Proč to řešit?
Kdo podléhá regulaci, má 60 dní na registraci přes Portál NÚKIB. U většiny firem, na které nový zákon o kybernetické bezpečnosti dopadá od listopadové účinnosti, byl na to čas do 31. 12. 2025. Kdo to ve lhůtě nestihne, může se dopustit přestupku. Proto se vyplatí mít potřebné informace — ať na změny můžete reagovat s předstihem a v klidu.
Obsah článku:
- Koho se týká nZKB dle směrnice NIS2?
- Odkud zjistit, jestli se nZKB týká mé firmy?
- Jak ověřit, zda se mé firmy týká nZKB dle NIS2?
- Jak určit velikost firmy dle nZKB?
- Co jsou dle nZKB partnerské a propojené podniky?
- Jak se chovat v mimořádném roce?
- Jaký je správný postup samoidentifikace dle nZKB?
- Režimy povinností dle nZKB — může jich mít firma více naráz?
- Co když nejste přímo regulováni, jste v suchu?
- nZKB dle NIS2 se vás týká, co teď?
- Kdy bude účinný nZKB dle směrnice NIS2, a co pak?
Koho se týká nZKB dle směrnice NIS2?
6000 — 9 000 firem, 22 odvětví (dle nZKB – NIS2 jich pokrývá 18), 100+ regulovaných služeb.
Pod nový zákon o kybernetické bezpečnosti spadají střední a velké firmy.
U některých služeb v IT odvětví ale i ty malé a mikro.
Regulovaná jsou tato odvětví:
● veřejná správa,
● energetika (elektřina, plyn, teplo, ropa, vodík),
● výrobní průmysl,
● potravinářský průmysl,
● chemický průmysl,
● vodní hospodářství,
● odpadové hospodářství,
● doprava (vodní, silniční, železniční),
● digitální infrastruktura a služby (IT),
● finanční trh,
● zdravotnictví,
● věda, výzkum a vzdělávání,
● poštovní a kurýrní služby,
● obranný průmysl,
● vesmírný průmysl.
Odkud zjistit, jestli se zákon týká mé firmy?
🟡 Vyhláška č. 408/2025 Sb. o regulovaných službách.
🟡 Naše příručka pro samoidentifikaci.
🟡 Online aplikace na portál NÚKIB.
Jak ověřit, zda se mé firmy týká nZKB dle NIS2? Aneb samoidentifikace krok za krokem.
1️⃣ Najděte všechny služby, které poskytujete, a to i okrajově.
K tomu vám poslouží třeba ARES, kde po zadání vašeho IČ uvidíte své činnosti.
2️⃣ Určete velikost své firmy
Pozor – velikost firmy neurčuje jen počet zaměstnanců.
Zákon zohledňuje také výši obratu a hodnotu aktiv.
Můžete mít jen 10 lidí, ale pokud vaše čísla odpovídají velkému podniku, z pohledu zákona takovou firmou jste – a vztahují se na vás stejné povinnosti.
#Tip → Poslechněte si podcast, kde shrnujeme to nejzásadnější o novém kyberzákoně:
Při určování velikosti nezapomeňte zohlednit partnerské a propojené podniky.
Nový zákon o kybernetické bezpečnosti – podobně jako u dotací – v posuzování velikosti firmy zohledňuje partnerské a propojené podniky. Podrobněji to vysvětlujeme i v naší příručce. Nebo k tomu má NÚKIB materiál zde.
Mnoho firem na to zapomíná – a právě to může vést k porušení zákona.
Pokud špatně vyhodnotíte, že se vás regulace netýká, můžete zanedbat zákonnou povinnost.
Kdy to neřešte: Když už jste velká firma. Propojené a partnerské podniky slouží hlavně k tomu, aby si organizace správně určila svou velikost pro zhodnocení dopadu nZKB.
Jak to funguje: Pokud vlastníte jinou firmu, nebo vás vlastní jiná firma z více než 25 %, musíte si přičíst její údaje (obrat, aktiva a počet zaměstnanců) ke své firmě v % výši podílu.
● Podíl do 25 %: nezapočítává se nic.
● Podíl 25 – 50 %: přičtěte % v dané výši (př. podíl je 30 % = přičtete si 30 %).
● Podíl nad 50 %: započítává se 100 % údajů.
Pojďme si to ukázat na příkladu:
Řekněme, že vaše firma „A” má 10 zaměstnanců a je malá, ale zároveň patří do větší skupiny podniků (holdingu).
Z 51 % vás vlastní firma „B”, která má 250 zaměstnanců.
K 10 zaměstnancům si tedy přičtete dalších 250 za firmu „B”, protože má ve vaší firmě podíl vyšší než 50 %.
Tím pádem jste velká firma a můžete spadat do regulace, pokud děláte regulovanou službu.
Pozor: To, že vlastníte/jste vlastněni jinou firmou, ze které si přičítáte údaje, tuto firmu automaticky nečiní regulovanou. Musela by poskytovat regulovanou službu.
Kdy platí výjimka: Když s propojenou či partnerskou firmou nesdílíte IT aktiva (např. servery, IT správu), která potřebujete k provozu regulovaných služeb, údaje za ni si nemusíte přičítávat.
Kde zjistit údaje o podílech podniku? Poslouží třeba účetní závěrka, kterou najdete po zadání svého IČ na portálu Justice.
Jak se chovat v mimořádném roce?
Příklad: Jste běžně střední firma, ale v aktuálním roce máte obrat jako velká firma.
Potom platí, že byste takový obrat museli mít 2 roky za sebou, abyste byli bráni jako velký podnik.
3️⃣ Znáte služby i velikost firmy, nastal čas to porovnat s vyhláškou.
Abyste byli regulováni, musíte:
- Působit v regulovaném odvětví.
- Poskytovat regulovanou službu.
- Být významní (splňovat kritéria velikosti podniku či doplňující kritéria).
Jednotlivá odvětví z vyhlášky jsme s akčními kroky zpracovali do příručky.
Pro tento příklad se budeme držet vyhlášky.
Když otevřeme vyhlášku, může samoidentifikace probíhat následovně.
Přemýšlíte, odkud začít?
Pokud potřebujete pomoci s určením dopadu nZKB na vaši firmu, napište nám zdarma na: poradna@top-solution.cz, podíváme se na to.
Máte více služeb a vyšlo vám více režimů, můžete mít oba naráz?
Ne. Pokud najdete jednu službu v nižším režimu a druhou ve vyšším, pro obě se řídíte požadavky vyššího režimu.
Vždy platí jeden režim na celou organizaci a vždy je to ten vyšší.
Co když nejste přímo regulováni pod nZKB dle NIS2? Jste v suchu?
Přesto by se vás některé povinnosti mohly týkat – třeba pokud:
● dodáváte důležité služby regulované, či strategicky významné firmě,
● jste jediní v ČR, kdo poskytuje určitou klíčovou službu,
● vaše služba je důležitá pro zdraví, bezpečnost nebo chod státu,
● narušení vaší služby by mělo vážný dopad na velké množství lidí,
● nebo jste určeni jako kritická infrastruktura.
nZKB dle NIS2 se vás týká – co teď?
Začněte tím nejdůležitějším: nepanikařte.
Stále je čas se připravit – ale už ne tolik, abyste mohli otálet.
#TIP – Přečtěte si zde případovou studii o přípravě firmy na nZKB dle NIS2.
Prvním krokem po samoidentifikaci a registraci na NÚKIB by měla být GAP analýza.
Ta vám pomůže zmapovat aktuální stav:
- co už splňujete,
- co vám chybí
– a jak předejít zbytečné duplicitní práci.
Díky tomu získáte reálný plán kroků k naplnění požadavků zákona a vylepšení kyberbezpečnosti.
Bez chaosu a zbytečných nákladů.
Zvažte také školení klíčových lidí ve firmě.
Zvýší povědomí o dopadech nové regulace a podpoří efektivní přípravu.
Kdy bude účinný nZKB dle směrnice NIS2, a co pak?
Nový zákon o kybernetické bezpečnosti (nZKB) bude účinný už 1. listopadu 2025.
Co vás po účinnosti čeká:
- Do 60 dní od doby, kdy se na vás vztahuje nZKB, se musíte zaregistrovat přes portál NÚKIB. Jak to udělat zjistíte zde.
- Do 30 dní od potvrzení registrace nahlásit kontaktní a další údaje za svou firmu.
- Od doručení rozhodnutí o registraci z NÚKIB vám začíná roční lhůta na zavedení opatření podle vašeho režimu povinností (nižší nebo vyšší).
❗️I pokud víte, že do roka nestihnete vše splnit, NÚKIB klade důraz hlavně na to, že firma jedná, připravuje se a prokazatelně se snaží.
I kdybyste zatím zvládli jen report z GAP analýzy s konkrétním plánem, kdy a jak budete řešit zjištěné nedostatky a bezpečnostní rizika.
Už tím případné kontrole ukazujete, že situaci řešíte a berete vážně.
Lhostejnost a pasivita jsou tedy vaším jediným rizikem.
Pamatujte, že kontrola je sekundární nástroj státu.
Sankce je až krajní možnost.
To zásadní je proto na vás:
👉 Chcete jen splnit zákonný rámec, nebo budovat skutečně bezpečné podnikání?
My v tom máme jasno – chceme firmy chránit, ne jim plnit šanony.
A pokud to cítíte stejně – jsme připraveni vám pomoci!
#UmimeNIS2 — ulehčíme vám 95 % práce ke splnění nZKB a zajistíme pro vaši firmu kyberbezpečnost nejen na papíře.
Poznejte bezpečnostní opatření v naší newsletter sérii #UmimeNIS2
Získejte přehled o tom, co už ve firmě máte pod kontrolou – a kde je ještě potřeba zabrat.
V krátkých a srozumitelných dávkách vám budeme posílat:
- videa s praktickými tipy,
- aktuální info k nZKB,
- přehled novinek z kyberdžungle,
- obsah dříve.
Přečtete si také předchozí článek, kde nZKB a povinnosti vysvětlujeme ve zkratce.
Zdroje informací:
