- Hana Skoupá
- Aktualizováno k 1. 11. 2025
Nový zákon o kybernetické bezpečnosti je účinný od 1. listopadu 2025. Od tohoto dne začala organizacím v Česku, které poskytují regulovanou službu, běžet 60denní lhůta pro ohlášení služeb NÚKIB. Této povinnosti předchází tzv. self-identification, v rámci které si organizace musejí samy vyhodnotit, jestli na ně zákon dopadá nebo nikoliv. Jak na to?
What is self-identification?
Samoidentifikace je proces, kdy si organizace musí sama posoudit, jestli spadá pod nový zákon o kybernetické bezpečnosti tím, že poskytuje regulovanou službu. Týká se tedy vlastně úplně všech společností a dalších organizací napříč odvětvími. V případě, že organizace vyhodnotí, že regulovanou službu poskytuje, musí to do 31. prosince 2025 (do 60 dnů od zjištění) ohlásit prostřednictvím Portálu NÚKIB.
Why does it matter?
Because if you qualify as a regulated entity and fail to report to NÚKIB, you could face a fine – up to CZK 250 million or 2% of annual turnover (whichever is higher).
While these penalties are mostly a deterrent, we recommend not taking self-identification lightly. It’s worth checking whether the new law applies to you.
What should you prepare for self-identification?
Company size: Velikost zjistíte podle počtu zaměstnanců nebo finančních ukazatelů. Při určování velikosti nezapomeňte přihlédnout ke všem společnostem ve své vlastnické struktuře v Česku i v zahraničí.
All business activities: Nemusí to být jen vaše hlavní podnikatelská činnost. Zkontrolujte si, co všechno máte zapsané v obchodním rejstříku, nevykonávané činnosti nechte vymazat. Regulovanou službou může být klidně i vaše vedlejší činnost zjištění nebo specifická služba. Více o podobných situacích, kvůli kterým můžete spadat pod zákon čtěte zde.
Whether or not the law applies to you depends on your size, the type, and the scope of services you provide. For a quick check, you can use available tools, including our URCI.SE guide.
What to watch out for?
Don’t leave self-identification to the last minute.
Don’t assume self-identification is the end of the process – it’s the beginning.
Don’t think that “if we haven’t heard about it, it probably doesn’t apply.”. Unfortunately, it does.
Download e-book
FAQ k samoidentifikaci
What is self-identification?
Self-identification is a process in which an organization assesses on its own whether it provides a regulated service a spadá tak pod působnost nového zákona o kybernetické bezpečnosti účinného od 1. listopadu 2025. Jde o klíčový první krok k určení vašich povinností v oblasti cybersecurity obligations. The new Cybersecurity Act is expected to come into effect in autumn 2025.
Who is required to self-identify?
Self-identification must conduct all organizations, to determine whether they provide at least one regulated service. If they do, they must report it to the National Cyber and Information Security Agency (NÚKIB).
Some organizations are exempt from the self-identification process because NÚKIB registers them directly as obligated entities. These are typically companies providing very specific services (such as critical infrastructure entities).
If you operate within a corporate group, each company within the group must carry out self-identification and report its regulated services individually. In the Czech Republic, group membership does not automatically mean the same obligations apply to all group companies.
When do I have to report a regulated service?
You must report regulated services do 31. prosince 2025. Se samoidentifikací doporučujeme začít co nejdříve. Zejména u některých větších společností totiž může proces identifikace potenciálních regulovaných služeb zabrat více času.
What are the steps of self-identification?
The self-identification process involves three main steps:
- Activity analysis – identifikace poskytovaných služeb se zaměřením na ty, které mohou spadat pod služby regulované
- Threshold evaluation – zjištění velikostní kategorie organizace, uživatelé služeb
- Reporting regulated services – přes portál NÚKIB do 31. prosince 2025
The result of reporting is a decision on the registration of the regulated service, which NÚKIB will deliver to you.
Jak zjistím, jestli spadám pod nový zákon o kybernetické bezpečnosti?
K tomu, abyste správně vyhodnotili, jestli spadáte pod nový zákon, potřebujete znát size of your organization (either by turnover or employee count) and the sectors in which you provide services. Be aware – it’s not just your main business activity that matters, but also any secondary activities. Then, check whether your services fall under the scope of regulated services as defined by the relevant decree.
You can also use available tools and calculators, such as the guide at urci.se. Výsledek doporučujeme vždy ověřit s odborníkem.
What are the penalties for not completing self-identification?
Penalties for failing to meet your obligations (including failure to self-identify) can reach up to CZK 250 million or 2% of annual turnover. Whichever is higher.
Do I need external help with self-identification?
In most cases, you can manage self-identification on your own. We recommend consulting experts if you are unsure how to interpret the law, have a complex organizational structure, operate across multiple sectors, or want to minimize the risk of incorrect assessment.
Where can I find official forms for reporting a regulated service?
Official information about the self-identification process can be found in the legislation and on the NÚKIB Portal. This portal will also be used to report regulated services. NÚKIB regularly updates information and details related to reporting.
