Jak už jsme několikrát informovali, od 1. listopadu 2025 vstupuje v účinnost nový zákon o kybernetické bezpečnosti, který do českého právního řádu zavádí evropskou bezpečnostní směrnici NIS 2. Ta klade vyšší bezpečnostní nároky na firmy a instituce klíčové pro bezproblémový chod státu a myslí i na jejich dodavatelské řetězce. Počínaje sobotou začíná všem subjektům, které nově spadnou pod regulaci NIS 2, šedesátidenní lhůta pro registraci na Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
„Povinnost se týká jen firem poskytujících regulované služby, které spadají pod působnost nového zákona. Těchto regulovaných služeb je přes 100 ve 22 odvětvích a přesně je definuje vyhláška o regulovaných službách,“ popisuje šéf bezpečnostní společnosti APPSEC Adam Paclt. NÚKIB registraci překontroluje a pokud shledá, že firma je významná a skutečně spadá do působnosti nového kyberzákona, vydá o tom společnosti rozhodnutí o registraci regulovaní služby.
Ne každá přihlášená firma bude regulovaná
Teprve po vydání osvědčení začne firmě běžet další třicetidenní lhůta pro poskytnutí aktuálních kontaktních a dalších relevantních údajů, opět prostřednictvím Portálu NÚKIB. Nejpozději do jednoho roku od doručení rozhodnutí o registraci regulované služby pak musí daná firma podávat hlášení o zachycených kybernetických incidentech.
Protože však ne všechny společnosti poskytující regulované služby definované ve vyhlášce spadají pod směrnici NIS 2 (například nejsou tolik významné kvůli malému počtu zaměstnanců) nebo naopak nejsou poskytovateli regulované služby, a přesto se jich směrnice bude týkat, připravil NÚKIB elektronickou kalkulačku, díky které si může každá organizace ověřit, zda pod NIS 2 spadá.
Dvě úrovně povinností
Zákon o kybernetické bezpečnosti zavádí dvě úrovně povinností pro firmy regulované směrnicí NIS 2. Nejvýznamnějších podniků a institucí v oboru se týká režim vyšších povinností, který nařizuje hlásit všechny incidenty přímo NÚKIB a tato hlášení musí být podrobnější.
Ostatních firem poskytujících regulované služby se týká režim nižších povinností, podle něhož musí zavést nejzákladnější bezpečnostní opatření a případné incidenty mají hlásit národnímu bezpečnostnímu týmu CERT. U firem spadajících pod režim vyšších povinností pak může vláda na návrh NÚKIB omezit nebo zakázat využívání některých dodavatelů, kteří můžou představovat bezpečnostní riziko.
„Nový zákon o kybernetické bezpečnosti představuje jasnou bezpečnostní pojistku před významnými kybernetickými útoky. Firmám se nevyplatí takové incidenty zatajovat, protože jim za to hrozí vysoké pokuty a další omezení. Naopak povinným sdílením zkušeností s takovými útoky se můžou všichni ostatní lépe připravit a čelit stále sofistikovanějším kybernetickým hrozbám,“ uzavírá Paclt.
