Po tzv. směrnici NIS 2 (2022/2055) je tady její transpozice – nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nabude účinnosti 1.11.2025 („Zákon“).
Spolu s ním byl přijat doprovodný zákon č. 265/2025 Sb. (kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti); prováděcí vyhlášky (zejména o regulovaných službách, o bezpečnostních opatřeních pro vyšší režim a pro nižší režim) jsou pořád ještě v procesu přípravy.
Týká se Vás to?
ANO, pokud si můžete 1.11.2025 nebo kdykoliv poté odpovědět kladně na obě tyto otázky:
1. Je moje činnost tzv. regulovanou službou?
2. Splňuju kritéria velikosti / významnosti stanovená Zákonem?
Zákon totiž zajímají kybernetická rizika jen,
- jde-li o tzv. regulovanou službu v regulovaném odvětví (např. v energetice, zdravotnictví, dopravě, odpadech, chemickém průmyslu, potravinářství nebo digitálních službách), a jen
- jde-li o poskytovatele služeb, kteří splňují stanovená kritéria velikosti / významnosti, tedy kteří mají určitou velikost (jsou-li nejméně tzv. středním podnikem podle doporučení Komise 2003/361/ES), nebo kteří (jak říká Zákon) jsou významní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.
Seznam regulovaných služeb a tato kritéria budou upraveny ve výše uvedených vyhláškách (až budou účinně existovat).
Pokud jsou Vaše odpovědi na obě tyto otázky kladné, jste poskytovatelem regulované služby a přistoupíte ke třetí a čtvrté otázce.
Pokud ne, průběžně se kontrolujte, jestli se Vaše situace v tomto ohledu nezměnila.
3. Jaké budu mít povinnosti?
Budete zavádět a provádět bezpečnostní opatření vyšší nebo nižší, tedy podle toho, zda spadáte do vyššího či nižšího režimu povinností. Každý poskytovatel regulované služby musí být zařazen celý jen do jednoho režimu.
Do jednotlivých režimů se budou poskytovatelé regulované služby řadit podle vyhlášky o regulovaných službách (až bude účinně existovat).
Kromě toho budete nebo můžete plnit některé další povinnosti, např. reagovat na protiopatření vydaná Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).
4. Milníky:
Vždy do 60 dnů poté, co je možné odpovědět na otázky č. 1. a 2. kladně:
Registrovat regulovanou službu u NÚKIB.
Pokud jste poskytovatelem regulované služby již k 1.11.2025, tedy ke dni účinnosti Zákona, musíte regulovanou službu registrovat u NÚKIB nejpozději 31.12.2025.
Do 30 dnů od rozhodnutí NÚKIB o registraci Vaší regulované služby:
Nahlásit identifikační údaje osob, které jsou oprávněny za Vás jednat ve věcech upravených Zákonem, a další Zákonem vyžadované údaje.
Do 1 roku od rozhodnutí NÚKIB o registraci Vaší regulované služby:
Zahájit plnění povinností týkajících se bezpečnostních opatření (podle režimu, do kterého spadáte – vyšší nebo nižší) a zahájit hlášení kybernetických bezpečnostních incidentů.