Jak na ohlášení poskytování regulované služby podle § 6 zákona o kybernetické bezpečnosti

Od 1. 11. 2025 začal platit zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který zásadně mění povinnosti řady organizací působících v energetice, dopravě, zdravotnictví, financích, digitální infrastruktuře či veřejné správě. Jednou z prvních povinností pro dotčené subjekty je ohlášení poskytování regulované služby podle § 6 zákona. Organizace musí tuto povinnost splnit do šedesáti dnů ode dne, kdy se na ně zákon začne vztahovat - tedy mimo jiné od okamžiku nabytí jeho účinnosti.

Ohlášení regulované služby probíhá výhradně elektronicky prostřednictvím Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ještě před samotným podáním musí organizace ověřit, zda skutečně poskytuje regulovanou službu ve smyslu zákona. Pomoci může přehled kategorií, který úřad zveřejnil na svých webových stránkách.

Regulace se týká organizací, které poskytují služby v zákonem vymezených odvětvích, mají významný rozsah či roli, a jejichž narušení by mohlo způsobit závažné dopady na bezpečnost státu, veřejný pořádek nebo na ekonomické a společenské fungování České republiky.

Pokud si organizace potvrdí, že do působnosti zákona spadá, musí si připravit základní identifikační údaje. Patří k nim zejména název a IČO společnosti, kontaktní informace, identifikace statutárního orgánu a údaje o odpovědné osobě pro kybernetickou bezpečnost, pokud je určena.

Tyto informace se následně uvádějí do elektronického formuláře.

Organizace by zároveň neměly odkládat ani další kroky - zejména analýzu bezpečnostních rizik, která je klíčová nejen pro splnění požadavků zákona, ale i pro celkové řízení jejich kybernetické bezpečnosti.

"Pokud firmy nedisponují vlastními odborníky nebo kapacitami na provedení komplexní analýzy rizik, mohou využít moderní softwarové nástroje třetích stran, které celý proces výrazně usnadní. Příkladem je aplikace Cyber Security Audit (CSA), která umožňuje nejen systematicky identifikovat a hodnotit kybernetická rizika, ale také spravovat aktiva, sledovat hrozby a zranitelnosti a průběžně aktualizovat výstupy analýzy. Díky integrované expertíze právních konzultantů navíc usnadňuje i implementaci bezpečnostních opatření a dosažení souladu s novou legislativou. CSA tak slouží jako praktický a živý nástroj, který umožňuje efektivně plánovat opatření a podporuje rozhodování o investicích do zajištění bezpečnosti organizace," říká Vojtěch Hvězda, Team Leader CyberSec společnosti GORDIC.

Přístup na Portál NÚKIB

Přihlášení do Portálu NÚKIB probíhá prostřednictvím prostředků Národní identitní autority (NIA ID), např. přes bankovní identitu (BankID) nebo eObčanku. Po přihlášení uživatel v sekci "Chci vyřídit" zvolí možnost "Ohlášení regulované služby".

Elektronický formulář je navržen intuitivně a některé údaje se automaticky doplňují z registrů, což celý proces usnadňuje. Každá regulovaná služba se však ohlašuje samostatně a je potřeba stručně popsat její charakter a uvést kontaktní osoby.

Po odeslání formuláře obdrží organizace potvrzení e-mailem, včetně unikátního identifikátoru služby. Ten je vhodné uložit, protože může být potřeba při další komunikaci s úřadem.

NÚKIB následně ohlášení posoudí a v případě jeho akceptace organizaci informuje o zápisu mezi regulované subjekty. Tím se spouští roční lhůta pro splnění dalších povinností, mezi které patří mimo jiné zavedení bezpečnostních opatření a příprava bezpečnostní dokumentace.

Průběžná aktualizace údajů

Důležitou součástí procesu je i průběžná aktualizace údajů. Pokud např. dojde ke změně odpovědné osoby nebo k zániku služby, musí organizace tyto údaje aktualizovat v systému nejpozději do třiceti dnů. Nedodržení této povinnosti může vést k právním sankcím.

Samotné ohlášení regulované služby není administrativně náročné, vyžaduje však pečlivost a dodržování lhůt. NÚKIB proto doporučuje řídit se oficiálními pokyny a vyřídit vše elektronicky bez odkladu.