V minulém příspěvku jsme avizovali blížící se přijetí nového zákona o kybernetické bezpečnosti. A naše odhady se nyní potvrdily – zákon byl zveřejněn ve Sbírce zákonů a jeho účinnost započne dne 1.11.2025. Kompletní znění zákona je k dispozici zde. Vydání souvisejících prováděcích předpisů (vyhlášek) je aktuálně plánováno na říjen – listopad.
První povinností nově dotčených subjektů (tedy poskytovatelů regulované služby) je tzv. ohlášení služby. K tomu má dojít do 60 dnů od nabytí účinnosti zákona, resp. splnění příslušných podmínek. K ohlášení služby je tedy potřeba přistoupit nejpozději do 31.12.2025.
Předpokládá se, že subjekty provedou tzv. samoidentifikaci, tedy, že samy zhodnotí, zda splňují zákonem stanovené podmínky pro registraci poskytované služby. Tyto podmínky osvětluje § 4 zmíněného zákona. Zjednodušeně řečeno se jedná o služby provozované v důležitých společenských či ekonomických odvětvích (namátkou: veřejná správa, energetika, výrobní, potravinářský, chemický průmysl, doprava, finanční trhy, zdravotnictví, věda, výzkum a vzdělávání…). Dotčené služby navíc musí být provozovány středním či velkým podnikem (ve smyslu evropské definice mikropodniků a malých a středních podniků), případně podnikem malým, nicméně významným pro zabezpečení důležitých společenských nebo ekonomických činností, případně pro bezpečnost.
Zákon (konkrétně § 5) pamatuje také na specifické podmínky, které umožní Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) registrovat na základě rozhodnutí další regulované služby. Tyto specifické podmínky zohledňují zejména kritérium významnosti subjektu pro společnost jako celek či konkrétní odvětví.
Ohlášení regulované služby probíhá prostřednictvím Portálu NÚKIB. Za tímto účelem nebyl Portál prozatím aktualizován.
K ohlášení si připravte tyto registrační údaje:
- identifikační údaje poskytovatele regulované služby – název, identifikační číslo, adresa sídla (případně adresa hlavní provozovny a dalších provozoven, a to i těch, které jsou v jiných členských státech EU),
- seznam poskytovaných regulovaných služeb, tedy takových, které splňují podmínky pro registraci.
Není bez zajímavosti, že ohlášení musí provést také subjekty, které byly povinnými dle § 3 písmene c) – g) původního zákona o kybernetické bezpečnosti.
Následně úřad rozhoduje o registraci regulované služby a zasílá tzv. rozhodnutí o registraci. Den jeho doručení je zásadní pro lhůty plnění dalších povinností, které jsou zákonem vyžadovány. Dle důvodové zprávy přiložené k zákonu bude rozhodnutí o registraci automatizované a lze tedy předpokládat, že k němu bude docházet v krátkých časových intervalech.
Neohlášení služby je zákonem klasifikováno jako přestupek, za který lze uložit pokutu až do výše 250 000 000,– (nebo až do výše 2 % čistého celosvětového ročního obratu). Přičemž NÚKIB má možnost posoudit splnění podmínek registrace a v případě potřeby rozhodnout o registraci subjektu z vlastního popudu.
Potřebujete poradit s některými novými pravidly a povinnostmi či pomoci s jejich implementací do Vašeho IT prostředí? Neváhejte se na nás obrátit.
