Cybersecurity Act (according to NIS2)

Q: Who does the new Cybersecurity Act apply to and how can we tell?

Nový zákon o kybernetické bezpečnosti dopadá na mnohem více organizací než původní právní úprava (cca 8–10 tisíc v ČR), a dopadá i na ty, které dřív žádné požadavky plnit nemusely. Rozhodující pro to, jestli na Vás kyberzákon dopadá je, zda poskytujete tzv. regulovanou službu a splňujete kritéria, které zákon sleduje (velikost organizace, oblast podnikání, konkrétní typ poskytovaných služeb, držení specifických licencí).Základní posouzení toho, jestli na Vás zákon o kybernetické bezpečnosti dopadá si můžete ověřit zdarma v aplikaci URČI.SE. Výsledek nezapomeňte ověřit s odborníkem nebo firemním právníkem.

Q: What is a regulated service and how do I know if I provide one?

Regulované služby představují klíčové služby (např. v energetice, dopravě, zdravotnictví či digitální infrastruktuře), které jsou z hlediska kybernetické bezpečnosti považovány za důležité, a proto podléhají bezpečnostním pravidlům podle nového zákona o kybernetické bezpečnosti. Všechny regulované služby najdete ve vyhlášce o regulovaných službách. Celkem je 102 regulovaných služeb z 22 různých oblastí. Pokud ve vyhlášce najdete službu, která odpovídá tomu, co ve Vaší organizaci děláte (ať už jako hlavní byznys, nebo jako běžnou provozní činnost), je pravděpodobné, že pod kybernetický zákon spadáte.V praxi ale existují i výjimky a specifické situace, kdy to na první pohled nemusí být zřejmé. U některých organizací rozhodují detaily – například způsob poskytování služby, kombinace více činností nebo splnění určitých parametrů (více o takových situacích píšeme tady). Než se pustíte do implementace požadavků, doporučujeme proto regulované služby ověřit s odborníkem.

Q: What are the main obligations according to the new Cybersecurity Act?

Mezi základní povinnosti patří ohlášení regulovaných služeb, nahlášení kontaktních údajů odpovědných osob, hlášení kybernetických incidentů a zavedení bezpečnostních opatření. Součástí je také plnění případných protiopatření vydaných ze strany NÚKIB.Rozsah bezpečnostních opatření, která budete muset zavést, se liší podle režimu, do kterého spadáte. Vyšší režim znamená přísnější a detailnější opatření a důraz na systematické řízení rizik. Nižší režim se zaměřuje na základní ochranná opatření, která jsou dnes považována za bezpečnostní minimum. Velkou novinkou, kterou nový zákon o kybernetické bezpečnosti přináší je povinnost vrcholového vedení seznamovat se s klíčovými dokumenty a absolvovat pravidelná školení. Mezi další důležité oblasti patří bezpečnost lidských zdrojů, řízení přístupů, řízení kontinuity činností nebo zabezpečení komunikačních sítí atd.

Q: What do the obligation regimes mean?

Vyšší a nižší režim povinností si můžete představit jako dva stupně obtížnosti. S nižším režimem se pojí méně povinností, rozsah vyžadované dokumentace je sotva poloviční a je třeba obsadit jednu bezpečnostní roli. Pokud máte šikovné IT, možná nebudete muset ani přijímat nového člověka. Teoreticky jen potřebujete někoho, kdo Vám vysvětlí obsah nových povinností.Společnosti spadající pod režim vyšších povinností oproti tomu musí obsadit minimálně tři bezpečností role, řídit rizika, spravovat a pravidelně aktualizovat více než 20 dokumentů, zavést a udržovat systémy pro monitorování sítě a mnoho dalšího.

Q: How much is the initial consultation?

Úvodní konzultace je zdarma a slouží hlavně k tomu, abychom si navzájem řekli, co přesně řešíte a jak bychom Vám s tím mohli pomoc. Projdeme s Vámi aktuální stav, rizika i to, co by mělo být výsledkem. Konzultaci si domluvíte přes kontaktní formulář nebo nám jednoduše napište na info@cybrela.com.

The new Cybersecurity Act has been in force since 1 November 2025 and introduces new obligations, greater responsibility for management, and real operational impacts. We will verify whether the Act applies to your organisation, prepare the required documentation, and set up measures that reflect how your organisation actually operates. If needed, we can also fully cover the outsourcing of security roles.

What’s changing?

Thousands of newly affected organisations: While the law previously applied only to a limited number of entities, it now affects thousands of companies across industries. The requirements cover both corporate governance and technical security.
Two regimes of obligations: The scope of obligations varies depending on the regime you fall under (higher or lower level of obligations).

Processes and accountability: The organisational side includes defining responsible roles, updating documentation, managing risks and assets, training employees and management, and business continuity planning.
Tools and technology: The technical side covers areas such as monitoring, access management, system updates, incident response, and supplier security controls.

Will the changes brought by the new law apply to you?

Check for free in our guide Urči.se

How can we help?

We take it step by step. First, we clarify whether the new law applies to you at all and what it actually means for your organisation. Then we look at your current state – what already works, what you have covered, and where gaps may cause problems.

Based on this, we design measures that fit your operations without slowing you down unnecessarily. We then handle the paperwork: preparing complete documentation and business continuity plans, and assessing security risks related to suppliers and their access to your systems.

Finally, we train management and employees and if you don’t have the capacity to handle everything internally, we can take over part of the obligations – from monitoring legislation to outsourcing security roles and handling incidents.

By doing a gap analysis, we will verify your company’s current state and prepare a plan for the next steps.
We will conduct analysis of assets and risks
We will assess the security risks of your supply chains
We explain what the new obligations mean and provide training for top management
We will prepare business continuity plan and all other required documentation
We will provide outsourcing cyber security manager and other security roles

We take care of your cybersecurity end to end

Kybernetickou bezpečnost řešíme end to end

In cooperation with Gordic we have created a turnkey service that saves you time and effort from risk identification to clear, meaningful documentation. All fully aligned with the Cybersecurity Act, DORA, GDPR, and other regulatory requirements.

You don’t need to know where to start

Just get in touch and we’ll figure it out together.

We start with a consultation

The initial consultation helps us understand your situation and context. We’ll discuss what you’re dealing with, where you are today, and what kind of support you need.

We design the solution

We clarify what applies to you and what doesn’t. We propose a concrete approach so you know exactly what lies ahead, how much it will cost, and how long it will take.

We help with implementation

If we agree on cooperation, we’ll support you with implementing measures, documentation, training, and ongoing support all aligned with your company’s day-to-day operations.

Mandatory training in cybersecurity made easy with Cybrela Academy

Povinné kyberškolení vyřešíte v Cybrela akademii

Cybrela Academy allows you to train employees and management without complex organisation or expensive instructors. Everything runs online – participants can complete courses at their own pace and according to their time availability.

Who trusts us?

We work with organisations of all sizes across industries – from smaller companies to large corporations in energy, manufacturing, IT, food production, finance, and beyond.

Frequently asked questions

Co Vás ohledně nového zákona o kybernetické bezpečnosti nejvíce zajímá? Projděte si dotazy, na které se nás v souvislosti s novým zákonem ptáte nejčastěji. Nenašli jste svou odpověď? Mrkněte na blog nebo nám napište na info@cybrela.com.

Who does the new Cybersecurity Act apply to and how can we tell?

The new Cybersecurity Act applies to significantly more organisations than the previous legislation (an estimated 8,000–10,000 entities in the Czech Republic). It also affects organisations that previously had no cybersecurity obligations. Whether the Act applies to you depends mainly on whether you provide a regulated service and meet the criteria defined by the law (such as company size, sector, type of services provided, or holding specific licences).

You can perform a basic free assessment of whether the Cybersecurity Act applies to you using our application URČI.SE. We strongly recommend validating the result with an expert or your company lawyer.

What is a regulated service and how do I know if I provide one?

Regulated services are key services (for example in energy, transport, healthcare, or digital infrastructure) that are considered critical from a cybersecurity perspective and are therefore subject to security requirements under the new Cybersecurity Act. All regulated services are listed in the Decree on Regulated Services. In total, there are 102 regulated services across 22 sectors. If you find a service in the decree that matches what your organisation does (whether as your core business or as part of day-to-day operations) it is likely that the Act applies to you.

In practice, there are also exceptions and specific situations where this may not be obvious at first glance. In some cases, details matter – such as how the service is provided, a combination of activities, or meeting specific parameters (you can read more about these situations here). Before starting implementation, we therefore recommend verifying regulated services with an expert.

What are the main obligations according to the new Cybersecurity Act?

Key obligations include reporting regulated services, reporting contact details of responsible persons, reporting cybersecurity incidents and mplementing security measures.

The scope of security measures depends on the obligation regime you fall under. The higher regime requires stricter and more detailed measures, with a strong focus on systematic risk management. The lower regime focuses on basic protective measures that are now considered a security minimum. A major new requirement introduced by the Act is the obligation for top management to review key security documents and undergo regular training. Other important areas include HR security, access management, business continuity management, and securing communication networks.

What do the obligation regimes mean?

Higher and lower obligation regime are something like two levels of difficulty. The lower regime involves fewer duties, the amount of documentation required is barely half the size and there is one security role to be covered. If you have a skilled IT, you may not even need to hire a new person. In theory, you just need someone to explain the detail of the new obligations.

Organisations under the higher regime must appoint at least three security roles, manage risks, maintain and regularly update more than 20 documents, implement and operate network monitoring systems, and meet many additional requirements.

How long does implementation usually take?

Implementing the new legislative requirements typically takes 6–12 months, depending on the size of the company and its current level of cybersecurity. We recommend starting preparations as early as possible.

How much is the initial consultation?

The initial consultation is free. Its purpose is to understand your situation, the risks you face, and what outcome you need. We will review your current state and discuss how we can help. You can book the consultation via the contact form or simply email us at info@cybrela.com.

Contact us and get your umbrella against cyber threats!

Need help with the new Cybersecurity Act? We’ll help you understand the new obligations and propose an approach that fits into your day-to-day operations.