Byznys a paragrafy, díl 20.: Nový zákon o kybernetické bezpečnosti

Povinné subjekty

Původní právní úprava zařazuje povinné subjekty do osmi různých skupin.[1] Jednalo se o poskytovatele, správce nebo provozovatele základních a digitálních služeb, informačních a komunikačních systémů kritické infrastruktury anebo informačních a komunikačních systémů základních služeb. V tomto ohledu je systematika nového zákona jednodušší, jelikož mezi povinné subjekty řadí organizace, které působí v regulovaném odvětví, které poskytují regulovanou službu a které jsou dostatečně významné. Současně však nový zákon dopadne na větší množství organizací než doposud, jelikož se rozšiřuje okruh regulovaných odvětví.

Regulovaná odvětví budou[2] stanovena ve vyhlášce o regulovaných službách. Původní úprava regulovala především odvětví energetiky, dopravy, zdravotnictví, digitální infrastruktury či financí. Vyhláška o regulovaných službách bude nově mimo jiné regulovat i odvětví jako veřejná správa, potravinářský, chemický, obranný a vesmírný průmysl a digitální infrastruktura a věda, výzkum a vzdělání. Každé jednotlivé odvětví má ve vyhlášce o regulovaných službách i regulované služby v rámci těchto odvětví. Ty jsou uvedeny v příloze vyhlášky o regulovaných službách.

Poslední podmínkou je být dostatečně významnou organizací. Významnost je hodnocena především podle velikosti podniku.[3] S výjimkou odvětví digitálních infrastruktur a služeb, kde je organizace významná i pokud je mikropodnikem nebo podnikem malým, je organizace významná pouze pokud je považována za podnik střední nebo velký. Pokud organizace zaměstnává více než 250 zaměstnanců, její roční obrat přesahuje 50 milionů eur a/nebo bilanční suma roční rozvahy přesahuje 43 milionů eur,[4] je dostatečně významná.

Reklama

Myšlenkové mapy v právu s využitím AI - nový rozměr právního myšlení (online - živé vysílání) - 29.10.2025

29.10.2025 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Povinným subjektem jsou tedy organizace, které působí v regulovaném odvětví, v tomto odvětví poskytují regulovanou službu a jsou dostatečně významné. Je třeba podotknout, že posouzení naplnění kritérií musí každá organizace provést samostatně.

Povinnosti povinného subjektu

Povinné subjekty se nově musí samy ohlásit do 60 dní od naplnění kritérií povinného subjektu. Na základě toho Národní úřad pro kybernetickou a informační bezpečnost (dále jako „NÚKIB“) zahájí řízení z moci úřední a vydá rozhodnutí o registraci regulované služby. Po doručení tohoto rozhodnutí běží subjektu lhůty na splnění dalších povinností dle zákona. Pokud by subjekt s rozhodnutím nesouhlasil, může proti rozhodnutí podat rozklad. Ten však nemá odkladný účinek.

Další povinnosti jsou děleny podle toho, zda má subjekt určen režim vyšších či nižších povinností. Určení toho, která služba spadá pod který režim, je stanoveno v příloze vyhlášky o regulovaných službách, u každé jednotlivé regulované služby a každého jednotlivého regulovaného odvětví. Pokud je služba registrována jako služba dle § 5 NZoKB, například pokud může mít narušení této služby významný dopad na bezpečnost ČR, vnitřní pořádek nebo zdraví, je automaticky řazena do režimu vyšších povinností. Základním kritériem pro stanovení, zda subjekt spadá pod nižší či vyšší režim, je kromě jiných faktorů i velikost podniku.

Povinnosti subjektu v nižším režimu

Režim nižších povinností obsahuje opatření jako např. řešení kybernetických bezpečnostních incidentů, bezpečnost lidských zdrojů nebo systém zajišťování minimální kybernetické bezpečnosti.[5] Všechny tyto povinnosti platí také u režimu vyššího, je ve větším rozsahu a hloubce – hlavními rozdíly tedy jsou rozsah bezpečnostních opatření, pravidla pro hlášení incidentů i přísnost sankcí za nedodržení povinností. V nižším režimu je v případě bezpečnostního incidentu subjekt povinen incident nahlásit Národnímu CERT. Lhůta pro nahlášení je 72 hodin od zjištění a nejpozději do 30 dní od nahlášení musí být předložena závěrečná zpráva o incidentu.

Povinnosti subjektu ve vyšším režimu

Režim vyšších povinností obsahuje opatření, která jsou obdobná jako ta upravená v minulé právní úpravě. Jsou dělena na organizační a technická opatření a mezi ty základní patří například stanovení bezpečnostních rolí, správa a ověřování identit, fyzická bezpečnost či zvládání kybernetických bezpečnostních událostí a incidentů.[6] V případně bezpečnostního incidentu je subjekt ve vyšším režimu povinen jej nahlásit přímo NÚKIBu. Oproti nižšímu režimu je subjekt ve vyšším režimu povinen při bezpečnostním incidentu předložit prvotní hlášení do 24 hodin od zjištění incidentu.

Specifika pro odvětví digitálních infrastruktur a služeb

Jak již bylo výše zmíněno, významnou službou je v odvětví digitální infrastruktury a služeb i mikropodnik nebo malý podnik. Do tohoto odvětví spadá například[7] služba datového centra, služba cloud computingu, služba registrace doménových jmen.[8] Pokud by subjekt byl povinnou osobou s tím, že poskytuje službu datového centra, jeho konkrétní povinnosti jsou stanoveny v § 18 odst. 1 NzoKB.[9] Jde o minimální výběr povinností z vyššího režimu a musí být naplňovány v míře a způsobem podle prováděcího předpisu Evropské komise k směrnici NIS 2.

Tento subjekt musí tedy minimálně identifikovat, hodnotit a snižovat rizika. Dále musí zpracovat a udržovat bezpečnostní politiku a dokumentaci. Je povinen připravit postupy, jak reagovat na kybernetický bezpečnostní incident a pro tyto případy provádět cvičení. Subjekt musí svá data zálohovat a testovat jejich obnovu. Musí dále řídit dodavatele, tedy mít připraven risk managment. Subjekt by měl řídit i své lidské zdroje, tedy provádět pravidelná školení, bezpečnostní prověrky či řízení přístupů. Subjekt je povinen nahlašovat všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování dané regulované služby.

Závěr pro běžného podnikatele

Závěrem lze dodat, že nový zákon o kybernetické bezpečnosti se standardně nevztáhne na fyzické osoby, malé podniky a organizace, které neposkytují regulované služby nebo nepůsobí v regulovaných odvětvích. Pro „běžné“ podnikatele či živnostníky tedy nová právní úprava nemá dopad.

Nejste si jisti, zda nový zákon dopadne i na Vaši organizaci? Chcete se ujistit, jaké povinnosti Vám mohou z nového zákona vyplývat? Neváhejte nás kontaktovat, rádi Vám dopad nového zákona právě na Vaši organizaci objasníme.

Sledujte další díly seriálu Byznys a paragrafy, a pokud chcete mít přehled o aktuálních právních změnách a praktických doporučeních, přihlaste se k odběru našeho měsíčního newsletteru, který vám přináší nejnovější právní novinky a užitečné tipy.

Přihlásit se k odběru newsletteru můžete >>> zde.

Děkujeme, že jste s námi, a těšíme se na pokračování společné cesty světem práva a podnikání!