Obsah článku:

• Jaké jsou základní povinnosti z nZKB?
• Režimy regulace a jejich význam v nZKB dle NIS2?
• Jak pověřit zástupce firmy?
• Jak ohlásit regulovanou službu?
• Co za kontaktní údaje a jak hlásit?
• Jak hlásit incidenty? 
• Jak řešit protiopatření?
• Co udělat za první kroky?

#TIP: Stáhněte si průvodce v PDF a mějte ho u sebe! Stačí se přihlásit k newsletteru tady.

Co za povinnosti ukládá nový zákon o kybernetické bezpečnosti?

Ať už vás čeká nižší nebo vyšší režim povinností, tohle platí pro všechny regulované firmy:

1. Samoidentifikace a registrace regulované služby do 31. 12. 2025 přes Portál NÚKIB
2. Nahlásit kontaktní a doplňující údaje firmy do 30 dní od doručení rozhodnutí o registraci z NÚKIB
3. Stanovit rozsah řízení kyberbezpečnosti – pokud jej nestanovíte, opatření zavedete na aktiva celé firmy
4. Postupně zavádět bezpečnostní opatření do 1 roku od potvrzení registrace z NÚKIB
5. Začít hlásit kybernetické bezpečnostní incidenty do 1 roku od potvrzení registrace
6. Informovat zákazníky o incidentech, pokud je to za vás vhodné
7. Začít provádět výstrahy/varování/protiopatření ihned a dle lhůty a pokynů v nich
8. Jen pro strategické služby: prověřovat bezpečnostně významné dodavatele a zajistit dostupnost služby

Nižší režim. Vyšší režim. Co to je v nZKB?

Režimy v nZKB: Vyšší (essential) / Nižší (important) vycházejí ze směrnice NIS2. Regulované organizace podle režimu zavádějí bezpečnostní opatření. Vždy platí jeden režim na celou organizaci. Najdete – li jednu službu ve vyšším a další v nižším, vyšší platí pro obě.

Vyšší režim je přísnější, má celkem 25 organizačních a technických opatření. Nižší režim jich má celkem 13, je mírnější.

Jak pověřit zástupce regulované firmy přes Portál NÚKIB?

Tip: Pověření zástupce netrvá dlouho, udělejte to jako první krok, pokud za vás nemůže/nechce jednat statutární orgán. Snížíte tím rizika a komplikace v procesu ohlášení regulované služby.

Jak to funguje?

• Zástupci organizace mohou být pověřováni pouze statutárním orgánem (jednatel, board apod.) 
• Pokud statutár nemá identitu občana (NIA), lze 1. registraci a pověření udělat přes datovou schránku 
• Statutár ke zvolení zástupce musí mít k dispozici číslo jeho osobního dokladu (pas, občanský průkaz…) 
• Zástupce dostane informaci o pověření do e‑mailu a přihlásí se pak do portálu přes vlastní NIA 
• Zástupců může mít firma více a jeden člověk může být zvolen zástupcem u více regulovaných služeb 
• Zástupce musí být fyzická osoba a být v základních registrech (občanství, povolení k pobytu apod.) 
• NÚKIB doporučuje pověřit minimálně dva zástupce, kvůli zastupitelnosti 
• Pokud zástupce není zvolen, musí všechny úkony vykonávat osoba uvedená jako statutární orgán

Kdy to řešit přes Portál NÚKIB? 

Když jste český statutární orgán + pověřujete osobu s českým dokladem

Pověření nebo odstranění zástupce v tomto případě uděláte přímo přes Portál NÚKIB v sekci Chci vyřídit.

Naopak v těchto případech zvolíte: „Pověření zástupce datovou schránkou”:

• Jste český statutární orgán + pověřujete osobu bez českého dokladu
• Statutární orgán je cizinec + pověřujete osobu s českým dokladem
• Statutární orgán je cizinec + pověřujete osobu bez českého dokladu

Na co dát pozor? Pověření zaslaná datovou schránkou od organizací, které mají možnost využít Portál NÚKIB, nebudou úřadem akceptována.

Co když statutár není v základních registrech a firma nemá IČO ani datovou schránku?

Tak místo toho, aby zástupce posílal formulář z datové schránky organizace, kterou má zastupovat, pošle ho přímo ze své.

Video návod: Pověření zástupce regulované firmy krok za krokem

Ohlášení a registrace služby přes portál NÚKIB (§6 nZKB)

Tip: Bez ohlášení služeb nemůžete plnit další povinnosti. Pokud při registraci odešlete špatné údaje, můžete ohlášení zopakovat – nové verze přepíší ty původní, dokud nepřijde rozhodnutí o registraci z NÚKIB.

Jak to funguje?

• Ohlášení regulované služby je první povinností dle § 6 zákona č. 264/2025 Sb. o kyberbezpečnosti 
• Ohlášení provádí buď osoba uvedená v registrech jako statutární orgán nebo pověřený zástupce 
• V procesu ohlašování regulovaných služeb lze zároveň hlásit kontaktní a doplňující údaje 
• Na ohlášení služby máte 60 dní od naplnění kritérií pro regulaci – pro většinu firem letos do 31. 12. 2025 
• Potřebujete Identitu občana (NIA), znát velikost podniku a regulované služby daného podniku 
• Pokud v tomto kroku chcete splnit povinnost hlášení kontaktních a dalších údajů, potřebujete: 
  • seznam kontaktních osob k regulovaným službám, IP adresy/rozsahy a doménová jména využívaná u služeb 
  • a poskytovatelé digitálních služeb a služeb informace o státu nahlásí informace o přeshraničním poskytování služby a daných provozovnách (adresy, názvy)

Na co si dát pozor při ohlášení regulované služby?

Ohlaste všechny regulované služby organizace najednou

Hlavně za každou regulovanou společnost zvlášť. Udělejte to přes Portál NÚKIB v sekci Chci vyřídit.

Po odeslání formuláře vyčkejte na doručení rozhodnutí o registraci z NÚKIB

Nové ohlášení vždy přepíše to původní. Proto ohlaste všechny regulované služby dané organizace najednou.

Formulář nelze uložit rozpracovaný

Mějte proto potřebné údaje připravené předem.

Video návod: Ohlášení a registrace regulované služby krok za krokem

Hlášení kontaktních a dalších údajů přes Portál NÚKIB (§11 nZKB)

Pokud jste údaje nenahlásili v procesu registrace služby, máte na to 30 dní od doručení rozhodnutí o registraci z NÚKIB.

Jak to funguje?

• Hlášení údajů je povinnost podle § 11 zákona 264/2025 Sb. o kyberbezpečnosti 
• Hlášení provádí buď osoba uvedená jako statutární orgán nebo pověřený zástupce 
• Formuláře najdete v sekci Chci vyřídit, pro jejich vyplnění je potřeba přihlášení přes Identitu občana (NIA)
• Hlášení uděláte buď ve formuláři Ohlášení regulované služby, či samotným formulářem Hlášení údajů 
• Na ohlášení údajů máte 30 dnů od doručení rozhodnutí o registraci
• Potřebujete:
  • seznam kontaktních osob k regulovaným službám, IP adresy/rozsahy a doménová jména využívaná u služeb
  • a poskytovatelé digitálních služeb a služeb informace o státu nahlásí informace o přeshraničním poskytování služby a daných provozovnách (adresy, názvy)

Na co si dát pozor při ohlášení údajů ke službě?

Údaje kontrolujte

Po odeslání formuláře se přepisují všechny dříve nahlášené informace.

Formulář nelze uložit rozpracovaný

Mějte proto potřebné údaje připravené předem.

Máte na to jen 30 dní od doručení rozhodnutí o registraci

Pokud údaje nenahlásíte už při ohlášení služby, dejte si upomínku do kalendáře, ať neriskujete porušení povinnosti z nZKB.

Video návod: Ohlášení údajů regulované služby krok za krokem

Hlášení kybernetických bezpečnostních incidentů (§15 a §16 nZKB)

Incidenty můžete začít hlásit přes Portál po tom, co dokončíte proces registrace a ohlášení regulované služby.

Co je kybernetický bezpečnostní incident?

• Incident = narušení bezpečnosti v kyberprostoru 
• Je to událost, která úspěšně narušila bezpečnost 
• Únik, změna či neplánovaná nedostupnost dat 
• Phishing, napadení systému nebo ransomware 
• Plánované odstávky či servisní zásahy nejsou považovány za incident – není třeba je hlásit!

Co je kybernetická bezpečnostní událost?

• Událost = něco, co může přerůst v bezpečnostní incident
• Třeba podezřelý e‑mail, který ale někdo nahlásil
• Každý incident začíná jako událost
• Ale ne každá událost se musí stát incidentem
• Pokud si nejste jistí, raději to nahlaste

Kdo a kam má hlásit?

• Všechny incidenty se hlásí přes portál NÚKIB (Chci vyřídit)
• V případě jeho nedostupnosti přes e‑mail/datovku úřadu
• Incidenty jdou u nižšího režimu k Národnímu CERT
• U vyššího směřují přímo k NÚKIB
• Poskytovatelé digitálních služeb se řídí tímto nařízením (č. 2024/2690)

Jak incidenty hlásí vyšší režim?

Vyšší režim do 24h od zjištění hlásí incident, který:

• se projevil ve stanoveném rozsahu řízení KB
• má původ v kybernetickém prostoru
• a nelze u něj během max. 24 hodin vyloučit úmyslné zavinění (odstávka apod).
• NÚKIB do 24h vyhodnotí, zda je incident významný a rozhodne, co dále

Schéma hlášení bezpečnostních incidentů pro vyšší režim

Jak incidenty hlásí nižší režim?

Do 24h od zjištění hlásí incident, který se projevil ve stanoveném rozsahu řízení KB, má původ v kyberprostoru a významný dopad na poskytování regulované služby. 

Významnost dopadu incidentu se určuje dle §14 vyhlášky stanovením toho, jak velká újma je únosná, aniž by to ohrozilo zdraví/provoz (př. „Výpadek na 2 hodiny je ok, nad už ne“). 

👉 Dopad incidentu je významný,  pokud překročí podnikem stanovenou únosnou míru újmy, a zároveň má významný dopad v některé z hodnocených oblastí.

Při posouzení dopadu incidentu se mají brát v úvahu hodnotící oblasti, jako:

• 1️⃣ jak incident ovlivnil provoz a poskytování služby,
• 2️⃣ kolik uživatelů nebo partnerů zasáhl,
• 3️⃣ kolik času a prostředků bude stát obnova,
• 4️⃣ jaká aktiva byla zasažena,
• 5️⃣ jaká citlivá data byla dotčena,
• 6️⃣ co incident způsobilo (porucha, člověk…)

Jak řešit protiopatření (§20, 21, 22 a 23 v nZKB)?

Co je to protiopatření?

Protiopatření jsou kroky, které může NÚKIB nařídit nebo vydat, když hrozí nebo probíhá kybernetický incident.

Mají tři formy:

• Výstraha – upozornění na incident nebo porušení povinností
• Varování – informování o nové hrozbě nebo zranitelnosti
• Reaktivní protiopatření – konkrétní krok, který musí firma udělat k ochraně svých systémů

Co je výstraha?

• NÚKIB může po konzultaci s dotčenou firmou veřejně varovat, že u ní probíhá incident, nebo že neplní zákonné povinnosti
• Jak: NÚKIB to oznámí sám, nebo rozhodne, že to firma musí zveřejnit
• Kde: Na webu NÚKIB, či přes Portál přímo dotčené firmě (v případě, že je to vhodné)
• Pozor: Když Úřad vydá rozhodnutí, okamžitě platí – nemá odkladný účinek

Co je varování?

• Když se NÚKIB dozví o závažné hrozbě/zranitelnosti, vydá varování
• Jak: Pošle varování dotčeným poskytovatelům přes Portál a vyvěsí na úřední desce na (webu)
• Výjimka: Nezveřejní ho, pokud by to ohrozilo: 
  • kyberbezpečnost
  • zájmy státu
  • nebo by to odhalilo, kdo hrozbu nahlásil
• Vyšší režim musí varování zohlednit v analýze rizik a aktualizovat parametry dané hrozby nebo zranitelnosti. Pro nižší režim je to dobrovolné.

Co je reaktivní protiopatření?

• NÚKIB vám může nařídit kroky k řešení nebo prevenci bezpečnostního incidentu či hrozby
• Jak: Dostanete rozhodnutí, které je okamžitě závazné 
• Pokud vás nezastihnou do 72 hodin, NÚKIB ho prostě vyvěsí na úřední desce a platí
• Rozsah: Musíte to udělat tak, jak je stanoveno v protiopatření (neurčí-li NÚKIB / nZKB jinak)
• Výsledek: Provedení a výsledek oznámíte přes portál NÚKIB
• Vždy zatím byla možnost neprovést, brání – li tomu vážné a relevantní důvody

Co udělat za první kroky, ať nZKB v klidu zvládnete?

• Pověřit zástupce za firmu (volitelné)
• Ohlásit regulovanou službu do 31. 12. 2025
• Ohlásit kontaktní údaje 30 dní od doručení rozhodnutí o registraci 
• Hlásit případné bezpečnostní incidenty 
• Provádět protiopatření
• Zvážit GAP analýzu 
• Začít postupně zavádět opatření

Sankce zde neuvádíme. Protože s námi nehrozí! 

Až pro Vás nastane ta správná chvíle, ulehčíme Vám 95 % práce při implementaci nZKB dle NIS2 a zajistíme firmě kyberbezpečnost nejen na papíře. 

Domluvme si schůzku.

---

Zdroje informací:

• Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb.
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností 
• Vyhláška o Portálu Národního úřadu pro kybernetickou a informační bezpečnost a požadavcích na některé úkony
• Kdo jsou zástupci organizace a jak se pověřují?
• Jak ohlásit regulovanou službu?
• Hlášení údajů k regulovaným službám
• Protiopatření
• Hlášení kybernetických bezpečnostních incidentů
• Portál NÚKIB