Na začátku listopadu nabyl účinnosti nový zákon o kybernetické bezpečnosti, který zohlednil nové požadavky vyplývající z evropské směrnice NIS 2. Zatímco dosavadní úprava se vztahovala pouze na úzký počet subjektů, nový zákon podstatně rozšířil okruh adresátů poskytujících tzv. regulovanou službu („služba jež je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice“) a odhadem se v České republice dotkne cca 6.000 subjektů. Zákon se vztahuje na střední a velké subjekty (dle doporučení Komise 2003/361/ES) nebo subjekty významné pro zabezpečení důležitých společenských nebo ekonomických činností či pro bezpečnost v České republice v následujících odvětvích:

1) veřejná správa, 2) energetika, 3) výrobní průmysl, 4) potravinářský průmysl, 5) chemický průmysl, 6) vodní hospodářství, 7) odpadové hospodářství, 8) doprava, 9) digitální infrastruktura a služby, 10) finanční trh, 11) zdravotnictví, 12) věda a výzkum, 13) poštovní a kurýrní služby, 14) obranný průmysl, 15) vesmírný průmysl.

Zákon o kybernetické bezpečnosti také rozdělil subjekty dle míry rozsahu povinností do dvou kategorií – režimu vyšších povinností a režimu nižších povinností. Podle § 8 odst. 1 výše uvedeného zákona je subjekt v režimu vyšších povinností ten, „který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku“. V režimu nižších povinností jsou pak ty subjekty, které jmenovitě nespadají do režimu vyšších povinností. Detailní rozdělení poskytovatelů konkrétních regulovaných služeb stanovil Národní úřad pro kybernetickou a informační bezpečnost vyhláškou č. 408/2025 Sb. Zda vaší organizaci tato vyhláška dělí do jedné nebo druhé kategorie si můžete ověřit zde: 408/2025 Sb., 14. 10. 2025, vyhlášené znění, informativní znění systému e-Sbírka. V obecné rovině ale platí, že klíčové služby spadají zpravidla do režimu vyšších povinností a ty méně kritické, ale stále významné, do režimu nižších povinností.

Nové povinnosti pro poskytovatele regulovaných služeb:

Mezi nové základní povinnosti pro organizace usilující o poskytování regulovaných služeb patří ohlašovací povinnost. Ohlášení organizace provádí při splnění kritérií pro registraci, nejpozději však do 60 dnů ode dne, kdy ke splnění podmínek došlo. Okamžikem rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o registraci se organizace stává poskytovatelem regulované služby a od tohoto data se organizaci počítají lhůty pro plnění dalších povinností. Další povinností poskytovatele regulovaných služeb je hlášení kontaktních údajů. Poskytovatel je oprávněn tyto údaje nahlásit již v době podání ohlášení regulované služby, nejpozději však do 30 dnů od doručení rozhodnutí o registraci. Do jednoho roku od doručení rozhodnutí je poskytovatel povinen začít hlásit kybernetické bezpečnostní incidenty. Ve stejné lhůtě, do jednoho roku je poskytovatel povinen postupně zavádět bezpečnostní opatření. Míra rozsahu bezpečnostních opatření se liší podle režimu, do kterého subjekt spadá. Rozsah bezpečnostních opatření je pro poskytovatele služeb v režimu vyšších povinností obecně popsán v § 14 odst. 1 zákona o kybernetické bezpečnosti, podrobnější manuál lze pak najít ve vyhlášce č. 409/2025 Sb, o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. Pro poskytovatele služeb v režimu nižších povinností je rozsah opatření obecně popsán v § 14 odst. 2 stejného zákona, podrobnější manuál lze nalézt ve vyhlášce č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.

Neohlášené služby, resp. neplnění povinností poskytovatele regulované služby mohou vést k vysokým pokutám až v řádech miliónů korun (§ 59 a násl. Zákona o kybernetické bezpečnosti).

Pokud byste v této souvislosti měli jakékoliv dotazy týkající se Vaší organizace, neváhejte nás kontaktovat.