Kyberbezpečnost nově: tisíce firem čekají nové povinnosti. Iniciativa je plně na podnikateli.

Zvýšenou pozornost musí nové právní regulaci věnovat společnosti, které působí v některém z následujících odvětví: digitální infrastruktura a služby, drážní doprava, energetika (elektřina, plynárenství, ropná a ropné produkty, teplárenství, vodík), finanční trh, chemický průmysl, letecká doprava, odpadové hospodářství, poštovní a kurýrní služby, potravinářský průmysl, silniční doprava, věda, výzkum a vzdělávání, veřejná správa a výkon veřejné moci, vesmírný průmysl, vodní doprava, vodní hospodářství, vojenský průmysl, výrobní průmysl a zdravotnictví.

Prvním krokem, který zákon od regulovaných subjektů vyžaduje, je tzv. sebeidentifikace. Každá společnost působící v některém z výše uvedených odvětví je povinna sama vyhodnotit, zda poskytuje regulovanou službu ve smyslu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Pokud dospěje k závěru, že ano, musí tuto skutečnost do 31. prosince 2025 oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zákon přitom až na výjimky nepředpokládá, že by k identifikaci subjektů docházelo z iniciativy státu. Nebude tedy docházet k žádnému úřednímu vyrozumění ani výzvě. Odpovědnost za posouzení i oznámení bude plně spočívat na podnikatelském subjektu či organizaci.

Sebeidentifikace přitom není formální cvičení. Správné a včasné posouzení může mít zásadní dopad na právní postavení daného subjektu, neboť právě od něj se odvíjí rozsah kyberbezpečnostních povinností, které bude povinen plnit (nižší či vyšší). Posouzení vyžaduje nejen detailní znalost poskytovaných služeb a využívaných technických aktiv, ale i přehled o vnitřní organizační struktuře, zaměstnaneckých poměrech či finančních údajích. Tento krok proto není vhodné podcenit. Chybné vyhodnocení, stejně jako opomenutí ohlášení, může vést k porušení zákona a následným sankcím. Pravidla mohou na první pohled působit jednoduše, avšak správné provedení sebeidentifikace je náročný a komplexní proces. Vyžaduje spolupráci často několika oddělení a někdy i více společností v rámci skupiny, stejně jako pečlivé odborné posouzení.

Co je tedy třeba prověřit a zvážit? Především je nutné analyzovat prahové hodnoty ročního obratu, bilanční sumy rozvahy a počtu zaměstnanců za poslední tři roky. Dále je potřeba zohlednit propojené a partnerské osoby, které mohou sdílet technická aktiva používaná při poskytování regulovaných služeb. Nezbytné je také identifikovat všechny poskytované regulované služby a posoudit, zda jejich technická kritéria a význam odpovídají zákonným požadavkům. Na základě těchto kroků se určuje režim povinností – nižší či vyšší. Pokud existují pochybnosti o tom, zda se nový režim vztahuje právě na konkrétní subjekt, je nejvyšší čas tuto otázku vyřešit. Zákon nabývá účinnosti již 1. listopadu 2025 a lhůta pro oznámení končí 31. prosince tohoto roku.

Nový zákon o kybernetické bezpečnosti představuje zásadní posun v ochraně klíčových služeb a infrastruktury v digitálním prostoru. Rozšíření okruhu povinných subjektů a jasné vymezení jejich odpovědnosti klade na firmy i organizace nové nároky. Sebeidentifikace je proto nejen formální povinností, ale i prvním nezbytným krokem k naplnění nových požadavků. Firmy, které ji provedou včas a správně, budou lépe připraveny čelit kybernetickým rizikům a předejdou možným sankcím. Nyní je tedy nejvhodnější čas zahájit interní procesy, které zajistí, že zákonné povinnosti budou splněny bez komplikací.

Autorka: JUDr. Petra Mirovská

advokátka Kocián Šolc Balaštík, advokátní kancelář, s.r.o.

‍