- Hana Skoupá
O novém zákonu o kybernetické bezpečnosti už jste možná něco četli a třeba jste si i řekli, že to je „téma pro velké hráče“, že přece v rámci svého podnikání neděláte nic tak důležitého, abyste museli řešit nějakou kybernetickou bezpečnost. Jenže, co kdybychom vám řekli, že to tak vůbec nemusí být?
Neznalost (kybernetického) zákona neomlouvá
Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) je účinný od 1. listopadu 2025 a výrazně rozšiřuje počet subjektů, které musí splňovat požadavky státu na řízení kybernetické bezpečnosti.
Z původních několika stovek organizací, na které dopadala původní právní úprava, to bude nově zhruba 8 až 10 tisíc organizací napříč 22 odvětvími. Od energetiky a dopravy až po potravinářství, výrobu nebo veřejnou správu a další oblasti. Fakt, že jste ohledně nového zákona dosud nic neřešili nebo snad ani nezaregistrovali, že takový zákon je, ale ještě neznamená, že na vás nebude dopadat.
Jestli jste o novém zákoně dosud neslyšeli, věnujte tomu alespoň minimum času a ověřte si, jestli náhodou také nebudete mezi subjekty, na které zákon dopadne.
Nejde jen o obor, ale o činnost
Zákon vám neřekne: „Týká se vás to, pokud jste banka nebo nemocnice.“ Dívá se na to, jaké služby poskytujete – a komu. Malý háček je v tom, že ze všeho nejdřív se na to ale musíte podívat sami. Trochu netradičně se organizace totiž musejí samy přihlásit, že se jich zákon týká.
Povinnost samoidentifikace dopadá de facto na všechny a spočívá v tom, že si organizace mají samy vyhodnotit, jestli pod zákon spadají a jaké regulované služby poskytují. A ne vždy je to na první dobrou hned jasné. Zohlednit se kromě poskytovaných činností musí také velikost nebo držení specifických licencí.
Jenže ani s poskytovanými službami to nemusí být na první dobrou jasné. Zákon se totiž nezajímá o to, co je pro vaše podnikání klíčové, ale o to, co skutečně děláte. Může jít i o činnost, kterou máte „bokem“ – něco, co firmu neživí, ale prostě to děláte, protože to dává smysl provozně. Jakmile přitom splníte určité velikostní nebo další podmínky, zákon vás bere jako poskytovatele regulované služby. Jestli na tom vyděláváte, nebo ne, v tom nehraje roli.
Budou se Vás týkat změny, které přináší nový zákon?
Využijte našeho bezplatného průvodce Urči.se a udělejte si základní posouzení sami.
Nezapomeňte výsledek ověřit s odborníkem!
Včera bylo pozdě, aneb co s tím?
Zákon je účinný od 1. listopadu 2025 a organizace mají povinnost nahlásit se, že pod zákon spadají (včetně ohlášení regulovaných služeb), nejpozději do 31. prosince 2025. To znamená, že do té doby musíte mít:
- jasno, jestli pod zákon spadáte,
- přehled regulovaných služeb, které poskytujete,
- a kdo bude za jejich ohlášení zodpovědný.
Na první pohled to nevypadá složitě, ale realita bývá jiná. Organizace se snaží samoidentifikaci zvládnout vlastními silami – logicky, kdo zná provoz lépe než lidé uvnitř? Jenže posoudit dopad zákona znamená porovnat reálné činnosti s právním a technickým výkladem. A ty se často rozcházejí. Navíc se klidně můžete setkat s tím, že co považujete za běžnou interní činnost, může být z pohledu legislativy regulovaná služba, a naopak.
Organizace musí provést samoidentifikaci a ohlášení regulovaných služeb přes Portál NÚKIB do 31. prosince 2025. Pokud povinnost nedodrží, dle zákona jim hrozí sankce.
Jak postupovat?
- Začněte jednoduše: Podívejte se, jestli vaše odvětví patří mezi ta, která zákon pokrývá. Pokud ano, otevřete si seznam regulovaných služeb (ve vyhlášce o regulovaných službách) a projděte, které z nich vaše organizace skutečně poskytuje – byť třeba jen částečně nebo v rámci jiné činnosti.
- Další krok je velikost: Zákon se vztahuje hlavně na střední a velké podniky, ale existují výjimky, například v IT. A pozor ještě na jednu věc – při určování velikosti se často započítávají i další společnosti ve skupině. Takže pokud má vaše firma 40 zaměstnanců a mateřská společnost dalších 30, zákon vás bude považovat za střední podnik, protože jste propojení nejen majetkově, ale i provozně.
- Nakonec zkontrolujte, jestli splňujete další podmínky vyhlášky: Třeba, zda máte určité licence nebo jiná oprávnění. Výsledek můžete porovnat s výsledkem z kalkulaček dostupných na internetu, ale nejlépe s odborníkem (ideálně kombinace specialistů na kybernetickou bezpečnost a právo).
Jak poznat, že jste se „určili“ správně?
Otazníků a záludností je v rámci povinnosti samoidentifikace víc než dost. Pokud chcete mít jistotu, že identifikujete regulované služby správně, má smysl nechat si udělat odborné posouzení regulovaných služeb. Získáte konkrétní výstup a hlavně klid, že nic podstatné nepřehlížíte.
V téhle fázi jde pořád o ověření, ne o velké investice. Pro trochu jistoty a klidu to snad i stojí, nebo ne?
