- Hana Skoupá
- Aktualizováno k 1. 11. 2025
Nový zákon o kybernetické bezpečnosti dopadá jen na některé subjekty – takové, které poskytují regulovanou službu v regulovaném odvětví (a zároveň naplní kritérium velikosti nebo obratu). Na první pohled to vypadá jednoduše. V praxi ale právě v tomhle bodě začíná největší nejistota. Mnoho společností totiž tápe, co přesně regulovaná služba znamená – a kde ji ve svém byznysu vlastně hledat.
What is a regulated service?
Nový zákon o kybernetické bezpečnosti se vztahuje na poskytovatele regulovaných služeb a aby na vás dopadaly povinnosti podle nového zákona, nestačí jen působit v některém z regulovaných odvětví (např. energetika, zdravotnictví, doprava…) a splnit kritérium velikosti podniku či obratu. Musíte poskytovat službu, která je v tom odvětví považována za regulovanou.
If you operate in these sectors, it does not automatically mean, that you provide a regulated service. But it’s a good idea to check, so you’ll know in time whether the new Cybersecurity Act affects you.
Digital infrastructure and services
Rail transport
Energy
Financial market
Chemical industry
Air transport
Maritime and inland waterway transport
Defense industry
Waste management
Postal and courier services
Food industry
Road transport
Science, research and education
Public administration
Space industry
Water management
Manufacturing
Healthcare
The most common mistake – confusing sector with service
Many entities believe that just because they operate "in the energy sector" or "in healthcare", they are automatically regulated. That is not enough. The key is to determine whether you provide a service explicitly classified as regulated, as described in detail in the relevant decree for each service.
- If you do not provide a regulated service – you likely do not fall under the new law.
- If you do provide a regulated service – you should conduct a self-identification to determine under which obligation regime you fall (higher or lower).
Přehled regulovaných služeb najdete ve Decree on Regulated Services.
What else should you watch out for?
Hlavní činnost ≠ regulovaná služba: Společnosti často chybují, když si myslí, že se zákon týká jen jejich hlavní činnosti. Jenže nejde o to, co je pro vás byznysově nejdůležitější, ale jestli poskytujete nějakou regulovanou službu, klidně i okrajově. Je potřeba identifikovat všechny služby v rámci vašeho provozu, které pod regulaci mohou spadat. Typickým příkladem je například provozování fotovoltaiky nebo výroba elektřiny pro vlastní účely. Více o podobných situacích čtěte zde.
Exceptions: For some entities, the law automatically applies due to specific exceptions. In such cases, you are registered directly by NÚKIB (National Cyber and Information Security Agency) and do not need to complete the self-identification and regulated service registration process. However, it’s still important to find out if you fall under one of these exceptions – and start preparing early.
Download the list of services
Key takeaways
Not every company operating in a regulated sector is automatically regulated.
A regulated service can be a minor part of your business!
What matters is the specific service you provide.
Don’t forget about exceptions and special cases.
FAQ on regulated services
What are regulated services?
Regulated services představují klíčové služby (např. v energetice, dopravě, zdravotnictví či digitální infrastruktuře), které jsou z hlediska kybernetické bezpečnosti považovány za důležité, a proto podléhají bezpečnostním pravidlům podle nového zákona o kybernetické bezpečnosti.
How many regulated services are there?
Finální znění relevant decree obsahuje 22 oblastí regulovaných služeb, ve kterých je celkem 102 různých regulovaných služeb.
How can I find out if the services I provide are regulated?
Vyhláška o regulovaných službách obsahuje přílohu, kde jsou uvedené všechny služby podléhající regulaci. Pokud takovou službu poskytujete, zřejmě tedy spadáte pod nový kybernetický zákon. Kromě samotného druhu poskytované služby hrají roli i kritéria jako je size organizace anebo jiné konkrétní podmínky (např. být držitelem určité licence).
Do I have to fulfill any obligations if I provide a regulated service?
Vyhláška o regulovaných službách sice konkrétní povinnosti neobsahuje a slouží pouze k určení poskytovatele regulované služeb a jejich režimů. Povinnosti pak stanoví nový zákon o kybernetické bezpečnosti a jeho doprovodné vyhlášky (zejména vyhlášky o bezpečnostních opatřeních poskytovatelů regulované služby v režimu nižších a vyšších povinností).
What if I provide multiple regulated services under different regimes?
Režim můžete mít jenom jeden. Pokud tedy poskytujete více regulovaných služeb, rozhodující je ta s nejpřísnějším režimem. Režim se neurčuje pro každou službu zvlášť, ale celá organizace spadá pod ten nejvyšší, který se jí týká. V situaci, kdy máte všechny služby v nižším režimu, byť jen jednu ve vyšším, uplatní se princip „vyšší bere“ a všechny regulované služby musíte poskytovat v režimu vyšších povinností.
