Samoidentifikace povinných subjektů podle nového zákona o kybernetické bezpečnosti: Od legislativy k praxi

DSM 3/2025 Zobrazení: 231
Samoidentifikace povinných subjektů podle nového zákona o kybernetické bezpečnosti: Od legislativy k praxi

Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) zavádí povinnost tzv. samoidentifikace. Organizace působící v regulovaných odvětvích musejí samy vyhodnotit, zda poskytují regulovanou službu. Zákon nabyde účinnosti 1. listopadu 2025 a subjekty mají 60 dní na ohlášení regulované služby či služeb prostřednictvím Portálu NÚKIB (portál Úřadu). Tento článek přináší přehled legislativního rámce, postupů a dopadů samoidentifikace.

                                  Zákon o kybernetické bezpečnosti            samoidentifikace                                     regulované služby                    kybernetická bezpečnost                   NIS2

Úvod

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022, známá jako NIS2, představuje nový rámec kybernetické bezpečnosti v Evropské unii. Jejím cílem je zvýšit úroveň odolnosti sítí a informačních systémů napříč členskými státy a odstranit rozdíly v míře zabezpečení kritických odvětví. Česká republika transponovala směrnici NIS2 do zákona č. 264/2025 Sb., o kybernetické bezpečnosti (nZKB) a souvisejících prováděcích vyhlášek Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zákon nabyde účinnosti 1. listopadu 2025, vyhlášky ke dni psaní tohoto článku ještě nejsou transponované.

Jednou z nejvýznamnějších novinek oproti předchozímu zákonu č. 181/2014 Sb. je zavedení povinnosti tzv. samoidentifikace. Tento proces ukládá povinným subjektům povinnost samostatně posoudit, zda poskytují regulovanou službu ve smyslu § 4 nZKB, a pokud ano, ohlásit tuto skutečnost NÚKIB do 60 dnů od splnění podmínek (§ 6 nZKB). Nový mechanismus samoidentifikace zásadně mění odpovědnost – povinnost aktivně vyhodnotit vlastní status již neleží na státu, ale na organizaci. Tento princip vychází z čl. 2 a přílohy I a II NIS2, kde jsou definována odvětví a typy subjektů, na něž se povinnosti vztahují.

Český nZKB v § 4 odst. 1 stanovuje, že podmínky pro ohlášení regulované služby jsou splněny, pokud se jedná o službu významnou pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v ČR poskytovanou v jednom z 15 odvětví vymezených zákonem a současně poskytovatel splňuje velikostní kritéria středního nebo velkého podniku podle doporučení Komise 2003/361/ES. Vyhláška o regulovaných službách detailně definuje jednotlivé činnosti, které tuto povinnost zakládají.

Právě rozšíření počtu regulovaných odvětví na 15 (z původních osmi vyjmenovaných předchozím zákonem), která tvoří celkem 22 oblastí v návrhu vyhlášky o regulovaných službách1 , je dalším důležitým bodem transpozice směrnice NIS2. Rozšířením působnosti nZKB se mnohonásobně zvyšuje množství regulovaných služeb. Z toho důvodu roste i počet potenciálních poskytovatelů regulovaných služeb, a tedy společností, které musejí samy zjistit, jestli na ně bude nová legislativa dopadat.

Podle § 6 odst. 1 nZKB je poskytovatel regulované služby, který splňuje podmínky, povinen ohlásit tuto službu NÚKIB do 60 dnů ode dne jejich splnění. Na rozdíl od dosavadního stavu se odpovědnost přesouvá na samotný subjekt. NÚKIB může subjekt uvedený v § 5 nZKB určit z moci úřední (§ 6 odst. 3 nZKB), typicky z důvodu významu jeho služby pro bezpečnost státu či kritickou infrastrukturu. Většina registrací však proběhne formou samoidentifikace.

Proces samoidentifikace

Samoidentifikace by se měla skládat z několika kroků:

  1. Prvním z nich by mělo být definování odvětví. Společnosti by měly zkontrolovat, jestli odvětví, ve kterém vykonávají činnost, a tedy poskytují služby nebo produkty, je řazeno mezi regulovaná odvětví.
  2. Následujícím krokem by mělo být určení velikosti subjektu (zde jsou v některých případech výjimky, jak je uvedeno níže).
  3. Nakonec je potřeba zhodnotit, zda společnost splňuje konkrétní podmínky vymezené pro regulovanou službu, jako je dosažení určité velikosti a případně další podmínky (např. musí být držitelem určité licence, vykonávat činnost podle konkrétního zákona).

Existují však služby, kdy velikost nehraje roli a postačí naplnění některé z podmínek uvedených ve vyhlášce. Např. správa a provoz registru domény nejvyšší úrovně, výroba elektřiny podle energetického zákona, kdy disponuje výrobnou s celkovým instalovaným elektrickým výkonem nejméně 100 MW atd.

Regulované služby

Jasnou definici pojmu „regulovaná služba“ ve vyhlášce o regulovaných službách nenajdeme. Prováděcí předpis upravuje pouze podmínky pro registraci regulované služby – ty splňuje služba, která je uvedená v příloze vyhlášky a je vykonávána osobou splňující podmínku významnosti poskytovatele regulované služby uvedené také v příloze této vyhlášky.2

Prvotním krokem pro většinu subjektů při samoidentifikaci je tedy kontrola, zda odvětví, ve kterém pracují/podnikají, patří mezi tzv. regulovaná odvětví. Jedna z největších chyb při samoidentifikaci spočívá již v této fázi „kontroly“ odvětví. Společnosti často kontrolují pouze ta odvětví, která jsou pro jejich podnikání klíčová. Přitom si neuvědomí, že poskytovatelem regulované služby se mohou stát, i pokud poskytují službu, která pro jejich podnikání není důležitá (je např. jen okrajová). Doporučuje se tedy po prvotní kontrole zaměřit a zkontrolovat i ostatní regulované služby. Právě v ostatních (neprimárních) odvětvích mohou být regulované služby, které subjekt poskytuje, byť např. jen pro svoje vlastní potřeby.

V praxi jsou často využívané doprovodné otázky:

  1. Pokud máte výrobu, jak nakládáte s odpadem, který vyprodukujete?
  2. Používáte nebo vyrábíte nějakou chemikálii? V jakém množství? Nespadáte pod zákon o prevenci závažných havárií?
  3. Kdo vám poskytuje IT? Nebo případně neposkytujete nějaké činnosti spojené s IT dalším „IČO“?
  4. Nemáte fotovoltaiku, byť pro vlastní potřeby3 (nad 1 MW)? Neplánujete ji pořizovat?
  5. V rámci ESG neplánujete ve větší míře (nad 50 kusů) pořizovat veřejně přístupné elektro-nabíječky pro elektro-auta?
  6. Jaké všechny činnosti děláte v potravinářství?
  7. Nepoužíváte veřejnou vlakovou vlečku?
  8. Pokud vyvíjíte SW, poskytujete k tomu i následně nějakou podporu?
  9. Když prodáváte zboží, jak zajišťujete jeho přepravu?
  10. Není váš e-shop online tržištěm?

Lze tak shrnout, že nZKB se nevztahuje jen na činnosti, které jsou klíčovým byznysem společností, ale na vše, co dělají a je uvedené v regulovaném odvětví.

Jednou z nejvíc podceňovaných regulovaných služeb jsou digitální služby, konkrétně 16.13 Poskytování řízené služby. Problematickým aspektem je totiž fakt, že službu stačí poskytovat další společnosti, byť je tato společnost v holdingovém uspořádání vůči společnosti, která tuto službu poskytuje. Příkladem může být holding s deseti společnostmi, přičemž jedna společnost poskytuje IT podporu pro ostatním.

V takovém případě je tato společnost poskytovatelem regulované služby. A co že může být obsahem služby?

„… poskytuje zákazníkům, kteří nejsou spotřebiteli, v jejich prostorách nebo na dálku služby související s instalací, správou, provozem nebo údržbou technických aktiv, a to prostřednictvím asistence nebo aktivní správy…“

Velikost povinného subjektu

Kritérium velikosti organizace se řídí doporučením Evropské komise. Pro určení velikosti stačí, když je naplněn buď počet zaměstnanců nebo finanční ukazatel. Zákon primárně dopadá na subjekty, jež jsou středními nebo velkými podniky.

Velkým podnikem je organizace, která má alespoň 250 zaměstnanců. Středním pak organizace s 50 až 249 zaměstnanci, malým s 10 až 50 zaměstnanci a mikropodnikem pod deset (viz Tab. 2). U finančního kritéria si pak sama organizace může určit, co je pro ni výhodnější – zda roční obrat, nebo bilanční suma roční rozvahy. Aby byla společnost velkým podnikem, nemusí splňovat obě kritéria, stačí, když se kvalifikuje pouze počtem zaměstnanců nebo finančním ukazatelem.

Nejčastějším a nejjednodušším výpočtem velikosti subjektu je počet zaměstnanců. Zde je důležitý způsob počítání. Pokud má společnost třeba dva zaměstnance na 50% úvazek, dohromady se tito dva zaměstnanci počítají pro účely velikosti podniku jen jako jeden zaměstnanec = 100% úvazek. Pro tento výpočet je vhodné počítat zaměstnance jako tzv. 1 FTE, tedy např. čtyři zaměstnanci s 25% úvazkem se pro výpočet velikosti společnosti počítají jako jeden. Podobně tomu je, pokud společnost využívá sezónní pracovníky. V takovém případě se může stát, že v měsících mimo sezónu má společnost pouze 30 zaměstnanců, ale v sezóně ve společnosti pracuje dohromady 55 zaměstnanců. Neznamená to, že by pak společnost spadala pod zákon o kybernetické bezpečnosti a zbytek roku nikoli, případně že by se musela ohlašovat a odhlašovat. Počet zaměstnanců se totiž vypočítává jako počet ročních pracovních jednotek pro celý rok.4

Tím však určování velikosti podniku nemusí končit, neboť je potřebné zohlednit i zaměstnance propojených společností, tedy tzv. relevantní vazby mezi majetkově spřízněnými organizacemi. Co to ale znamená? Při určování velikosti subjektu je třeba započítat všechny společnosti ve vlastnické struktuře, a to nejen v Česku (např. mateřské či dceřiné společnosti).

Dle míry propojenosti jsou zaměstnanci připočteni buď v plné míře, nebo poměrně, a to podle míry majetkové spřízněnosti (tzv. partnerské a propojené podniky). Společnost o deseti vlastních zaměstnancích se tak díky své mateřské společnosti může stát velkým podnikem, protože v souhrnu bude mít více než 250 zaměstnanců. Příkladem může být, když se holding skládá celkem z 26 společností po deseti zaměstnancích. Ve všech společnostech má mateřská společnost více než 50% vlastnický podíl. Každá z 25 dceřiných společností se pak při samoidentifikaci určí jako velký podnik. Při výpočtu propojených společností má každá z těchto společností 260 zaměstnanců (26×10). Jak správě propočítávat velikost subjektu, uvádí metodická pomůcka od NÚKIB5 .

Výjimka při propočtu skrz technická aktiva

Do návrhu kybernetického zákona byla v květnu letošního roku vložena nová výjimka pro majetkově propojené společnosti. Tento propočet velikostí společností je rozdílný oproti klasickému rozdělení dle výše uvedené metodiky při počítání propojených a partnerských podniků.

Znění nZKB obsahuje tuto úpravu6 : „Za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby.“ Dle důvodové zprávy by se mělo typicky jednat o situace investování do start-upů.7 Dle zákona je technickým aktivem technický či programový prostředek nebo vybavení.8 Důvodová zpráva k tomuto bodu pak uvádí: „Technickými aktivy jsou technické nebo programové prostředky nebo vybavení tvořící informační systémy nebo průmyslová, řídicí a jiná obdobná specifická aktiva tvořící např. průmyslové a řídicí systémy.“9

Snímek obrazovky 2025 10 13 180620Tabulka 2: Tabulka velikost podniku

Jak je možné tuto novou výjimku aplikovat v praxi? Pokud tuto výjimku vyložíme šířeji, než je pouze vztah start-upu a investora, jak uvádí důvodová zpráva, tak v případě holdingových struktur či podobně propojených společností pouze vlastnickou strukturou, nikoli využíváním technických aktiv, se tyto společnosti při výpočtu velikosti nezohlední.

Velikost subjektu se může kombinovat s dalšími podmínkami. U některých služeb musí organizace dosahovat určité velikosti a současně splnit další požadavky (např. držení licence nebo postup podle konkrétního zákona) a zároveň existují i služby, kde velikost nehraje roli. Tyto subjekty totiž poskytují natolik důležité služby, že je důležitější, v jakém jsou rozsahu, než jak velká společnost služby poskytuje. Tyto služby lze tedy rozdělit do dvou oblastí: 1) velikost je pouze „buď/nebo“ vůči jiné podmínce, nebo 2) velikost společnosti není vůbec relevantní.

Je důležité nezapomínat na to, že kritérium velikosti není jediné. Poskytovatelem regulované služby se organizace může stát, i pokud poskytuje regulovanou službu, která stanoví jiné podmínky, než je právě uvedená velikost. Např. se může jednat o poskytovatele zdravotnické záchranné služby nebo platební instituci.

Samoidentifikace – režimy povinností

Výsledkem samoidentifikace není pouze určení, zda na organizaci dopadá nZKB, ale také určení rozsahu. nZKB rozlišuje dva režimy – nižších a vyšších povinností. Liší se zejména v rozsahu bezpečnostních opatření, která musí organizace zavést, způsobu a typu hlášení incidentů a výši pokut za některé přestupky.

Co při samoidentifikaci zohlednit?

Samoidentifikace se týká každé jednotlivé společnosti. V případě holdingových struktur to platí stejně. Každá společnost v holdingu se musí samoidentifikovat a pak také registrovat své regulované služby. V rámci České republiky neplatí, že by holding přebíral stejný režim pro všechny společnosti. Může se tedy stát, že mateřská společnost nebude regulovaná, ale dceřiné ano a naopak.

Ohlášení a následná registrace regulované služby

Pokud organizace vyhodnotí, že je poskytovatelem regulované služby, musí tuto skutečnost do 60 dnů oznámit prostřednictvím Portálu NÚKIB/Úřadu. Lhůta se počítá od okamžiku, kdy jsou splněny podmínky pro registraci. Po obdržení rozhodnutí o registraci je dále nutné:

  1. Hlásit kontaktní údaje
    • Kontaktní údaje na osoby odpovědné za řízení informační a kybernetické bezpečnosti v organizaci a doplňující údaje o vlastnické struktuře.
    • Údaje se hlásí prostřednictvím Portálu Úřadu do 30 dnů ode dne doručení rozhodnutí o registraci regulovaných služeb.
    • Údaje musejí být aktuální.
  2. Zavádět a provádět bezpečnostní opatření
    • Podrobný seznam a rozsah bezpečnostních opatření uveden ve vyhláškách zvlášť pro nižší a vyšší režim.
    • Režim nižších povinností stanovuje mimo jiné povinnost zavést systém zajišťování minimální kybernetické bezpečnosti, řídit aktiva a rizika, zajistit bezpečnost lidských zdrojů, řídit přístup a identity, detekovat a zaznamenávat události a řešit incidenty.
    • Režim vyšších povinností vyžaduje komplexní systém řízení bezpečnosti informací, pravidelné audity, řízení dodavatelů, zajištění kontinuity činností, aplikační bezpečnost a zabezpečení průmyslových technologií.
    • Oba režimy ukládají povinnost hlásit kybernetické incidenty (§ 15–16 nZKB) a plnit stanovené povinnosti při zvládání incidentů včetně součinnosti s NÚKIB (§ 17–23 nZKB).
  3. Hlásit kybernetické bezpečnostní incidenty
    • Cílem je mít na národní (celorepublikové) úrovni přehled o aktuální situaci v kybernetické bezpečnosti.
    • Hlášení kybernetických incidentů – společnosti ve vyšším režimu hlásí incidenty NÚKIB, společnosti v nižším režim hlásí incidenty Národnímu CERT (vše skrz Portál NÚKIB/Úřadu).
  4. Provádět (proti)opatření, která vydává NÚKIB
    • Výstraha – informování veřejnosti o incidentu.
    • Varování – v případě závažné hroby nebo zranitelnosti

Snímek obrazovky 2025 10 13 181631Obr. 1: Proces ohlášení a registrace regulované služby

Snímek obrazovky 2025 10 13 181753Obr. 2: Grafické vyobrazení postupných kroků

Důsledky neohlášení regulované služby

Pokud společnost po provedení samoidentifikace usoudí, že podmínky pro registraci regulované služby nesplňuje, nemusí dál dělat nic. Doporučuje se však vytvořit o posouzení alespoň krátký záznam, pokud by bylo potřeba tyto skutečnosti přezkoumat v budoucnu.

NÚKIB má pravomoc také sám posoudit splnění podmínek a zaregistrovat společnost. Pokud se však společnost měla ohlásit, a neučinila tak, jedná se podle nZKB o přestupek, za který může být poskytovateli regulované služby udělena sankce. Takové chování naznačuje, že organizace se vyhýbá plnění svých povinností v oblasti kybernetické bezpečnosti. Maximální výše pokut za nesplnění povinnosti ohlásit službu NÚKIB je 250 mil. Kč nebo až 2 % čistého celosvětového ročního obratu (podle toho, která z částek je vyšší).

V zákonem stanovených případech (§ 5 nZKB), např. pokud jde o služby, jejichž narušení by mohlo mít významný dopad na bezpečnost ČR, rozhoduje o registraci NÚKIB a ohlašovací povinnost nevzniká. V tomto případě se organizace stává regulovaným subjektem až po doručení rozhodnutí o registraci. Tento proces se nenazývá samoidentifikace, jedná se o určení ve správním řízení.

Snímek obrazovky 2025 10 13 183204

Závěr

Úspěšná samoidentifikace začíná důkladným přehledem všech poskytovaných služeb – včetně těch, které se na první pohled jeví jako okrajové – a posouzením velikostních kritérií v kontextu celé skupiny propojených subjektů. Ve většině případů si musejí společnosti samy zjistit, zda splňují podmínky pro to, aby se staly regulovanými subjekty.

Shrnutí základních pravidel samoidentifikace

Společnost musí zkontrolovat:

  1. odvětví definované vyhláškou o regulovaných službách,
  2. veškeré regulované služby i mimo svůj hlavní předmět podnikání,
  3. zda společnost splňuje další vyjmenované podmínky, jako je licence či určitá činnost podle definovaného zákona,
  4. velikost společnosti.

Správná identifikace regulovaných služeb je klíčová pro zajištění souladu s legislativou a pro minimalizaci rizika sankcí. Nejde však jen o splnění zákonné povinnosti. Samoidentifikace otevírá cestu k systematickému řízení kybernetických rizik a budování odolnosti vůči incidentům. V prostředí, kde se kybernetické hrozby neustále vyvíjejí, je nový zákon o kybernetické bezpečnosti nejen regulačním rámcem, ale i příležitostí k posílení strategické stability organizací.

Snímek obrazovky 2025 10 13 182523Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Snímek obrazovky 2025 10 13 182721Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou: 

  1. V době psaní tohoto článku se stále jednalo o návrhu vyhlášky o regulovaných službách, předpoklad účinnosti vyhlášky je od Q4 2025.
  2. § 2 návrhu vyhlášky o regulovaných službách
  3. Vyloučení těchto malých obnovitelných zdrojů z regulace je v souladu s požadavky směrnice NIS2, neboť vzhledem k dopadům vyčísleným v důvodové zprávě k původnímu komisnímu návrhu směrnice NIS2 je zřejmé, že ta měla mířit pouze na největší producenty elektřiny, u nichž je výroba elektrické energie hlavní podnikatelskou činností. Může se stát, že to některé subjekty naplní i při použití pro vlastní potřeby, nicméně se to nepředpokládá u velkého počtu subjektů.
  4. Uživatelská příručka k definici malých a středních podniků – Publications Office of the EU, str. 13
  5. 2023-05-23_pocitani-velikosti-podniku_zjednodusene_v11_final_uid_67d0331743b00.pdf
  6. § 7 písm. c) nZKB 7 Důvodová zpráva k §
  7. návrhu dostupného ve verzi sněmovního tisku 759/0 dne 25. 7. 2024 dostupné na: https://www.psp.cz/sqw/historie.sqw?o=9&T=759 
  8. § 2 odst. 1 písm. f) návrhu dostupného ve verzi sněmovního tisku 759/0 dne 25. 7. 2024 dostupné na: https://www.psp.cz/sqw/historie.sqw?o=9&T=759 
  9. Důvodová zpráva k § 2 návrhu dostupného ve verzi sněmovního tisku 759/0 dne 25. 7. 2024 dostupné na: https://www.psp.cz/sqw/hi
Vytisknout