- Barbora Hanáková
The new Cybersecurity Act has only been in force for a short time, so you may have just discovered that you provide some of the regulated services. Are you now trying to figure out how to report these services correctly? Let’s walk through the entire process together – we have a practical guide that will help you submit your notification on time (by 31 December 2025) and in full compliance with the law.
What exactly will you be reporting?
On the NÚKIB portal you are not reporting your organisation as such. The notification concerns specific regulated servicesyou provide. Everything is submitted through a single form, where you list all the services at once. The notification can only be submitted by the statutory body or a designated representative.. Login takes place via the Identity of the Citizen system, which is an essential part of the entire process.
Still figuring out whether the new law applies to you?
Use our free guide Urči.se and perform a basic self-assessment yourself.
Don’t forget to have the result verified by an expert!
What will you need for the notification?
Preparation is key – and when reporting a regulated service, this is twice as true. The form must be completed in one go and it cannot be saved as you progress. We therefore recommend preparing all information in advance so you don’t have to repeat the entire process.
Before you access the NÚKIB Portal, prepare the following information:
- Company size – consolidated number of employees, annual turnover, and a balance sheet (not required for state authorities or local government bodies)
- List of contact persons and their contact details (name, surname, phone number, email) – if unavailable at the time of submission, they can be added within 30 days from receiving the registration decision
- List of regulated services
- Sector in which the regulated service is provided
- Additional information related to the regulated service – e.g. whether you hold an electricity production licence
- List of public IP addresses and domainsrelated to the regulated service (if you do not have them at the time of submission, they must be provided within 30 days of receiving the registration decision)
How to proceed?
- Open the “Reporting regulated services” form on the NÚKIB Portal in the “I want to solve“ section.
- Log in using the Citizen Identity (bank identity, eObčanka, MojeID, etc.).
- From the list, select the organisation for which you will be reporting regulated services.
If you need to report regulated services for multiple companies, the process must be completed separately for each entity.
- Enter the consolidated number of employees, annual turnover, and balance sheet.
- If you already have a list of contact persons, you can fill in their details now. If the managing director or representative wants to be listed as a contact person, they must be added here as well.
- In the next step, within the Regulation Calculator select the sector and then add the specific regulated service, including any additional information.
- If you have entered contact persons earlier, you can now assign them to each reported service.
- The next step is adding the list of public IP addresses and domainsrelated to the service, if available.
- If you provide regulated services from the Digital Infrastructure sector, enter the additional required information.
- You’re nearly at the finish line. Now all that is left is check all the information and submit the form.You will then be able to download a certificate of the digital action.
- Finally, you will receive a registration decisionin your data mailbox. From this moment, the 30-day deadline for supplementing contact persons and IP addresses/domains begins (if not provided already).
What do you already have in place – and what’s still ahead?
What if the statutory representative cannot submit the notification?
Pokud za vaši organizaci nemůže či nebude ohlášení podávat statutární orgán, je potřeba pověřit zástupce. Tento krok vyřídíte přímo na Portálu NÚKIB v sekci „I want to solve – Authorisation/removal of representative“ section.
Zde se statutární orgán přihlásí pomocí Identity občana a následně ve formuláři vyplní jméno, příjmení, e-mail a číslo dokladu totožnosti zvoleného zástupce. Tímto způsobem je možné přidat i více zástupců. Po vyplnění údajů už je potřeba jen zkontrolovat údaje a žádost potvrdit. Po potvrzení může daný zástupce ohlásit regulované služby, nahlásit kontaktní údaje či incidenty místo statutárního orgánu. Zástupce organizace není automaticky kontaktní osobou vyplněnou u konkrétní regulované služby.
Důležité upozornění: stejně jako pro ohlášení regulované služby i pro pověření zástupce stačí jedna osoba ze statutárního orgánu, ačkoliv v jiných podobných případech musí jednat společně s další osobou (např. zavázání společnosti).
Co když statutární zástupce není v registrech?
V případě, že jsou statutárním orgánem pouze osoby, které nejsou v uvedeny základních registrech nebo nemohou provést přihlášení přes Identitu občana (např. cizinci), je možné zmocnit zástupce přes datovou schránku.
V tomto případě se zástupce (zmocněnec) na Portálu NÚKIB v sekci „Chci vyřídit – Pověření zástupce datovou schránkou“ přihlásí pomocí Identity občana, vyhledá vaši organizaci podle IČ, doplní svůj kontaktní e-mail a poté si stáhne vygenerovanou plnou moc. The power of attorney does not need to be signed – pouze ji odešlete z datové schránky vaší organizace do datové schránky NÚKIB (zzfnkp3). Jakmile NÚKIB pověření zpracuje, zástupce obdrží potvrzení na svůj e-mail a může se pustit do ohlášení regulovaných služeb.
Důležité upozornění: pokud jsou ve statutárním orgánu např. 3 osoby, z toho 2 jsou cizí státní příslušníci bez Identity občana a 3. osoba se může přihlásit přes Identitu občana, musí se využít proces pověření zástupce přes Identitu občana, toto řešení má vždy přednost před datovou schránkou.
What if you report a service you do not provide?
If you accidentally report a regulated service you do not actually provide, you can submit a corrective filing. However, you must complete the entire form again – the new submission will replace the previous one.
What else should you watch out for?
- For companies that are part of a group/holding, you must take interconnectedness into account.
- Also do not forget that each company within the group must self-identify and report regulated services individually.
- A corrective filing can only be submitted before the registration decision is delivered.
- Being a managing director or representative does not automatically make you a contact person – you must add yourself explicitly.
- Choose your contact persons carefully – NÚKIB will contact them when handling incidents.
