Organizace musí tuto povinnost splnit do 60 dnů ode dne, kdy se na ně zákon začne vztahovat, tedy mimo jiné od okamžiku nabytí jeho účinnosti. Ohlášení regulované služby probíhá výhradně elektronicky prostřednictvím Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ještě před samotným podáním musí organizace ověřit, zda skutečně poskytuje regulovanou službu ve smyslu zákona.
Pomoci přitom může přehled kategorií, který úřad zveřejnil na svých webových stránkách. Regulace se týká organizací, které poskytují služby v zákonem vymezených odvětvích, mají významný rozsah či roli, a jejichž narušení by mohlo způsobit závažné dopady na bezpečnost státu, veřejný pořádek nebo na ekonomické a společenské fungování České republiky.
Pokud si organizace potvrdí, že do působnosti zákona spadá, musí si připravit základní identifikační údaje. Patří k nim zejména název a IČO společnosti, kontaktní informace, identifikace statutárního orgánu a údaje o odpovědné osobě pro kybernetickou bezpečnost, pokud je určena. Tyto informace se následně uvádějí do elektronického formuláře.
Přístup na Portál NÚKIB
Přihlášení do Portálu NÚKIB probíhá prostřednictvím prostředků Národní identitní autority (NIA ID), například přes bankovní identitu (BankID) nebo eObčanku. Po přihlášení uživatel v sekci „Chci vyřídit“ zvolí možnost „Ohlášení regulované služby“. Elektronický formulář je navržen intuitivně a některé údaje se automaticky doplňují z registrů, což celý proces usnadňuje. Každá regulovaná služba se však ohlašuje samostatně a je potřeba stručně popsat její charakter a uvést kontaktní osoby.
Po odeslání formuláře obdrží organizace potvrzení e-mailem, včetně unikátního identifikátoru služby. Ten je vhodné uložit, protože může být potřeba při další komunikaci s úřadem. NÚKIB následně ohlášení posoudí a v případě jeho akceptace organizaci informuje o zápisu mezi regulované subjekty. Tím se spouští roční lhůta pro splnění dalších povinností, mezi které patří mimo jiné zavedení bezpečnostních opatření a příprava bezpečnostní dokumentace.
Ohláškou to nekončí
Důležitou součástí procesu je i průběžná aktualizace údajů. Pokud například dojde ke změně odpovědné osoby nebo k zániku služby, musí organizace tyto údaje aktualizovat v systému nejpozději do 30 dnů. Nedodržení této povinnosti může vést k právním sankcím.
Samotné ohlášení regulované služby není administrativně náročné, vyžaduje však pečlivost a dodržování lhůt. NÚKIB proto doporučuje řídit se oficiálními pokyny a vyřídit vše elektronicky bez odkladu. Organizace by zároveň neměly odkládat ani další kroky, zejména analýzu bezpečnostních rizik, která je klíčová nejen pro splnění požadavků zákona, ale i pro celkové řízení jejich kybernetické bezpečnosti.
Pokud firmy nedisponují vlastními odborníky nebo kapacitami na provedení komplexní analýzy rizik, mohou využít moderní softwarové nástroje třetích stran, které celý proces výrazně usnadní.
