Kyberbezpečnost už dávno není jen technická disciplína. Nový zákon o kybernetické bezpečnosti, který začne brzy platit, přináší zásadní změny pro firmy, instituce i technologické poskytovatele napříč odvětvími – od zdravotnictví přes průmysl až po digitální infrastrukturu. První rok bude klíčový: nastaví se nové procesy, spustí se registrace, začnou běžet povinnosti a hlavně – do kyberprostoru vstoupí nová pravidla hry. Co přesně čeká nově regulované subjekty a jak se na to připravit, přehledně shrnujeme níže.
1. Identifikace jako poskytovatel regulované služby
První otázka zní: Jsem poskytovatel regulované služby?
Úřad (NÚKIB) vydá vyhlášku, ve které definuje:
jaké služby jsou považovány za regulované,
jaké subjekty jsou významné (z hlediska velikosti, dopadu apod.).
Pokud budete patřit mezi poskytovatele regulované služby:
musíte do 60 dnů ohlásit svou službu Úřadu,
následně obdržíte rozhodnutí o registraci,
tím se vám spustí zákonné povinnosti.
2. Rozdělení do režimů: vyšší vs. nižší povinnosti
Každý poskytovatel regulované služby bude zařazen:
buď do režimu nižších povinností (základní zabezpečení),
nebo do režimu vyšších povinností (pokročilá bezpečnost, strategický význam).
Toto zařazení má přímý dopad na to:
jaký rozsah bezpečnostních opatření budete muset zavádět,
komu a jak hlásit kybernetické bezpečnostní incidenty,
a zda budete podléhat i dohledu nad dodavatelským řetězcem.
3. Začátek běhu povinností
Od doručení rozhodnutí o registraci služby běží klíčové lhůty:
30 dnů na nahlášení údajů o kontaktních osobách a technických údajích.
1 rok na:
zavedení bezpečnostních opatření,
nastavení evidence aktiv a rizik,
zajištění schopnosti detekce a hlášení incidentů.
Pozor: pokud bude vaše služba v režimu vyšších povinností, povinnosti budou výrazně náročnější.
4. Implementace bezpečnostních opatření
Zákon stanovuje rozdílné „checklisty“:
Vyšší režim: 14 organizačních + 11 technických opatření, např. řízení dodavatelů, detekce incidentů, řízení kontinuity, kryptografie.
Nižší režim: zjednodušený set (12 opatření).
5. Povinnost hlásit incidenty
Platí od okamžiku dokončení implementace (nejpozději 1 rok od registrace):
Vyšší režim: hlášení incidentů do 24 h NÚKIBu, posléze do 72 h doplněné o zprávu.
Nižší režim: hlášení incidentů s „významným dopadem“ Národnímu CERTu.
Závažnost určuje:
dopad na službu,
možné zavinění,
riziko pro stát nebo více než 125 000 osob.
6. Změna režimu a aktualizace údajů
Povinnost:
hlásit změny údajů (např. o kontaktních osobách, vlastnictví, technické infrastruktuře),
do 60 dnů nahlásit změny, které mohou vést ke změně režimu (vyšší ↔ nižší),
přehodnotit aktiva, rizika a opatření pravidelně (typicky ročně nebo po změně).
7. Dodavatelé a smluvní vztahy
Zákon výslovně říká:
pokud používáte dodavatele (např. na cloud, provoz infrastruktury, bezpečnostní monitoring),
musíte smluvně zajistit jejich soulad s opatřeními,
NÚKIB může v krizových případech nařídit předání dat i přímo dodavateli.
8. Pozor na „strategicky významné služby“
Vláda stanoví, které služby mají zásadní dopad na bezpečnost ČR.
Pokud se vás to bude týkat:
budete podléhat dodatečnému dohledu nad dodavateli,
můžete být nuceni zajistit dostupnost služby z území ČR,
povinně povedete a hlásíte registry bezpečnostně významných dodavatelů.
9. Zvláštní situace: Stav kybernetického nebezpečí
V případě hrozby může NÚKIB:
vyhlásit stav kybernetického nebezpečí,
ukládat mimořádná opatření (zákazy, testy, provozní pohotovost),
požadovat přístup k sítím, datům a lidem.
