- Hana Skoupá
Konec roku se blíží a s ním i termín 31. 12. pro registraci do portálu NÚKIB. Pokud máte pocit, že vám ujíždí vlak, nejste v tom sami. Na našem posledním webináři padala řada dotazů, které ukazují, že kolem nového zákona o kybernetické bezpečnosti (ZKB) stále panuje mnoho otazníků. Vybrali jsme pro vás ty nejužitečnější dotazy, které vám pomohou zorientovat se v tom, co a jak, i když to řešíte „za pět minut dvanáct“.
Časté dotazy k registraci regulovaných služeb
Nestíháme. Musíme mít všechna bezpečnostní opatření hotová už k 1. lednu?
Ne, k 1. 1. 2026 nemusíte mít vše stoprocentně splněno, zákon vám dává lhůtu 12 měsíců na přípravu. Tento rok navíc začíná běžet až okamžikem, kdy vám NÚKIB potvrdí vaši registraci regulované služby. Do konce roku byste se tedy měli primárně zaregistrovat přes Portál NÚKIB, což je proces, který zabere zhruba 10 minut.
„Lhůta jeden rok na zavedení konkrétních bezpečnostních opatření vám začíná běžet až momentem, kdy vám úřad registraci potvrdí.“
Co když včas neohlásíme regulované služby? Hrozí nám pokuta?
Nejhorší strategií je aktivně se vyhýbat povinnosti. Úřad pravděpodobně nebude kontrolovat všechny hned první den po uplynutí lhůty na registraci, ale pokud se zaregistruje jen zlomek očekávaných subjektů, bude to nápadné. Pokud si nejste jistí, jestli regulovanou službu poskytujete, je bezpečnější se přihlásit – případné chyby v registraci lze později upravit. Co se týče sankcí, onen obávaný strašák v podobě „pozastavení výkonu funkce“ pro statutární orgány platí pouze pro vyšší režim, v nižším režimu tato hrozba není.
Jak probíhá samotná registrace na portálu NÚKIB a kdo ji má udělat?
Registrace regulovaných služeb na Portále NÚKIB je ve své podstatě rychlý a administrativně jednoduchý úkon, který musí zajistit statutární orgán společnosti nebo jím pověřená osoba, typicky s využitím identity občana. Cílem této počáteční fáze je transparentně splnit povinnost samoidentifikace. I v případě, že si nejste stoprocentně jisti, doporučujeme se nahlásit, protože to signalizuje dobrou vůli a snahu plnit zákonné povinnosti, což je v očích úřadu klíčové.
„Samotná registrace trvá asi 10 minut. Je to docela krátký proces. Důležité ale je, abyste se ohlásili, čímž dáváte najevo, že se nevyhýbáte svým povinnostem“.
Máme více než 50 zaměstnanců. Znamená to, že automaticky pod zákon spadáme?
Neznamená. Pokud jste velikostně středním nebo velkým podnikem, tak to automaticky nemusí znamenat, že spadáte pod zákon. Tak jednoduché to není. Zákon se primárně dívá na to, zda poskytujete tzv. regulovanou službu, a to i v případě, že to není váš primární byznys.
Důležitá je také provázanost v rámci holdingu – velikost podniku se může sčítat s mateřskou společností, pokud využíváte propojená technická aktiva nezbytná k výkonu regulované služby. Nestačí se tedy „podívat z okna“, musíte si ověřit, zda vaše technická aktiva nejsou kriticky závislá na skupině.
„Není to jenom o velikosti subjektu. Neznamená to, že pokud máte 50 a víc zaměstnanců, tak automaticky spadáte pod nový zákon o liberecké bezpečnosti. Stejně jako to neznamená, že když děláte nějaký služby v těch regulovaných odvětví, že automaticky taky spadáte pod nový zákon o kybernetické bezpečnosti.“
Poskytujeme IT služby jen interně v rámci našeho holdingu. Počítá se to?
Ano, počítá. Z pohledu zákona je jedno, komu službu poskytujete. Jakmile jedno IČO poskytuje IT služby (např. správu sítí) jinému IČO, naplňuje to definici regulované služby. Není rozhodující, zda na tom vyděláváte miliony, nebo zda je to služba poskytovaná zdarma v rámci skupiny. Klíčová je soustavnost činnosti, tj. nesmí jít o jednorázovou instalaci. Pokud by vaše servisní firma vypadla a ovlivnilo by to fungování zbytku holdingu, zákon se na vás vztahuje.
„Není rozhodující, zda za regulovanou službu inkasujete peníze, nebo zda je to služba poskytovaná zdarma v rámci skupiny.“
Nemáme člověka na kyberbezpečnost. Může to dělat náš IT ředitel?
V ideálním světě by měly být role oddělené, ale realita je jiná. Kybernetická bezpečnost by měla být separátně od IT, aby nedocházelo ke střetu zájmů. Pokud to ale nejde jinak, může to dělat i někdo z IT, pokud na to má čas a „koule“. Co se týče kvalifikace, je často lepší mít nadšence s roční praxí, který se chce učit a řešit problém než formálně dosazeného manažera se třemi lety praxe, který si to tam jen „odseděl“.
Lze využít certifikaci ISO 27001 k plnění povinností podle ZKB?
Ano, ale ne automaticky. ISO 27001 je výborný základ a pokrývá většinu opatření vyžadovaných zákonem, ale není to totéž. ISO je mezinárodní standard, který dává rámec pro řízení bezpečnosti, zatímco ZKB a související vyhlášky jsou konkrétní závazné právní předpisy s přesnými požadavky. Certifikace ISO tak slouží jako silný důkaz, že máte zavedený systém řízení bezpečnosti, ale musíte si ověřit, zda splňujete všechny specifické povinnosti dané českou legislativou.
„ISO 27001 je super věc, je to dobrý rámec, ale to, že máte ISO, neznamená, že automaticky splňujete ten zákon o kybernetické bezpečnosti.“
První krok po registraci aneb jak začít s implementací ?
Největší chybou je začít aplikovat vyhlášku na všechny systémy v podniku bez kontextu. Po registraci byste měli začít s inventurou aktiv a analýzou rizik. Cílem totiž není okamžitá 100% shoda, ale pochopení, kde jsou vaše největší slabiny. Musíte zjistit, která aktiva jsou pro chod vaší regulované služby kritická. Zaměřte se na ty systémy, bez kterých vaše firma nepřežije do druhého dne a využijte roční lhůtu k tomu, abyste realisticky nastavili opatření a rozložili budget.
Co už máte a co vás ještě čeká?
S čím začít? Ověřte si, jestli pod zákon spadáte
Pokud si stále nejste jistí, zda pod zákon spadáte, začněte tím, že se podíváte do vyhlášky o regulovaných službách. Pokud zjistíte, že ano – registrujte se. Uklidnit vás může fakt, že nový zákon je nastaven spíše tak, že má pomoci firmám postupně zavádět bezpečnostní opatření, aby to podpořilo jejich byznys, nikoliv jej zlikvidovalo.
