Od 1. listopadu 2025 je v České republice účinný zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „NZKB“), který se do českého právního řádu implementuje evropskou směrnici NIS2 a představuje zásadní milník v oblasti kybernetické regulace na území České republiky za poslední roky.
Obecně
Přijetím NZKB se český právní rámec plně přizpůsobuje směrnici NIS2[1] a zároveň zavádí zcela nový systém regulace založený na poskytování tzv. regulovaných služeb.
Účinnost téhož dne nabyla také celá sada prováděcích vyhlášek, které rozpracovávají základní instituty zákona a detailně upravují novou strukturu povinností regulovaných subjektů, upozorňujeme zejména na následující vyhlášky:
- vyhláška č. 334/2025 Sb. o Portálu NÚKIB a požadavcích na některé úkony (dále jen „vyhláška o Portálu NÚKIB“);
- vyhláška č. 408/2025 Sb., o regulovaných službách (dále jen „vyhláška o regulovaných službách“);
- vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních v režimu vyšších povinností;
- vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních v režimu nižších povinností.
V související oblasti veřejné správy nabyly účinnosti také vyhláška č. 411/2025 Sb. o bezpečnostních úrovních informačních systémů veřejné správy a vyhláška č. 412/2025 Sb. o bezpečnostních pravidlech pro orgány veřejné správy využívající služby cloud computingu.
Pokud hledáte obecný úvod k nové úpravě kyberbezpečnosti, dovolíme si vás odkázat na náš předchozí článek: Kyberbezpečnost jako manažerská odpovědnost: Tisíce firem čeká nový režim.
V tomto článku bychom rádi blíže rozebrali klíčovou povinnost, kterou NZKB stanovuje a která začíná běžet již od okamžiku jeho účinnosti. Touto povinností je ohlášení regulované služby ve smyslu § 6 NZKB, které jsou povinné subjekty dle NZKB povinny provést do 60 dnů poté, kdy splní podmínky pro registraci.
Potenciálně povinné subjekty dle NZKB tedy mají velmi omezený časový prostor na to, aby posoudily, zda do regulace spadají, a případně splnily oznamovací povinnost vůči dozorovému orgánu – Národnímu úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“).
Tím, co se v prvních týdnech po nabytí účinnosti NZKB stává nejdůležitější, aby byla registrace správná a vůbec proveditelná, je povinnost subjektů řádně provést sebeidentifikaci, tedy určit, zda se vůbec jedná o poskytovatele regulované služby a pro jakou úroveň režimu povinností (nižší či vyšší režim dle NZKB a příslušných vyhlášek[2]).
Proces sebeidentifikace dle NZKB
Aby tedy potenciální poskytovatel regulované služby mohl určit, zda pod regulaci NZKB a souvisejících podzákonných předpisů spadá, musí posoudit několik kritérií.
Klíčové je, zda poskytuje službu v některém z 15 regulovaných odvětví, kterými jsou veřejná správa, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a digitální služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, obranný průmysl a vesmírný průmysl.
Následně je nutné nahlédnout do vyhlášky o regulovaných službách, která pro každé odvětví stanoví konkrétní regulované služby a vymezuje jejich obsah. Vyhláška zároveň uvádí CZ-NACE kódy jako orientační vodítko, jež pomáhá přesněji určit, zda činnost poskytovatele skutečně odpovídá některé z regulovaných služeb v daném odvětví.
Teprve kombinací zařazení do správného odvětví a ověření konkrétní regulované služby podle vyhlášky lze spolehlivě uzavřít, zda na subjekt dopadá povinnost ohlášení a registrace regulované služby podle NZKB vůči NÚKIB, tedy co do zařazení do regulovaného odvětví.
Dále se posuzuje velikost podniku podle doporučení Evropské komise 2003/361/ES[3], přičemž NZKB se (zpravidla) vztahuje na střední a velké podniky. Velikost podniku se určuje podle dvou typů ukazatelů, kterými jsou i) počet zaměstnanců (v ročních pracovních jednotkách – AWU) a ii) finanční ukazatele (roční obrat nebo bilanční suma).
- Střední podnik v tomto režimu má méně než 250 zaměstnanců a obrat ≤ 50 mil. euro nebo bilanční sumu ≤ 43 mil. euro (a současně se nejedná mikropodnik ani malý podnik).
- Velký podnik je pak ten, který zaměstnává alespoň 250 osob, nebo podnik s méně než 250 zaměstnanci, který však současně překračuje finanční limity, tj. roční obrat 50 mil. euro nebo bilanční sumu 43 mil. euro.
Při určování velikosti se zároveň přihlíží i k propojeným subjektům. Partnerské podniky (s majetkovou účastí 25–50 %, kdy nedochází fakticky k ovládání) se započítávají poměrnou částí podle výše podílu, zatímco propojené podniky (50 % a více nebo rozhodující vliv) se zahrnují v plném rozsahu, jako by šlo o jeden podnik. Výjimkou jsou pouze podniky, jejichž technická aktiva jsou zcela oddělena od aktiv používaných pro poskytování regulované služby.
Velikostní kritéria se hodnotí podle dvou po sobě jdoucích schválených účetních závěrek. Regulace se tak začne uplatňovat okamžikem, kdy podnik ve dvou obdobích za sebou naplní parametry středního nebo velkého podniku. Význam samotné služby, tedy její kritický dopad na společnost nebo stát, je dále upřesněn ve vyhlášce o regulovaných službách, která určuje, zda konkrétní činnost skutečně pod regulaci spadá.
Současně je však třeba upozornit, že i pokud nespadáte právě pod výše uvedených 15 regulovaných odvětví nebo nesplňujete kritérium velikosti, NZKB umožňuje i další způsoby, jak může být subjekt označen za povinnou osobu.
Prvním z nich je určení z moci úřední podle § 5 NZKB, kdy NÚKIB může poskytovatele regulované služby určit z vlastní iniciativy, pokud jsou splněny zvláštní podmínky významnosti uvedené v § 5 (např. systémové riziko, jedinečný poskytovatel, dopad na více než 125 000 osob nebo poskytování služby vázané na kritickou infrastrukturu).
Do regulovaných osob dle NZKB dále budou tedy také subjekty, které jsou součástí kritické infrastruktury podle zákona č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury (dále jen „zákon o kritické infrastruktuře“), a to v případě, kdy je organizace zařazena na seznam subjektů kritické infrastruktury vedený Ministerstvem vnitra, čímž splňuje podmínky pro registraci regulované služby podle § 5 písm. d) NZKB, a NÚKIB ji bude z moci úřední registrovat jako poskytovatele regulované služby, bez ohledu na její velikost či jiné parametry.
Třetí skupinou jsou poskytovatelé strategicky významných služeb podle § 25 NZKB.
Konkrétní okruh těchto služeb bude stanoven nařízením vlády, které je ke dni psaní tohoto článku v legislativním procesu. Z návrhů vyplývá, že půjde zejména o vybrané činnosti ve státní správě, energetice, dopravě a digitální infrastruktuře, nicméně definitivní vymezení bude zřejmé až po vyhlášení nařízení vlády ve Sbírce zákonů.
Z uvedeného vyplývá, že i pokud podnik na první pohled nespadá do regulovaných odvětví či velikostních kritérií, existují situace, kdy může být do režimu NZKB zařazen z důvodu svého významu, dopadu nebo strategické role pro fungování státu a společnosti.
Ohlášení a registrace NÚKIB
Pokud potenciální poskytovatel regulované služby tedy dospěje k závěru, že splňuje podmínky pro registraci ve smyslu § 4 NZKB, vzniká mu povinnost ohlásit tuto službu NÚKIB. Ohlášení je klíčovým prvním krokem v celém procesu registrace a musí být provedeno v zákonem stanovené lhůtě.
Jak již bylo avizováno, poskytovatel regulované služby je povinen ohlásit regulovanou službu NÚKIB nejpozději do 60 dnů ode dne, kdy tyto podmínky naplnil.
U subjektů, které podmínky splňují již k 1. listopadu 2025, běží 60denní lhůta od tohoto dne, takže ohlášení by mělo být učiněno nejpozději do 31. prosince 2025.
U subjektů, které podmínky splní později (např. z důvodu růstu velikosti podniku), běží 60denní lhůta od okamžiku, kdy ke splnění podmínek došlo.
Řízení o registraci regulované služby podle § 5 NZKB lze zahájit pouze z moci úřední ze strany NÚKIB.
Podání prostřednictvím Portálu NÚKIB
Vyhláška o Portálu NÚKIB stanovuje, že ohlášení regulované služby se provádí elektronicky prostřednictvím Portálu NÚKIB, který určuje formát a způsob podání. Portál NÚKIB je tedy nyní oficiálním rozhraním, které umožňuje a určuje způsob podání ohlášení a registrace, požadavky na elektronickou identitu oznamující osoby, formální a technické náležitosti ohlášení a registrace a povinné údaje, které je potenciální poskytovatel regulované služby povinen vyplnit.
Poskytovatelé regulovaných služeb by měli být schopni prostřednictvím portálu podat minimálně: i) identifikaci subjektu, ii) identifikaci regulované služby, iii) určení odvětví a charakteristiky služby, a iv) kontaktní údaje odpovědných osob.
Portál rovněž zajišťuje elektronické vedení řízení, doručování úředních dokumentů a poskytuje funkcionalitu pro ověření úplnosti ohlášení a registrace. Díky tomu je celý proces digitalizovaný a centralizovaný.
Závěrem
Přestože většina povinností začne v plném rozsahu platit až po uplynutí ročního přechodného období, minimálně sebeidentifikace a následné ohlášení vůči NÚKIB jsou požadavky, které organizace nesmí odkládat. Právě rychlé a správné provedení sebeidentifikace bude určující pro hladký přechod do nového režimu kybernetické bezpečnosti.
Je určitě důležité si uvědomit, že sebeidentifikace není pouhou formální administrativní povinností, ale procesem, který vyžaduje kvalifikované právní posouzení. Organizace musí správně vyhodnotit, zda jejich činnost naplňuje znaky regulované služby podle vyhlášky o regulovaných službách a zda splňují velikostní či významová kritéria stanovená NZKB. Tyto úvahy mohou být často poměrně právně složité (například berme v úvahu propojené a partnerské podniky a jejich dopad na sebeidentifikaci) a nesprávně provedená sebeidentifikace může mít pro povinné subjekty zásadní dopady.
Proto doporučujeme, aby poskytovatelé k sebeidentifikaci přistupovali systematicky a s dostatečnou odbornou péčí, a v případě nejasností využili podpory spolehlivého právního partnera, který se v problematice právní regulace kybernetické bezpečnosti a kritické infrastruktury orientuje. Kvalitně provedené právní posouzení již na počátku procesu minimalizuje riziko chyb, nesprávných závěrů nebo dodatečných komplikací a zajišťuje, že organizace do nové regulace vstoupí informovaně a v souladu se zákonem.
V případě jakýchkoli dotazů k tématu sebeidentifikace a nových povinností v oblasti regulace kyberbezpečnosti či dalším oblastem EU regulace a compliance jsme Vám v PEYTON legal k dispozici.
[1] SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148
[2] vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních v režimu vyšších povinností; vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních v režimu nižších povinností
[3] Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků
Mgr. Jakub Málek, managing partner – malek@plegal.cz
Mgr. Martin Heinzel, partner – heinzel@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
20. 11. 2025