epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • NÁZORY
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Partnerský program
    • Předplatné
    19. 9. 2024
    ID: 118526upozornění pro uživatele

    Stav regulace kybernetické bezpečnosti v České republice ve světle probíhající transpozice NIS 2 - 1. část

    V úvodním článku této série jsme představili Směrnici NIS2[1]a její zásadní dopady na evropskou regulaci v oblasti kybernetické bezpečnosti, a rovněž uvedli nový český implementační zákon o kybernetické bezpečnosti (dále jen "Zákon")[2]. V tomto článku již přistupujeme ke specifickým pravidlům Zákona – konkrétně představíme, jak Zákon přistupuje k určení základních a důležitých subjektů, na které mají dopadat povinnosti k zajištění vysoké úrovně kybernetické bezpečnosti podle NIS2 (poskytovatelé regulované služby podle dikce Zákona), a jak mají takové subjekty postupovat pro vyhodnocení dopadu Zákona na jejich služby.

    Regulovaná služba, režimy povinností, registrace povinného subjektu

    Pojem regulovaná služba

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Zákon dopadá na osoby, které jsou usazeny v České republice, tedy především zde musí fakticky vykonávat činnosti prostřednictvím tzv. stálých struktur.[3] Tyto osoby musí posoudit, zda poskytují regulovanou službu podle Zákona, přičemž o určení, zda se jedná o regulovanou službu a o její registraci rozhoduje Úřad. Ten tak rozhodne na základě oznámení daného subjektu, nebo v některých případech z moci úřední.

    Základní podmínky pro určení regulované služby, jejichž naplnění by měl každý subjekt posoudit sám, jsou naplněny pokud:

    1. se jedná o službu, která je významná pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice v rámci konkrétních odvětví (mj. energetika, výrobní a potravinářský průmysl, zdravotnictví, digitální infrastruktura, doprava či finanční trhy); a zároveň
    2. poskytovatel této služby spadá pod definici středního nebo velkého podniku[4], případně se jedná o poskytovatele významného pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice.

    Konkrétní seznam služeb a vymezení podmínek významnosti poskytovatele stanoví Úřad vyhláškou, přičemž její rozsah (vzhledem k počtu služeb a odvětví) jde významně nad rozsah internetového článku.

    Reklama
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    16.7.2026 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Vyjma výše uvedeného standardního režimu, který se uplatní zejména u procese sebeidentifikace Zákon rovněž v souladu se směrnicí NIS2 vymezuje okruh dalších alternativních kritérií, podle kterých jde určit regulovanou službu.

    Bez splnění podmínek velikosti podniku podle bodu b) Zákon dopadá alternativně též na subjekty, u nichž tak rozhodne Úřad z moci úřední z důvodu jejich důležitosti pro celou společnost nebo určité odvětví, přičemž tak bude zkoumat v rámci správního řízení – například pokud se jedná o jediného poskytovatele služby zásadní pro zabezpečení důležitých společenských nebo ekonomických činností v České republice, či by mohlo mít narušení této služby významný dopad na bezpečnost České republiky, vnitřní pořádek nebo život a zdraví.

    U některých služeb Zákon dokonce nevyžaduje naplnění bodů a) ani b). Zákon, respektive jeho důvodová zpráva přitom předpokládá, že ani sami dotčené subjekty přitom nemusí mít nezbytné informace, zda příslušné parametry naplňují, a tak i zde bude Úřad rozhodovat z moci úřední. Do této kategorie budou spadat služby:

    1. jejíž narušení může způsobit závažný zásah do života více než 125 000 osob, a to prostřednictvím ohrožení bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkové hodnoty nebo životního prostředí; a
    2. jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele v režimu vyšších povinností.

    Kritéria pro určení režimu povinností

    Zákon dále v souladu se směrnicí NIS2 stanoví tzv. režim poskytovatele regulované služby, a to režim vyšších a režim nižších povinností. Jazykem směrnice se pak v případě vyššího režimu povinností jedná o základní subjekty (essential entities), u režimu nižších povinností pak o subjekty důležité (important entities). Poskytovatelé regulované služby budou do těchto režimů spadat mj. na základě své velikosti, druhu regulované služby, počtu uživatelů, rizikovosti provozu či jiných kritérií podle prováděcí vyhlášky.

    Obecně lze říci, že do režimu vyšších povinností spadají takové subjekty, které jsou poskytovateli služeb v rámci tzv. vysoce kritických odvětví a současně jsou velkými podniky. Ve zbytku se pak uplatní režim povinností nižších. Mezi zmíněná vysoce kritická odvětví patří zejména energetika, doprava, bankovnictví a infrastruktura finančních trhů, zdravotnictví či digitální infrastruktura. Do režimu vyšších povinností budou rovněž spadat ty subjekty, které splní výše uvedené alternativní podmínky pro registraci regulované služby, a které budou registrovány na základě rozhodnutí Úřadu ex-offo.

    Příslušný režim má samozřejmě poměrně zásadní dopad na povinnosti daného subjektu, kdy v případě režimu vyššího je těchto povinností přirozeně více, a nároky na řízení kybernetické bezpečnosti jsou obecně o něco vyšší. Mezi základní aspekty, které odlišují režim vyšších povinností od režimu povinností nižších, patří:

    1. rozdělení povinných opatření na organizační a technická (v případě nižšího režimu se aplikuje jen jedna obecná kategorie opatření);
    2. rozdělení funkcí významných pro řízení kybernetické bezpečnosti (v případě nižšího režimu stačí určení pouze jedné odpovědné osoby); a
    3. provádění auditu kybernetické bezpečnosti.

    Registrace u Úřadu

    Subjekty, které výše zmíněné regulované služby poskytují, je budou muset sami identifikovat podle naplnění kritérií uvedených výše (tzv. sebeidentifikace) a do 60 dnů ode dne, kdy ke splnění podmínek došlo, ohlásit Úřadu. V tomto směru se pak jedná o dvoufázový proces – nejdříve subjekt po provedené sebeidentifikaci regulovanou službu ohlásí Úřadu, posléze pak Úřad provede registraci této služby.

    Pokud dojde k registraci ohlášené regulované služby, bude mít příslušný subjekt 30 dnů ode dne doručení rozhodnutí o registraci regulované služby na to, aby Úřadu poskytl další nezbytné údaje, konkrétně (i) kontaktní údaje (údaje o fyzické osobě oprávněné jednat za poskytovatele regulované služby) a (ii) doplňující údaje, mezi které patří mj. doménová jména, čísla autonomních systémů (ASN) a rozsahy IP adres, které jsou využívány k poskytování regulované služby.

    Samotné ohlášení regulované služby a hlášení výše zmíněných údajů bude probíhat prostřednictvím formulářů vypracovaných a zveřejněných ze strany Úřadu. Pro obdobné účely budou rovněž dostupné i další formuláře, mj. pro hlášení jakýchkoliv změn regulovaných služeb či pro žádost o zrušení registrace.

    Závěrem

    Vzhledem k povinnosti sebeidentifikace je na místě, aby subjekty pravidelně evaluovaly rozsah jimi poskytovaných služeb a kritéria určení velikosti jejich podniku, neboť s neoznámením regulované služby Úřadu Zákon spojuje nejpřísnější sankce, které podle aktuálního znění mohou dosahovat až do výše 250 000 000 Kč, nebo 2 % čistého celosvětového obratu. Registrace regulované služby je přitom prvním krokem pro určení dalších specifických povinností, které bude muset subjekt dodržovat, a které si blíže představíme v dalších článcích této série.


    Sebastian Špeta


    Martin Svoboda


     

    Schönherr Rechtsanwälte GmbH, organizační složka
    Jindřišská 937/16
    110 00 Praha 1

    Tel.:    +420 225 996 500
    Fax:    +420 225 996 555
    e-mail: se.speta@schoenherr.eu
    e-mail: ma.svoboda@schoenherr.eu

     


    [1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.

    [2] Ke dni publikace tohoto článku byl návrh zákona připravený Národním úřadem pro kybernetickou a informační bezpečnost (dále jen "Úřad") schválen Vládou k předložení do Poslanecké sněmovny Parlamentu České republiky.

    [3] Pokud se nejedná o osoby, které na území České republiky zajišťují sítě nebo poskytují služby elektronických komunikací, na které se Zákon vztahuje bez ohledu na usazení vždy.

    [4] Pro určení, zdali se jedná o velký či střední podnik, se uplatní doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků. Zákon současně vymezuje určité výjimky z tohoto pravidla, dle kterých se vybraná ustanovení tohoto doporučení neuplatní a/nebo se uplatní v odchylné podobě. Pro úplnost uvádíme, že v obecné rovině se bude regulace v souladu s definicí středních a velkých podniků týkat podniků, které zaměstnávají 50 a více zaměstnanců a dosahují ročního obratu (či bilanční sumy roční rozvahy) min. 10 milionů EUR.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Sebastian Špeta, Martin Svoboda (Schönherr)
    19. 9. 2024

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Evropská unie mění pravidla plateb: více odpovědnosti, intenzivnější zpracování dat, více kontrol
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2026
    • Sport versus EU – aktuální sportovní kauzy rozhodované Soudním dvorem EU
    • Postavení finančního arbitra v kontextu nařízení Brusel I bis - Funkční pojetí „soudu“, osvědčení podle čl. 53 a možnost výkonu nálezu v jiných členských státech EU
    • ESG Simple jako praktická opora pro ESG reporting malých a středních podniků
    • Novinky z české a evropské regulace finančních institucí za měsíc duben 2026
    • Dvě kiwi denně: EU schválila první zdravotní tvrzení pro čerstvé ovoce
    • Digital Omnibus: Revoluce v datech, nebo jen nová zátěž pro podnikatele?
    • Nová pravidla pro ground handling v EU a jejich dopady na letecký sektor
    • Novinky z české a evropské regulace finančních institucí za měsíc březen 2026

    Novinky v eshopu

    Aktuální akce

    • 16.07.2026AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    • 22.07.2026Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 22.7.2026
    • 29.07.2026Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 29.7.2026
    • 11.08.2026Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 11.8.2026
    • 12.08.2026ChatGPT od A do Z v právní praxi 2026 (online - živé vysílání) - 12.8.2026

    Online kurzy

    • Vnosy ze SJM a vnosy do SJM a jejich valorizace v aktuální judikatuře Nejvyššího soudu a Ústavního soudu
    • Výpověď z pracovního poměru z důvodu neomluveného zameškání jedné směny
    • Nová „tlačítková povinnost“ pro e-shopy
    • Změna cenových ujednání ve smlouvách v energetice
    • Černé stavby
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 01.10.2026Trestní právo daňové - 1.10.2026
    • 02.10.2026Daňové právo 2026 - 2.10.2026
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Nový zákon o veřejných dražbách, aukce a obálkové metody
    • Evropská unie mění pravidla plateb: více odpovědnosti, intenzivnější zpracování dat, více kontrol
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Sdílení elektřiny v obecních projektech, změny po 1.8.2026 a zapojení bateriových úložišť
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Nový návrh zákona o platformové práci – 2. díl: Redefinice závislé práce
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Holdingové struktury a odpovědnost mateřské společnosti
    • Systémová podjatost ve správním řízení aneb požadavek na překročení nadkritické míry rizika systémové podjatosti
    • Přičitatelnost jednání třetích osob dlužníkovi pro účely posouzení neúčinnosti: ano nebo ne?
    • Byznys a paragrafy, díl 35: Ručení za dluhy z podnikání u OSVČ a s.r.o.
    • Platformová práce
    • Dokazování negativních skutečností ve sporném řízení
    • Pacht závodu a zákaz přenechání věci třetí osobě
    • Několik poznámek z pera Nejvyššího soudu k nemocem z povolání a důkazní nouzi

    Soudní rozhodnutí

    Koupě nemovité věci

    Je-li u koupě nemovité věci v písemné smlouvě výslovně projevena vůle stran uzavřít úplatnou kupní smlouvu bez určení kupní ceny, uplatní se podle § 2131 o. z. přiměřeně § 2085...

    Nesprávný úřední postup (exkluzivně pro předplatitele)

    Rovněž nesprávný závazný právní názor nadřízeného orgánu, který negativně ovlivnil délku odškodněného řízení, vylučuje na základě § 16 odst. 4 (s přihlédnutím k...

    Platební neschopnost (exkluzivně pro předplatitele)

    Účinky vyvrácení domněnky platební neschopnosti dlužníka dle § 3 odst. 2 písm. b/ insolvenčního zákona má výkaz stavu likvidity sestavený podle § 3 odst. 3 insolvenčního zákona...

    Předkupní právo (exkluzivně pro předplatitele)

    Pojem „neoddělitelnost věcí“ ve smyslu § 2149 odst. 2 o. z. zákon blíže nedefinuje. Jde zde o právní normu s tzv. relativně neurčitou hypotézou, tj. normu, jejíž hypotéza není...

    Přerušení řízení (exkluzivně pro předplatitele)

    Smyslem § 109 odst. 2 písm. c/ o. s. ř. je zajistit hospodárnost řízení; proto by měl soud posoudit, zda vyčkání výsledku vedlejšího řízení bude i z hlediska délky původního...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2026, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu "Taktika jednání o smlouvách".

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.