou službu. Týká se tedy vlastně úplně všech společností a dalších organizací napříč odvětvími. V případě, že organizace vyhodnotí, že regulovanou službu poskytuje, musí to do 31. prosince 2025 (do 60 dnů od zjištění) ohlásit prostřednictvím Portálu NÚKIB.
Proč je to důležité?
Protože pokud byste byli regulovaným subjektem a neohlásili se na NÚKIB, mohla by vám hrozit pokuta – až 250 milionů korun nebo 2 % z ročního obratu (podle toho, co je víc).
I když uvedené sankce jsou spíš odstrašujícího charakteru, doporučujeme samoidentifikaci nepodcenit a opravdu zjistit si, jestli se vás nový zákon bude týkat.
Co si k samoidentifikaci připravit?
Velikost společnost: Velikost zjistíte podle počtu zaměstnanců nebo finančních ukazatelů. Při určování velikosti nezapomeňte přihlédnout ke všem společnostem ve své vlastnické struktuře v Česku i v zahraničí.
Všechny činnosti, kterými se zabýváte: Nemusí to být jen vaše hlavní podnikatelská činnost. Zkontrolujte si, co všechno máte zapsané v obchodním rejstříku, nevykonávané činnosti nechte vymazat. Regulovanou službou může být klidně i vaše vedlejší činnost zjištění nebo specifická služba. Více o podobných situacích, kvůli kterým můžete spadat pod zákon čtěte zde.
To, jestli na vás zákon dopadne, záleží na velikosti společnosti, typu i rozsahu služeb, které poskytujete. Pro rychlé ověření můžete využít dostupné nástroje, včetně našeho průvodce URCI.SE.
Na co si dát pozor?
Nenechávat samoidentifikaci na poslední chvíli.
Nemyslet si, že samoidentifikací to končí. Naopak – začíná.
Nespoléhat na to, že „když o tom nevíme, tak to asi neplatí“. Bohužel platí.
Stáhněte si e-book
FAQ k samoidentifikaci
Co je to samoidentifikace?
Samoidentifikace je proces, při kterém organizace sama posuzuje, jestli poskytuje regulovanou službu a spadá tak pod působnost nového zákona o kybernetické bezpečnosti účinného od 1. listopadu 2025. Jde o klíčový první krok k určení vašich povinností v oblasti kybernetické bezpečnosti. Nový Zákon o kybernetické bezpečnosti by měl být účinný na podzim 2025.
Kdo se musí samoidentifikovat?
Samoidentifikaci musí provést všechny organizace, aby zjistily, jestli poskytují alespoň jednu regulovanou službu a musí ji tak ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Některé organizace samoidentifikaci dělat nemusí, protože NÚKIB je jako povinné osoby registruje sám. Jde o podniky poskytující velmi specifické služby (jde například o subjekty kritické infrastruktury).
Pokud podnikáte v rámci skupiny, každá společnost v holdingu se musí samoidentifikovat a ohlásit své regulované služby sama za sebe. V České republice neplatí, že by holding přebíral stejný režim pro všechny společnosti.
Do kdy musím ohlásit regulovanou službu?
Ohlášení regulovaných služeb musíte provést nejpozději do 31. prosince 2025. Se samoidentifikací doporučujeme začít co nejdříve. Zejména u některých větších společností totiž může proces identifikace potenciálních regulovaných služeb zabrat více času.
Jaké jsou kroky samoidentifikace?
Proces samoidentifikace zahrnuje tři základní kroky:
- Analýzu činností – identifikace poskytovaných služeb se zaměřením na ty, které mohou spadat pod služby regulované
- Vyhodnocení prahových hodnot – zjištění velikostní kategorie organizace, uživatelé služeb
- Ohlášení regulovaných služeb – přes portál NÚKIB do 31. prosince 2025
Výsledkem ohlášení regulovaných služeb je rozhodnutí o registraci regulované služby, které vám doručí NÚKIB.
Jak zjistím, jestli spadám pod nový zákon o kybernetické bezpečnosti?
K tomu, abyste správně vyhodnotili, jestli spadáte pod nový zákon, potřebujete znát velikost vaší organizace (buď dle obratu nebo počtu zaměstnanců) a odvětví, ve kterých poskytujete nějaké služby. Pozor – nemusí jít jen o vaši hlavní podnikatelskou činnost, ale zohledňují se i vedlejší činnosti organizace. Následně zjistíte, jestli vaše poskytované služby jsou regulované podle vyhlášky o regulovaných službách.
Pro zjištění můžete také využít různě dostupné nástroje a kalkulačky, například průvodce na stránce urci.se. Výsledek doporučujeme vždy ověřit s odborníkem.
Jaké jsou sankce za neprovedení samoidentifikace?
Sankce za nesplnění povinností (včetně nesplnění povinnosti samoidentifikace) mohou dosáhnout až 250 milionů korun nebo 2 % z ročního obratu. Podle toho, co bude ve vašem případě víc.
Potřebuji externí pomoc se samoidentifikací?
Samoidentifikaci ve většině případech zvládnete sami. Konzultaci s odborníky doporučujeme, pokud si nejste jisti interpretací zákona, máte komplexní organizační strukturu, poskytujete služby ve více sektorech nebo chcete minimalizovat riziko chybného posouzení.
Kde najdu oficiální formuláře pro ohlášení regulované služby?
Oficiální informace k provedení samoidentifikace jsou uvedeny v legislativě a na Portále NÚKIB. Přes tento portál bude probíhat i samotné ohlášení regulovaných služeb. NÚKIB také průběžně aktualizuje informace a detaily k ohlášení regulované služby.
