Proč to řešit už teď?

Po účinnosti zákona budou mít regulované subjekty pouze 60 dní na registraci prostřednictvím portálu NÚKIB.
Kdo to nestihne, dopouští se přestupku.
Proto se vyplatí mít potřebné informace včas — abyste na změny mohli reagovat s předstihem a v klidu.

Koho se týká nZKB dle směrnice NIS2?

6000 — 9 000 firem, 22 odvětví ekonomiky, 100+ regulovaných služeb. 

Pod nový zákon o kybernetické bezpečnosti budou spadat střední a velké firmy. 

U některých služeb v IT odvětví ale i ty malé a mikro. 

Regulovaná jsou tato odvětví:

●      veřejná správa, 

●      energetika (elektřina, plyn, teplo, ropa, vodík),

●      výrobní průmysl,

●      potravinářský průmysl,

●      chemický průmysl,

●      vodní hospodářství,

●      odpadové hospodářství,

●      doprava (vodní, silniční, železniční),

●      digitální infrastruktura a služby (IT),

●      finanční trh,

●      zdravotnictví,

●      věda, výzkum a vzdělávání,

●      poštovní a kurýrní služby,

●      obranný průmysl,

●      vesmírný průmysl.

Odkud zjistit, jestli se zákon týká vaší firmy? 

🟡 Návrh vyhlášky k nZKB. 

🟡 Naše příručka pro samoidentifikaci. 

🟡 Online aplikace na portál NÚKIB. 

Jak přesně ověřit, zda se mé firmy týká nZKB dle NIS2? Aneb samoidentifikace krok za krokem.

1️⃣ Najděte všechny služby, které poskytujete, a to i okrajově. 

K tomu vám poslouží třeba ARES, kde po zadání vašeho IČ uvidíte své činnosti. 

2️⃣ Určete velikost své firmy 

Pozor – velikost firmy neurčuje jen počet zaměstnanců.

Zákon zohledňuje také výši obratu a hodnotu aktiv.

Můžete mít jen 10 lidí, ale pokud vaše čísla odpovídají velkému podniku, z pohledu zákona takovou firmou jste – a vztahují se na vás stejné povinnosti.

Při určování velikosti nezapomeňte zohlednit partnerské a propojené podniky.

Nový zákon o kybernetické bezpečnosti – podobně jako u dotací – v posuzování velikosti firmy zohledňuje partnerské a propojené podniky. Podrobněji to vysvětlujeme i v naší příručce.

Mnoho firem na to zapomíná – a právě to může vést k porušení zákona.
Pokud špatně vyhodnotíte, že se vás regulace netýká, můžete zanedbat zákonnou povinnost. 

Kdy to neřešte: Když už jste velká firma. Propojené a partnerské podniky slouží hlavně k tomu, aby si organizace správně určila svou velikost pro zhodnocení dopadu nZKB. 

Jak to funguje: Pokud vlastníte jinou firmu, nebo vás vlastní jiná firma z více než 25 %, musíte si přičíst její údaje (obrat, aktiva a počet zaměstnanců) ke své firmě v % výši podílu. 

●      Podíl do 25 %: nezapočítává se nic.

●      Podíl 25 – 50 %: přičtěte % v dané výši (př. podíl je 30 % = přičtete si 30 %).

●      Podíl nad 50 %: započítává se 100 % údajů.

Pojďme si to ukázat na příkladu:

Řekněme, že vaše firma „A” má 10 zaměstnanců a je malá, ale zároveň patří do větší skupiny podniků (holdingu).

Z 51 % vás vlastní firma „B”, která má 250 zaměstnanců. 

K 10 zaměstnancům si tedy přičtete dalších 250 za firmu „B”, protože má ve vaší firmě podíl vyšší než 50 %. 

Tím pádem jste velká firma a můžete spadat do regulace, pokud děláte regulovanou službu. 

Pozor: To, že vlastníte/jste vlastněni jinou firmou, ze které si přičítáte údaje, tuto firmu automaticky nečiní regulovanou. Musela by poskytovat regulovanou službu.

Kdy platí výjimka: Když s propojenou či partnerskou firmou nesdílíte IT aktiva (např. servery, IT správu), která potřebujete k provozu regulovaných služeb, údaje za ni si nemusíte přičítávat.

Kde zjistit údaje o podílech podniku? Poslouží třeba účetní závěrka, kterou najdete po zadání svého IČ na portálu Justice.

Jak se chovat v mimořádném roce?

Příklad: Jste běžně střední firma, ale v aktuálním roce máte obrat jako velká firma. 

Potom platí, že byste takový obrat museli mít 2 roky za sebou, abyste byli bráni jako velký podnik.

3️⃣ Znáte služby i velikost firmy, nastal čas to porovnat s vyhláškou. 

Abyste byli regulováni, musíte:

-       Působit v regulovaném odvětví.

-       Poskytovat regulovanou službu.

-       Být významní (splňovat kritéria velikosti podniku či doplňující kritéria).

Jednotlivá odvětví z návrhu vyhlášky jsme s akčními kroky zpracovali do příručky.

Pro tento příklad se budeme držet vyhlášky. 

Když otevřeme návrh vyhlášky, může samoidentifikace probíhat následovně. 

Přemýšlíte, odkud začít? 

Pokud potřebujete pomoci s určením dopadu nZKB na vaši firmu, napište nám zdarma na: poradna@top-solution.cz, podíváme se na to.

Máte více služeb a vyšlo vám více režimů, můžete mít oba naráz? 

Ne. Pokud najdete jednu službu v nižším režimu a druhou ve vyšším, pro obě se řídíte požadavky vyššího režimu. 

Vždy platí jeden režim na celou organizaci a vždy je to ten vyšší.

Co když nejste přímo regulováni pod nZKB dle NIS2? Jste v suchu?

Přesto by se vás některé povinnosti mohly týkat – třeba pokud:

●      dodáváte důležité služby regulované, či strategicky významné firmě, 

●      jste jediní v ČR, kdo poskytuje určitou klíčovou službu,

●      vaše služba je důležitá pro zdraví, bezpečnost nebo chod státu,

●      narušení vaší služby by mělo vážný dopad na velké množství lidí,

●      nebo jste určeni jako kritická infrastruktura.

nZKB dle NIS2 se vás týká – co teď?

Začněte tím nejdůležitějším: nepanikařte.
Stále je čas se připravit – ale už ne tolik, abyste mohli otálet.

Prvním krokem po samoidentifikaci by měla být GAP analýza.

Ta vám pomůže zmapovat aktuální stav:

• co už splňujete,
• co vám chybí
  – a jak předejít zbytečné duplicitní práci.

Díky tomu získáte reálný plán kroků k naplnění požadavků zákona. 

Bez chaosu a zbytečných nákladů.

Zvažte také školení klíčových lidí ve firmě. 

Zvýší povědomí o dopadech nové regulace a podpoří efektivní přípravu.

Kdy bude účinný nZKB dle směrnice NIS2, a co pak? 

Pokud legislativní proces poběží podle plánu, nový zákon o kybernetické bezpečnosti (nZKB) může nabýt účinnosti už ve druhé polovině roku, možná tedy v říjnu 2025.

Co vás po účinnosti čeká:

• Do 60 dní se musíte zaregistrovat přes portál NÚKIB.
• Do 30 dní od potvrzení registrace nahlásit kontaktní údaje za svou firmu.
• Následně začíná roční lhůta na zavedení opatření podle vašeho režimu povinností (nižší nebo vyšší).

❗️I pokud víte, že do roka nestihnete vše splnit, NÚKIB klade důraz hlavně na to, že firma jedná, připravuje se a prokazatelně se snaží.

I kdybyste zatím zvládli jen report z GAP analýzy s konkrétním plánem, kdy a jak budete řešit zjištěné nedostatky a bezpečnostní rizika. 

Už tím případné kontrole ukazujete, že situaci řešíte a berete vážně.

Lhostejnost a pasivita jsou tedy vaším jediným rizikem.

Pamatujte, že kontrola je sekundární nástroj státu. 

Sankce je až krajní možnost.

To zásadní je proto na vás:
👉 Chcete jen splnit zákonný rámec, nebo budovat skutečně bezpečné podnikání?

My v tom máme jasno – chceme firmy chránit, ne jim plnit šanony.
A pokud to cítíte stejně – jsme připraveni vám pomoct.

#UmimeNIS2 —  pomůžeme vám udělat 95 % práce ke splnění nZKB a zabezpečit vaši firmu nejen na papíře. 

Poznejte bezpečnostní opatření v naší newsletter sérii #UmimeNIS2

Získejte přehled o tom, co už ve firmě máte pod kontrolou – a kde je ještě potřeba zabrat. V krátkých a srozumitelných dávkách vám budeme posílat:

• videa s praktickými tipy,
• aktuální info k nZKB,
• přehled novinek z kyberdžungle.

Přečtete si také předchozí článek, kde nZKB a povinnosti vysvětlujeme ve zkratce.