Výsledkem byla vlna, kterou lze bez nadsázky označit za téměř hysterickou. Firmy začaly horečně zjišťovat, zda se jich ZKB vůbec týká, kdo je „poskytovatelem regulované služby“, co přesně znamená samoidentifikace a jaké budou důsledky případné chyby, pokud samoidentifikace a následnou registraci neprovedou řádně. V některých organizacích se tak z kyberbezpečnosti stalo téma číslo jedna – ovšem často spíše z obavy před sankcemi než z reálného zájmu o kybernetickou bezpečnost organizace.
První „hořlavý“ termín
ZKB stanoví, že poskytovatel služby splňující podmínky pro registraci regulované služby je pro účely vydání rozhodnutí o registraci regulované služby povinen ohlásit tuto službu NÚKIB nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo. ZKB nabyl účinnosti 1. listopadu 2025. Samoidentifikaci a následnou registraci u NÚKIB tedy u mnohých firem bylo nutné provést do 31. prosince 2025.
V důsledku tohoto termínu si mnoho subjektů ZKB mentálně zredukovalo na jednoduchou rovnici: „provést samoidentifikaci, zaregistrovat se u NÚKIB a mít hotovo“. Jak odpovědně byly tyto povinnosti splněny – zda šlo o promyšlené posouzení, nebo jen o „odklikání“ registračního formuláře – je dnes už spíše otázkou vedlejší.
Problém výkladu – ještě není hotovo
Podstatnější je jiný problém. Mezi řadou firem se totiž rozšířila mylná domněnka, že včasnou samoidentifikací a registrací u NÚKIB celá eskapáda s novým kyberbezpečnostním zákonem skončila. Právě naopak. Registrace nebyla cílovou páskou, ale spíše startovní čárou před branou do zcela nového režimu povinností.
Méně viditelnou, ale o to důležitější součástí celého procesu je období, které následuje po samotné registraci. Po odeslání údajů a splnění formálních náležitostí totiž řadu firem čeká fáze vyčkávání. U některých byla tato doba poměrně krátká, u jiných výrazně delší a u části subjektů stále trvá. Důvod je prostý: z hlediska dalších povinností ZKB není rozhodující okamžik, kdy firma provede samoidentifikaci a ohlásí regulovanou službu NÚKIB, ale chvíle, kdy jí je ze strany NÚKIB doručeno rozhodnutí o registraci regulované služby.
Teprve tímto rozhodnutím se právní situace „přepíná“ do další fáze. Až od tohoto okamžiku totiž začínají běžet lhůty pro splnění skutečných kyberbezpečnostních povinností stanovených ZKB. Jinými slovy: dokud firma čeká na rozhodnutí, může mít pocit, že se vlastně nic neděje. Jakmile jí je však rozhodnutí doručeno, rozběhne se čas a s ním i konkrétní nároky na nastavení bezpečnostních procesů, dokumentace a technických opatření.
Princip ZKB
Ačkoliv si to tak řada firem vyložila, ZKB není postaven jako jednorázové administrativní cvičení, ale jako systém dlouhodobého řízení kybernetických rizik. Subjekt, který se sám označil za poskytovatele regulované služby, tím de facto přiznal, že jeho fungování je natolik důležité, že výpadek, narušení nebo zneužití jeho systémů může mít širší dopad na celou společnost a fungování státu. A s tím se pojí odpovědnost.
Konkrétně to znamená povinnost zavádět a udržovat technická i organizační bezpečnostní opatření, pravidelně vyhodnocovat rizika, řídit vztahy s dodavateli z pohledu kyberbezpečnosti, školit zaměstnance a být připraven reagovat na bezpečnostní incidenty – včetně jejich oznamování NÚKIB. Nejde tedy o „papírovou“ regulaci, ale o zásah do každodenního fungování organizace.
Zásadní změnou je také to, že kyberbezpečnost přestává být výlučně technickou záležitostí IT oddělení. ZKB ji posouvá do roviny řízení organizace jako celku. Do hry vstupuje vedení, compliance, interní kontrola i právní odpovědnost. Jinými slovy: pokud někdo po registraci u NÚKIB kyberbezpečnost „odloží“ zpět na správce serverů, míjí smysl celé regulace.
ZKB tímto přístupem reaguje na realitu posledních let. Kybernetické útoky už dávno nejsou výjimečnou událostí, ale běžným provozním rizikem. Útoky na nemocnice, dodavatele energií, logistické firmy nebo veřejnou správu ukázaly, že kybernetická bezpečnost není luxus, ale nutnost. Stát proto prostřednictvím zákona říká: pokud poskytujete službu, na níž jsou ostatní závislí, musíte se o svou kybernetickou bezpečnost starat systematicky.
Konec nikdy nepřijde
Registrace u NÚKIB tedy není „trestem“ ani pouhou formalitou. Je to signál, že daný subjekt je součástí širší digitální infrastruktury a že se od něj očekává určitá míra profesionality a odpovědnosti. Protože v kyberbezpečnosti, na rozdíl od jiných právně-technických oblastí, platí jednoduché pravidlo: konec vlastně nikdy nepřijde.
Pro ty, kdo doufali, že po prosinci 2025 budou mít „hotovo“, může být toto zjištění nepříjemné. Pro ostatní je to ale příležitost nastavit bezpečnost systematicky, srozumitelně a dlouhodobě.
Právě konkrétním povinnostem, které na registrované subjekty po doručení rozhodnutí dopadají, a praktickým zkušenostem s jejich plněním, budou věnovány další články tohoto seriálu.
Autorem analýzy je JUDr. Jáchym Stolička, advokát kanceláře Aegis Law.
foto: Aegis Law
Aegis Law je hlavním partnerem legalwebu, v rámci této spolupráce byl publikován rovněž tento text.
Webové stránky Aegis Law můžete navštívit na adrese https://www.aegislaw.cz/
