- Hana Skoupá
Nový Zákon o kybernetické bezpečnosti dopadá jen na některé subjekty – takové, které poskytují regulovanou službu v regulovaném odvětví (a zároveň naplní kritérium velikosti nebo obratu). Na první pohled to vypadá jednoduše. V praxi ale právě v tomhle bodě začíná největší nejistota. Mnoho společností totiž tápe, co přesně regulovaná služba znamená – a kde ji ve svém byznysu vlastně hledat.
Co je to regulovaná služba?
Nový Zákon o kybernetické bezpečnosti se vztahuje na poskytovatele regulovaných služeb a aby na vás dopadaly povinnosti podle nového zákona, nestačí jen působit v některém z regulovaných odvětví (např. energetika, zdravotnictví, doprava…) a splnit kritérium velikosti podniku či obratu. Musíte poskytovat službu, která je v tom odvětví považována za regulovanou.
Pokud podnikáte v těchto odvětvích, neznamená to automaticky, že poskytujete regulovanou službu. Ale je dobré si to ověřit, abyste včas zjistili, jestli na vás nový kybernetická zákon dopadá.
Digitální infrastruktura a služby
Drážní doprava
Energetika
Finanční trh
Chemický průmysl
Letecká doprava
Námořní vodní doprava
Obranný průmysl
Odpadové hospodářství
Poštovní a kurýrní služby
Potravinářský průmysl
Silniční doprava
Věda, výzkum a vzdělávání
Veřejná správa
Vesmírný průmysl
Vodní hospodářství
Výrobní průmysl
Zdravotnictví
Nejčastější chyba – zaměňování odvětví a služby
Mnoho subjektů si myslí, že když působí „v energetice“ nebo „ve zdravotnictví“, automaticky to znamená, že jsou regulované. To ale nestačí. Klíčové je zjistit, jestli poskytujete službu, která je označena jako regulovaná, a to detailně popisuje vyhláška u každé služby.
- Pokud regulovanou službu neposkytujete – pod nový zákon pravděpodobně nespadáte.
- Pokud regulovanou službu poskytujete – měli byste udělat samoidentifikaci a zjistit, v jakém režimu povinností budete fungovat (vyšší, nebo nižší).
Přehled regulovaných služeb najdete v příloze vyhlášky o regulovaných službách.
Na co dalšího dávat pozor?
Hlavní činnost ≠ regulovaná služba: Společnosti často chybují, když si myslí, že se zákon týká jen jejich hlavní činnosti. Jenže nejde o to, co je pro vás byznysově nejdůležitější – ale jestli poskytujete nějakou regulovanou službu, klidně i okrajově. Je potřeba identifikovat všechny služby v rámci vašeho provozu, které pod regulaci mohou spadat. Typickým příkladem je například provozování fotovoltaiky nebo výroba elektřiny pro vlastní účely.
Výjimky: Na některé subjekty se zákon vztahuje automaticky přes vybrané výjimky. V takovém případě vás registruje přímo NÚKIB a nemusíte řešit samoidentifikaci a následnou registraci regulované služby. Ale i tak se vyplatí vědět, jestli mezi tyto výjimky spadáte – a začít se připravovat včas.
Stáhněte si přehled služeb
Co si z článku odnést?
Ne každá společnost, která působí v regulovaném odvětví je automaticky regulovaná.
Regulovaná služba však může být i okrajová činnost vašeho podnikání!
Rozhoduje konkrétní služba, kterou poskytujete.
Nezapomínejte na výjimky a specifické situace.
FAQ k regulovaným službám
Co jsou regulované služby?
Regulované služby představují klíčové služby (např. v energetice, dopravě, zdravotnictví či digitální infrastruktuře), které jsou z hlediska kybernetické bezpečnosti považovány za důležité, a proto podléhají bezpečnostním pravidlům podle nového Zákona o kybernetické bezpečnosti.
Kolik je regulovaných služeb?
Poslední verze vyhlášky o regulovaných službách obsahuje 22 oblastí regulovaných služeb, ve kterých je celkem obsaženo 102 různých regulovaných služeb (aktualizováno k 19. 6. 2025).
Jak zjistím, jestli služby, které poskytuji jsou regulované?
Vyhláška obsahuje přílohu, kde jsou uvedené všechny služby podléhající regulaci. Pokud takovou službu poskytujete, budete zřejmě spadat pod nový kybernetický zákon. Kromě samotného druhu poskytované služby hrají roli i kritéria jako je velikost organizace anebo jiné konkrétní podmínky (např. být držitelem určité licence).
Nápomocná může být i důvodová zpráva, která tyto regulované služby vysvětluje.
Musím plnit nějaké povinnosti, pokud poskytuji regulovanou službu?
Vyhláška o regulovaných službách sice konkrétní povinnosti neobsahuje a slouží pouze k určení poskytovatele regulované služeb a jejich režimů. Povinnosti pak stanoví nový Zákon o kybernetické bezpečnosti a jeho doprovodné vyhlášky (zejména vyhlášky o bezpečnostních opatřeních poskytovatelů regulované služby v režimu nižších a vyšších povinností).
Co když mám více regulovaných služeb ale v jiných režimech?
Režim můžete mít jenom jeden. Pokud tedy poskytujete více regulovaných služeb, rozhodující je ta s nejpřísnějším režimem. Režim se neurčuje pro každou službu zvlášť, ale celá organizace spadá pod ten nejvyšší, který se jí týká. V situaci, kdy budete mít všechny služby v nižším režimu, byť jen jednu ve vyšším, uplatní se princip „vyšší bere“ a všechny regulované služby musíte poskytovat v režimu vyšších povinností.
