Nový zákon o kybernetické bezpečnosti platí od 1. 11. 2025. Firmy mají 60 dní na samoidentifikaci

Regulace

Od 1. listopadu 2025 je účinný nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „ZKB“). Zákon převádí požadavky směrnice NIS2 do českého práva a zásadně rozšiřuje okruh regulovaných subjektů napříč odvětvími (ICT, energie, zdravotnictví, doprava, veřejná správa aj.). Klíčovou novinkou je, že každá organizace si musí sama posoudit (tzv. samoidentifikace), zda poskytuje regulovanou službu, a do 60 dnů ji ohlásit přes Portál NÚKIB. Lhůta běží od 1. 11. 2025 do 31. 12. 2025.

Proč „samoidentifikace“ 

ZKB zavádí princip „ohlášení regulované služby“ – stát neurčuje předem seznam povinných osob, ale organizace samy posoudí, zda naplňují zákonná kritéria pro regulované služby, a následně to v zákonné lhůtě oznámí NÚKIB. Šedesátidenní lhůta je stanovena přímo prováděcími materiály NÚKIB a navazuje na okamžik nabytí účinnosti zákona (ve většině případů tedy od 1. 11. 2025). Ohlášení se provádí přes Portál NÚKIB.

Koho se to týká (orientačně)

Podle ZKB/NIS2 se regulace dotkne zejména poskytovatelů kritických a významných služeb ve vybraných sektorech (např. poskytovatelé elektronických komunikací a hostingů, datová centra, ICT správa a outsourcing, zdravotnictví, energetika, doprava, veřejná správa, vodárenství, výroba vybraných produktů aj.). Rozhodující je naplnění zákonných kritérií velikosti a povahy služby, nikoli pouze předmět podnikání v rejstříku. Pro základní orientaci lze využít kalkulačku NÚKIB a průvodce k novému zákonu.

 

Co musíte udělat teď (minimální compliance plán)

  1. Rychlé posouzení dopadu (gap-analysis): Zda poskytujete regulovanou službu a v jakém režimu. Zmapujte služby, zákazníky, SLA, smlouvy a subdodavatele. 

  2. Ohlášení regulované služby do 60 dnů: Vyplňte a odešlete oznámení přes Portál NÚKIB (nejpozději 31. 12. 2025). 

  3. Po registraci:

    • do 30 dnů doplňte požadované kontaktní údaje,

    • do 12 měsíců implementujte povinná bezpečnostní opatření dle vašeho režimu (řízení rizik, ISMS prvky, řízení dodavatelů, incidenty, testování, školení, dokumentace apod.).

Nový ZKB jasně určuje zodpovědnost managementu, řízení dodavatelského řetězce a reporting incidentů – to jsou nezbytné stavební kameny robustního digitálního trhu. Zároveň však upozorňujeme na potřebu praktických metodik, realistických lhůt a proporcionálních nároků zejména na malé a střední poskytovatele ICT služeb.

Pokud si nejste jisti, zda pod regulaci spadáte, nečekejte: proveďte rychlé posouzení a v případě naplnění kritérií ohlaste službu do 31. 12. 2025. VNICTP je připraven členům pomoci s rychlým screeningem, mapou povinností a plánem implementace (12měsíční okno po registraci).

Kontaktujte VNICTP pro metodickou podporu a vzorové podklady k samoidentifikaci, ohlášení a nastavení řízení kybernetické bezpečnosti.

Přihlásit se k odběru novinek

Chcete mít přehled o nových tématech z ICT průmyslu?
Staňte se naším členem a nic vám neunikne!

Stát se členem