Praha 10. prosince 2025 (PROTEXT) – Česko vstoupilo do nové éry regulace kybernetické bezpečnosti. Od 1. listopadu 2025 začal platit zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který zásadně mění povinnosti řady organizací působících v energetice, dopravě, zdravotnictví, financích, digitální infrastruktuře či veřejné správě. Jednou z prvních povinností pro dotčené subjekty je ohlášení poskytování regulované služby podle § 6 zákona. Jak upozorňuje Vojtěch Hvězda, ředitel odboru CyberSec společnosti GORDIC, musí tuto povinnost organizace splnit do šedesáti dnů od okamžiku, kdy se na ně zákon začne vztahovat. V textu níže vysvětluje, jak mají organizace při ohlášení regulované služby postupovat.
Ohlášení regulované služby probíhá výhradně elektronicky prostřednictvím Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ještě před samotným podáním musí organizace ověřit, zda skutečně poskytuje regulovanou službu ve smyslu zákona. Pomoci může přehled kategorií, který úřad zveřejnil na svých webových stránkách. Regulace se týká organizací, které poskytují služby v zákonem vymezených odvětvích, mají významný rozsah či roli, a jejichž narušení by mohlo způsobit závažné dopady na bezpečnost státu, veřejný pořádek nebo na ekonomické a společenské fungování České republiky.
Pokud si organizace potvrdí, že do působnosti zákona spadá, musí si připravit základní identifikační údaje. Patří k nim zejména název a IČO společnosti, kontaktní informace, identifikace statutárního orgánu a údaje o odpovědné osobě pro kybernetickou bezpečnost, pokud je určena. Tyto informace se následně uvádějí do elektronického formuláře.
Přístup na Portál NÚKIB
Přihlášení do Portálu NÚKIB probíhá prostřednictvím prostředků Národní identitní autority (NIA ID), například přes bankovní identitu (BankID) nebo eObčanku. Po přihlášení uživatel v sekci “Chci vyřídit” zvolí možnost “Ohlášení regulované služby”. Elektronický formulář je navržen intuitivně a některé údaje se automaticky doplňují z registrů, což celý proces usnadňuje. Každá regulovaná služba se však ohlašuje samostatně a je potřeba stručně popsat její charakter a uvést kontaktní osoby.
Po odeslání formuláře obdrží organizace potvrzení e-mailem, včetně unikátního identifikátoru služby. Ten je vhodné uložit, protože může být potřeba při další komunikaci s úřadem. NÚKIB následně ohlášení posoudí a v případě jeho akceptace organizaci informuje o zápisu mezi regulované subjekty. Tím se spouští roční lhůta pro splnění dalších povinností, mezi které patří mimo jiné zavedení bezpečnostních opatření a příprava bezpečnostní dokumentace.
Ohláškou to nekončí
Důležitou součástí procesu je i průběžná aktualizace údajů. Pokud například dojde ke změně odpovědné osoby nebo k zániku služby, musí organizace tyto údaje aktualizovat v systému nejpozději do třiceti dnů. Nedodržení této povinnosti může vést k právním sankcím.
Samotné ohlášení regulované služby není administrativně náročné, vyžaduje však pečlivost a dodržování lhůt. NÚKIB proto doporučuje řídit se oficiálními pokyny a vyřídit vše elektronicky bez odkladu. Organizace by zároveň neměly odkládat ani další kroky – zejména analýzu bezpečnostních rizik, která je klíčová nejen pro splnění požadavků zákona, ale i pro celkové řízení jejich kybernetické bezpečnosti.
Pokud firmy nedisponují vlastními odborníky nebo kapacitami na provedení komplexní analýzy rizik, mohou využít moderní softwarové nástroje třetích stran, které celý proces výrazně usnadní. Příkladem je aplikace Cyber Security Audit (CSA), která umožňuje nejen systematicky identifikovat a hodnotit kybernetická rizika, ale také spravovat aktiva, sledovat hrozby a zranitelnosti a průběžně aktualizovat výstupy analýzy. Díky integrované expertíze právních konzultantů navíc usnadňuje i implementaci bezpečnostních opatření a dosažení souladu s novou legislativou. CSA tak slouží jako praktický a živý nástroj, který umožňuje efektivně plánovat opatření a podporuje rozhodování o investicích do zajištění bezpečnosti organizace.
Zdroj: Gordic
