Termín pro ohlášení poskytované služby, která splňovala podmínky registrace v loňském roce, vypršel o půlnoci 31.12.2025. Přičemž k ohlášení v souladu s novým kybernetickým zákonem (č. 264/2025 Sb.) měly přistoupit nejen podniky dotčené nově, ale také všechny ty, které již fungovaly dle původního zákona (č. 181/2014 Sb.). Neohlášení služby je zákonem klasifikováno jako přestupek, za který lze uložit pokutu až do výše 250 000 000,– (nebo až do výše 2 % čistého celosvětového ročního obratu). Pokud jste k ohlášení služby z jakéhokoliv důvodu doposud nepřistoupili, vřele Vám doporučujeme tak co nejrychleji učinit.
Není Vám jasné, zda se Vás nový zákon vůbec týká, máte volnou časovou kapacitu a zároveň máte rádi věci ve svých rukou? Pak můžete směle pokračovat ve čtení tohoto článku. A nebo spíše bojujete s časem či snad nejsou paragrafy Vaše hobby a raději se opíráte o pomoc profesionálů? V takovém případě šetřete čas a energii a obraťte se na nás. Provedeme Vás nejen celým procesem (od samoidentifikace, přes analýzu Vašeho stávajícího prostředí a procesů až po implementaci zákona), ale klidně i jen poradíme s některými novými pravidly, se kterými si nevíte rady.
O kompletní „kyber“ legislativě jsme Vás informovali v předchozím článku, kde naleznete všechny potřebné odkazy. Jako další zdroj relevantních informací doporučujeme také oficiální stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), resp. Portálu NÚKIB, který zároveň slouží jako hlavní komunikační nástroj mezi dotčenými subjekty a Úřadem.
Samotnému ohlášení služby, což je ve výsledku vcelku jednoduchá formalita, by měla předcházet tzv. samoidentifikace, tedy jakési interní posouzení, zda je podnik dotčený novým zákonem. Samoidentifikaci jsme již věnovali tento článek. V řadě případů může být samoidentifikace vcelku snadná a tudíž i rychlá. Pojďme se na to společně podívat krok za krokem na následujících řádcích.
- Odvětví
Působí Váš podnik v některém z těchto odvětví?
- Veřejná správa
- Energetika
- Výrobní průmysl
- Potravinářský průmysl
- Chemický průmysl
- Vodní hospodářství
- Odpadové hospodářství
- Doprava
- Digitální infrastruktura a služby
- Finanční trh
- Zdravotnictví
- Věda, výzkum a vzdělávání
- Poštovní a kurýrní služby
- Obranný průmysl
- Vesmírný průmysl
Pokud ne – velmi pravděpodobně se Vás nový kybernetický zákon netýká. V případě rozšíření Vašeho portfolia o uvedené odvětví se vraťte k našemu blogu pro aktuální informace. Čtení tohoto článku můžete nyní ukončit (v případě zájmu o problematiku můžete samozřejmě pokračovat).
Pokud ano – pokračujte bodem 2).
- Regulované služby
Pro každé odvětví jsou přesně definovány konkrétní služby, které jsou zákonem dotčeny. Jejich přehled naleznete ve vyhlášce č. 408/2025 Sb. o regulovaných službách. Pokud moc nefandíte řeči paragrafů, můžete si vzít na pomoc šikovného pomocníka v podobě Kalkulačky NÚKIB. Pro tuto chvíli se nemusíte zaobírat velikostí podniku (naklikejte řádek „střední podnik“ či „velký podnik“ a v dalším kroku můžete prostudovat konkrétní regulované služby včetně příslušných kritérií).
Pokud Váš podnik NEPOSKYTUJE žádnou regulovanou službu – velmi pravděpodobně se Vás nový kybernetický zákon netýká.
Pokud Váš podnik POSKYTUJE minimálně jednu regulovanou službu – pokračujte bodem 3).
- Velikost podniku
Nový kybernetický zákon cílí primárně na střední a velké podniky. Nicméně pamatuje i na situace, kdy je nutno službu ohlásit také v případě malého podniku/mikropodniku (tato výjimka se týká tzv. strategicky významných služeb určených nařízením vlády).
Určování velikosti podniku se řídí doporučením Komise 2003/361/ES. NÚKIB v této záležitosti vydal podpůrný dokument „Počítání velikosti podniku“, který je k dispozici zde. Pro korektní výpočet velikosti podniku vřele doporučujeme tento materiál prostudovat.
Kritérii pro výpočet velikosti jsou: počet zaměstnanců (roční pracovní jednotka), roční obrat a bilanční suma roční rozvahy. Přičemž rozhodujícím obdobím je předchozí kalendářní rok.
Výše uvedené doporučení Komise stanovuje hraniční částky v EUR. Pro převod na CZK použijeme kurz vyhlášený ČNB pro poslední den předcházející posuzovanému kalendářnímu roku (nebo období – v případě, že hodnotíme údaje pouze za část kalendářního roku). Konkrétní kurzy jsou k dohledání na stránkách ČNB.
Pro případnou změnu velikosti podniku v průběhu času platí pravidlo dvou po sobě jdoucích období (je-li podnik v roce 1 „mikro“ a v roce 2 a 3 „malý“, hodnotíme jej jako malý). V podobném duchu přistupujeme k případným výjimečném letům (velikost podniku měníme až v okamžiku změny ve dvou po sobě jdoucích obdobích).
Komplikace při výpočtu velikosti podniku může nastat v případě, kdy Váš podnik používá k poskytování regulované služby (viz bod 2) technická aktiva, která jsou propojená s technickými aktivy jiného podniku (nejčastěji podniku majetkově či personálně provázaného). Podpůrný materiál „Počítání velikosti podniku“ uvádí tyto dvě specifické situace, kdy můžeme hovořit o technickém propojení:
- Posuzovaný podnik a jeho partnerské či propojené podniky si spravují technická aktiva, vzdáleně k nim přistupují nebo mohou jiným způsobem ovlivnit bezpečnost informací.
- Posuzovaný podnik a jeho partnerské či propojené podniky vzájemně sdílejí licence potřebné k fungování technických aktiv.
V případě používání propojených aktiv je potřeba sečíst údaje (počet zaměstnanců, roční obrat a bilanční sumu roční rozvahy) všech dotčených podniků, a to podle klíče detailně rozepsaného ve zmíněném podpůrném materiálu. V praxi může nastat situace, kdy je podnik sám o sobě hodnocen jako malý (a zákonná regulace by se ho tak primárně netýkala), ale kvůli technickému propojení se sesterskou společností (která je hodnocena jako střední) dojde k přepočtu velikosti a podnik je, v souladu s touto metodikou, výsledně hodnocen jako střední (případně velký) a ocitá se díky tomu v hledáčku kybernetického zákona. Přičemž zmíněná sesterská společnost registraci podléhá pouze v případě, kdy sama poskytuje některou ze zákonem regulovaných služeb.
Nyní se můžete vrátit ke Kalkulačce NÚKIB a ověřit si velikost podniku. Pozor kalkulačka nepočítá s technickým propojením. Je tedy potřeba do ní zadat již konsolidované údaje.
Pokud je Váš podnik hodnocen jako „mikro“ či „malý“ – velmi pravděpodobně se Vás nový kybernetický zákon netýká (neposkytujete-li tzv. strategicky významnou službu).
Pokud je Váš podnik hodnocen jako „střední“ či „velký“ – pokračujte bodem 4).
- Režim povinností
Nový kybernetický zákon zavádí nový princip tzv. dvourychlostní kybernetické bezpečnosti. Zjednodušeně řečeno se jedná o dvě úrovně regulace: režim vyšších a režim nižších povinností. V praxi tyto režimy přináší podnikům rozdílné sady opatření a povinností. Kritéria pro zařazení do konkrétního režimu povinností popisuje Vyhláška o regulovaných službách (č. 408/2025 Sb.). Pro každou službu jsou stanoveny trochu jiné podmínky pro zařazení do úrovně režimu. V některých případech hraje roli velikost firmy – např. u služby Skladování vodíku jsou velké podniky poskytovatelem regulované služby v režimu vyšších povinností a střední podniky nižších. Naopak u výrobního průmyslu vesměs velikost podniku nehraje roli (téměř vždy hovoříme o nižších povinnostech). Výsledný režim je dalším výstupem Kalkulačky NÚKIB.
V případě, že podnik poskytuje vícero různých regulovaných služeb, může se stát, že v souladu s vyhláškou bude pro každou službu stanoven jiný režim povinností, nicméně podnik je v takovém případě povinen ke všem regulovaným službám přistoupit v režimu vyšších povinností.
Právě regulovaná služba a velikost podniku jsou údaji potřebnými pro samotné ohlášení/registraci regulované služby. Příslušný formulář v podstatě funguje na principu opakovaně zmíněné Kalkulačky a je k dispozici na Portálu NÚKIB. Ale o tom až někdy příště…
