Základní povinnosti plynoucí z nového zákona o kybernetické bezpečnosti

Cílem regulace kybernetické bezpečnosti je, aby vybrané organizace měly povinnost zavádět přiměřená preventivní bezpečnostníopatření, a staly se tak odolnější vůči rizikům z kyberprostoru. Kyberkriminalita je dnes třetí největší „ekonomikou“ světa, takževýznam kybernetické bezpečnosti rychle roste. Mnohé organizace to však stále neberou vážně – oficiální vyjádření působíuklidňujícím dojmem, ale realita často ukazuje na nezájem vedení, nedostatečné financování a neopodstatněné výjimky. 

povinnosti, bezpečnost                  ZoKB                 regulované služby                   NIS2

Česká republika byla díky prvnímu zákonu o kybernetické bezpečnosti¹ evropským premiantem. Zákon nastavil rámec pravidel, která se krátce poté – v upravené podobě v rámci tzv. směrnice NIS – promítla i do celoevropské legislativy.² Samotný zákon kybernetickou bezpečnost nezajistí, ale v praxi se stal silným impulzem k jejímu systematickému řešení, zejména ve veřejné správě. Na zhoršující se bezpečnostní situaci reagovala EU směrnicí NIS2³, která výrazně rozšiřuje okruh regulovaných subjektů. Na jejím základě vznikl nový český zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jako „ZKB“), jenž ukládá povinnosti tisícům dalších organizací.

Jak posoudit, zda organizace spadá pod zákon?

Prvním důležitým krokem je zjistit, zda se zákon na organizaci vůbec vztahuje. Nespadá pod něj každá organizace v České republice. Zákon se zaměřuje na tzv. regulované služby a u těch, kteří takové služby poskytují, zpravidla na střední a velké podniky (významnou výjimku z tohoto pravidla tvoří zejm. poskytovatelé veřejně dostupné služby nebo sítě elektronických komunikací, kteří pod zákon spadají všichni bez rozdílu).

Přesnou odpověď na to, zda organizace spadá pod zákon, je potřeba hledat ve vyhlášce č. 408/2025 Sb., o regulovaných službách. V této vyhlášce jsou služby rozděleny do odvětví, a pokud organizace některou z uvedených služeb (levý sloupec přílohy vyhlášky) vykonává a zároveň naplní kritéria u této služby (odpovídající pravý sloupec přílohy vyhlášky), bude pod zákon pro takovou službu spadat.

Častým problémem je vymezení regulovaných služeb a správný výpočet velikosti podniku. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal společně s vyhláškou obsáhlou důvodovou zprávu, která regulované služby popisuje. ⁴ V případě počítání velikosti podniku, což je nejčastější kritérium u regulovaných služeb, se jedná o právní otázku, u níž je postup výpočtu dán tzv. Doporučením Komise ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků. K tomuto právnímu aktu byl již v minulosti vydán podpůrný materiál na úrovni EU.⁵ Mezi nejčastější opomenutí při výpočtu velikosti podniku patři nezapočítání velikosti mateřských a sesterských společností do velikosti podniku.

Pokud organizace naplní kritéria stanovená vyhláškou, má povinnost provést do 60 dní od naplnění kritérií ohlášení podle § 6 ZKB na tzv. Portálu NÚKIB^.6 Spolu s ohlášením regulované služby je možné rovnou splnit povinnost nahlásit údaje podle § 11 ZKB. Správné ohlášení regulované služby je především povinností dané organizace – služba je zaregistrována podle obsahu ohlášení a další přezkum obsahu ohlášení podle zákona neprobíhá. Doručením rozhodnutí NÚKIB se organizace stává tzv. poskytovatelem regulované služby a v souladu s režimem povinností plynoucích z § 8 odst. 1 zákona má tyto zákonem uložené povinnosti plnit.