8
První kroky po účinnosti nové právní úpravy kybernetické bezpečnosti
Mgr. Mgr. Radana Burešová
Dne 1. listopadu 2025 s více než ročním zpožděním nabývá účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen "ZKYB"), a jeho prováděcí vyhlášky:
1. vyhláška č. 334/2025 Sb., o Portálu Národního úřadu pro kybernetickou a informační bezpečnost a požadavcích na některé úkony,
2. vyhláška č. 408/2025 Sb., o regulovaných službách,
3. vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, a
4. vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.
Nová právní úprava subjektům, na které se vztahuje (dále jen "povinné subjekty"), ukládá řadu povinností s cílem posílit kybernetickou bezpečnost.
NahoruCo je třeba k ohlášení regulované služby
Povinné subjekty jsou především povinny do 60 dnů ode dne splnění podmínek stanovených v zákoně, což u již existujících povinných subjektů v praxi znamená do 60 dnů ode dne účinnosti zákona (do 31. prosince 2025), ohlásit regulované služby, které poskytují. Ohlášení se provádí na stránkách Úřadu pro kybernetickou bezpečnost (dále jen "NÚKIB"), pomocí formuláře ohlášení regulované služby dostupného na stránkách NÚKIB ( https://portal.nukib.gov.cz/ ) v záložce "Chci vyřídit".
Formulář musí vyplnit některý z členů statutárního orgánu povinného subjektu, zapsaný v příslušném veřejném registru (obchodním rejstříku). V rámci prvotního ohlášení je třeba uvést též pověřené zástupce povinného subjektu, kteří nemusí být členy statutárního orgánu. Doporučuje se, aby byli nejméně dva a aby jedním z nich byl manažer kybernetické bezpečnosti. Zástupci nejsou automaticky kontaktními osobami povinného subjektu, mohou však zřizovat uživatelské účty pro zaměstnance povinného subjektu.
K vyplnění formuláře je zapotřebí určité přípravy, protože formulář nelze průběžně ukládat. Musí se tedy vyplnit najednou a rovnou odeslat, jinak ho bude nutno vyplnit celý znovu. Zejména je třeba, aby fyzická osoba (člen statutárního orgánu), která ho bude vyplňovat, měla Identitu občana (mobilní klíč eGovernmentu, eObčanku, IIG – International ID Gateway, bankovní identitu nebo MojeID). Mimoto je nutno vyplnit údaje o zástupcích povinného subjektu (e-mail a číslo občanského průkazu, pasu, nebo jiného dokladu).
Dále je třeba mít připraveny údaje, které jsou relevantní pro určení velikosti podniku. Podle § 7 ZKYB se velikost podniku určuje na základě doporučení Komise 2003/361/ES ( https://www.e-sbirka.cz/sb/2023/7/0000-00-00?zalozka=text ), a to s výjimkami stanovenými právě v § 7 ZKYB. Rozhodující jsou tyto údaje:
1. počet zaměstnanců přepočtený na roční pracovní jednotky (RPJ), tzn. počet osob, které byly v…
