Samoidentifikace je jedním z pojmů, který zavádí nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.). Obdobně jako u zákona o dani z přidané hodnoty je povinnost identifikovat, zda je pro daný subjekt zákon relevantní, ponechána na firmách samotných. Zároveň se jedná o úkon, který je potřeba splnit ještě v letošním roce. Pojďme se společně podívat, co přesně proces samoidentifikace obnáší a jaká povinnost na něj navazuje.
Zjednodušeně řečeno lze říci, že pro to, aby byl konkrétní podnik dotčený novým zákonem, musí v zásadě splňovat dvě hlavní podmínky. První z nich je podmínka významnosti. Tuto podmínku splňují podniky, které lze (v souladu s evropskou definicí mikropodniků a malých a středních podniků) považovat za střední či velké. Pro stanovení velikosti podniku se zohledňují tři hlavní kritéria (počet zaměstnanců, roční obrat a bilanční suma roční rozvahy). Limity pro střední podnik jsou 50 zaměstnanců a 10 milionů EUR. Pro velký podnik pak 250 zaměstnanců, 50 milionů EUR v případě obratu a 43 milionů EUR v případě bilanční sumy roční rozvahy. Přičemž bereme v úvahu údaje za poslední ukončené účetní období. Zákon pamatuje i na možnost výjimečného roku – limity tedy musí být dosaženy ve dvou po sobě jdoucích letech. V případě počtu zaměstnanců jde o tzv. roční pracovní jednotky, tedy počet osob, které byly zaměstnány na plný pracovní úvazek po celý sledovaný rok (v ostatních případech, tedy u zaměstnanců na zkrácený úvazek či zaměstnanců, kteří nepracovali celý rok, se započítává příslušný zlomek). Zaměstnanci na mateřské či rodičovské dovolené se nezapočítávají. U finančních ukazatelů se přepočet z CZK na EUR provádí ročním průměrným kurzem EUR (viz web ČNB). Pro to, aby podnik naplnil parametry středního (případně velkého) podniku je dostačující podmínkou překročení limitu počtu zaměstnanců, nebo překročení limitu obou finančních údajů. Je také potřeba mít na paměti, že v průběhu života podniku může dojít k naplnění podmínky významnosti také kdykoliv v budoucnosti a v takovém případě je potřeba přistoupit k tzv. ohlášení služby a následně k plnění dalších povinností stanovených zákonem.
Další podmínkou pro to, aby byl podnik regulován novým zákonem, je poskytování specificky určené služby v některém z dotčených odvětví. Jedná se o odvětví, která byla stanovena jako společensky či ekonomicky významná. Konkrétně jde o: Veřejná správa a výkon veřejné moci, Energetika (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík), Výrobní průmysl, Potravinářský průmysl, Chemický průmysl, Vodní hospodářství, Odpadové hospodářství, Letecká doprava, Drážní doprava, Vodní doprava, Silniční doprava, Digitální infrastruktura a služby, Finanční trh, Zdravotnictví, Věda, výzkum a vzdělávání, Poštovní a kurýrní služby, Obraný průmysl, Vesmírný průmysl. Ke každému jmenovanému odvětví byly určeny specifické služby, které jsou zákonem regulovány. Pro představu – například v odvětví Silniční doprava byla za zákonem regulovanou označena služba „Kontrola řízení provozu“ a „Provoz inteligentního dopravního systému“. Ostatní silniční služby nejsou zákonem dotčeny. Přehled všech služeb je uveden ve Vyhlášce o regulovaných službách. Ta v době vzniku tohoto článku prochází připomínkovým kolečkem a její vydání je avizováno na říjen-listopad.
Zákon pamatuje také na specifické podmínky, které umožní Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) registrovat na základě rozhodnutí také další služby, přičemž v tomto případě je zohledněno zejména kritérium významnosti subjektu pro společnost jako celek či konkrétní odvětví (viz § 5 zákona). A Vyhláška také uvádí některé specifické situace, kdy je službu nutno registrovat, ačkoliv není naplněna podmínka významnosti, což zjednodušeně řečeno znamená, že v určitých případech se zákon může dotknout také malého podniku (typicky např. v případě výroby elektřiny – disponuje-li podnik výrobnou s celkovým instalovaným elektrickým výkonem nejméně 50 MW).
Šikovným pomocníkem se samoidentifikací může být kalkulačka, která je k dispozici na Portálu NÚKIB. Ta nově spočítá i velikost podniku a je průběžně aktualizována dle probíhajících změn ve Vyhlášce (k její dosud poslední aktualizaci došlo 19. září 2025). Naleznete zde i další užitečné odkazy. Nicméně vzhledem k probíhajícímu legislativnímu procesu je potřeba počítat s tím, že jak Vyhláška, tak kalkulačka ještě můžou projít dalšími změnami. O finální verzi Vyhlášky Vás budeme informovat zde na blogu.
První povinností směrem k NÚKIB, kterou nový zákon přináší je tzv. ohlášení služby, které logicky navazuje na samoidentifikaci, a má se odehrát v horizontu 60 dní od nabytí účinnosti zákona (tedy do konce roku 2025), případně v horizontu 60 dní od splnění výše uvedených podmínek. Více jsme se o ohlášení služby rozepsali v tomto článku.
Podnikáte v zákonem dotčeném odvětví a nemáte personální kapacitu a/nebo dostatečnou IT expertizu? Případně jste dodavatelem zákonem regulovaných subjektů a je pro Vás důležité být včas připraven a nabídnout unikátní konkurenční výhodu? A nebo Vám není jasné, zda a jak se Vás kybernetický zákon vůbec týká? Neváhejte se na nás obrátit. Jsme IT profesionálové a kybernetická bezpečnost není jen naše hobby. Provedeme Vás nejen celým procesem (od samoidentifikace, přes analýzu Vašeho stávajícího prostředí a procesů až po implementaci zákona), ale klidně i jen poradíme s některými novými pravidly, se kterými si nevíte rady. Srozumitelně a profesionálně s ohledem na Vaše specifické potřeby.
