Česká republika přijala v souvislosti s implementací Směrnic EU (NIS2 a CER) v roce 2025 zákon o kybernetické bezpečnosti a zákon o odolnosti subjektů kritické infrastruktury. Legislativní úprava stanoví pro subjekty, které budou spadat pod tyto regulace nové povinnosti, které začínají určením základní služby a regulované služby. Implementace nových právních přepisů může pro povinné subjekty představovat významnou otázku: „Co je Základní služba podle zákona o kritické infrastruktuře a co je Regulovaná služba podle zákona o kybernetické bezpečnosti?“, „Je to stejné, nebo není?“. „V čem je rozdíl a proč?“.
Regulovaná služba je podle zákona o kybernetické bezpečnosti služba, kterou k tomuto režimu rozhodnutím stanoví Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Podmínkou je, že služba je významná pro společnost či ekonomiku v definovaných odvětvích (např. digitální infrastruktura, energetika, zdravotnictví, finance a další). Regulované služby tak většinou spojují digitální/ICT prvky s významem pro uvedené sektory. seznam regulovaných služeb je stanoven ve Vyhlášce o regulovaných službách, která upravuje kritéria pro určení regulovaných služeb. Příloha vyhlášky specifikuje konkrétní služby, které podléhají regulaci. Podle odvětví, typu služby, velikosti organizace a obratu se určuje, za jakých podmínek se poskytovatel dané služby stává regulovaným a zároveň jsou zavedeny dvě úrovně povinností:
Režim vyšších povinností, který platí pro subjekty, které jsou velké (např. podle počtu zaměstnanců, obratu), poskytují kritické služby s vysokým dopadem na ekonomiku, společnost nebo bezpečnost a mají široký geografický dosah nebo jsou klíčové pro fungování odvětví. Na tyto společnosti jsou kladeny přísnější požadavky na řízení rizik, technická a organizační opatření, monitoring, incident management. Povinnost provádět pravidelné audity, testování odolnosti, prověřování dodavatelského řetězce a větší odpovědnost za reporting kybernetických incidentů a spolupráci s NÚKIB.
Režim nižších povinností, který platí pro subjekty které, poskytují regulovanou službu, ale jejich dopad na stát a společnost je menší, jedná se typicky menší podniky nebo služby s omezeným významem. Tyto subjekty jsou povinny plnit základní bezpečnostní opatření (např. řízení aktiv, základní monitoring, hlášení incidentů).
Základní služba oproti tomu je definována jako nezbytná služba pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, poskytovaná v odvětvích nebo pododvětvích podle přílohy zákona a přílohy Nařízení vlády o základních službách a kritériích významnosti (počátkem prosince 2025 bylo nařízení vlády stále v legislativním procesu, ale pro vysvětlení významu, co je to základní služba je návrh nařízení vlády a zákon o odolnosti kritické infrastruktury dostačující). Jedná se například o dodávku elektřiny, služby osobní a dálkové železniční přepravy, nebo poskytování zdravotnické záchranné služby a další.) Poskytovatelem základní služby je společnost, která poskytuje:
alespoň jednu základní službu
a zároveň splňuje kritérium významnosti (kritérium zohledňující počet uživatelů, kteří jsou na základní službě závislí, rozsah závislosti dalších odvětví, dopad incidentů a jejich intenzita a rozsah na postiženém území, důležitost a jedinečnost poskytovatele kritické infrastruktury apod.).
Subjektem kritické infrastruktury se stane poskytovatel základní služby:
jehož kritická infrastruktura se nachází na území ČR,
a je jako subjekt kritické infrastruktury určen Ministerstvem vnitra ČR a zařazen na seznam subjektů kritické infrastruktury.
Seznam subjektů kritické infrastruktury je neveřejný a obsahuje údaje o subjektu kritické infrastruktury a o základní službě, kterou subjekt kritické infrastruktury poskytuje.
Proces samoidentifikace základní a regulované služby
Další rozdíl lze spatřit v ohlášení služby příslušnému orgánu. V případě obou regulací začíná implementace procesem samoidentifikace, kdy si společnost sama vyhodnotí, zda na něj dopadá konkrétní zákonná regulace, zda je poskytovatelem základní nebo regulované služby a pokud ano, je povinen to aktivně oznámit příslušnému orgánu:
Regulované služby jsou hlášeny Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo, prostřednictvím Portálu NÚKIB,
Základní služby podléhají povinnosti poskytnutí informací o poskytování základní služby ministerstvu (podle odvětví), jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra ČR do tří měsíců od započetí poskytování základní služby, prostřednictvím Portálu pro kritickou infrastrukturu. Účelem je rozhodnutí o zařazení subjektu na seznam subjektů kritické infrastruktury.
Je ale možné, aby se určený subjekt kritické infrastruktury a poskytovatel základní služby stal také povinným subjektem podle zákona o kybernetické bezpečnosti?
Ano, v případě poskytovatele základní služby, který byl Ministerstvem vnitra ČR určen jako Subjekt kritické infrastruktury stanoví zákon o kybernetické bezpečnosti, že určený subjekt kritické infrastruktury je také povinen splňovat povinnosti podle tohoto zákona. Regulovaná služba jejíž poskytovatel je subjektem kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu se stane regulovanou službou v režimu vyšších povinností. Jako příklad lze uvést:
Nemocnice XY, která je poskytovatelem základní služby „Provozování urgentního příjmu I. typu“ v odvětví zdravotnictví, poskytne informace o poskytování této základní služby Ministerstvu zdravotnictví ČR a Ministerstvo vnitra ČR rozhodne o zařazení na seznam subjektů kritické infrastruktury.
NÚKIB bude prostřednictvím portálu informován o zařazení Nemocnice XY na seznam subjektů kritické infrastruktury a zaregistruje jej jako povinnou osobu v režimu vyšších povinností a „Provozování urgentního příjmu I. typu“ se stane zároveň regulovanou službou, pro tento konkrétní případ.
Zatímco konkrétní Regulované služby vymezuje Vyhláška o regulovaných službách, konkrétní Základní služby vymezuje Nařízení vlády o základních službách a kritériích. Tyto právní předpisy stanovují, zda konkrétní společnost podléhá (nebo nepodléhá) regulaci zákona o odolnosti kritické infrastruktury a zákona o kybernetické bezpečnosti, případně, zda spadá pod obě tyto regulace. Rozdíl mezi Regulovanými službami a Základními službami lze spatřit nejen v samotném vymezení těchto kategorií, ale i v přístupu k jejich samoidentifikaci a stanovení podmínek, risk-based přístupu, dopadu a významu pro stát a společnost. Jako příklad rozdílného přístupu při samoidentifikaci uvádím subjekt poskytující služby datového centra:
Regulovaná služba poskytování služby datového centra je Vyhláškou o regulovaných službách vymezena jako služba datového centra poskytovaná velkým podnikem v režimu vyšších povinností a středním podnikem v režimu nižších povinností,
Základní služba poskytování služby datového centra je v Návrhu Nařízení vlády o základních službách a kritériích významnosti vymezena jako služba datového centra, jehož maximální příkon činí nejméně 0,7 MW.
Je zřejmé, že poskytování služby datového centra má přesah do obou regulací, ale přístup a podmínky samoidentifikace jsou odlišné. Pro Regulovanou službu je kritériem velikost podniku (střední podnik, velký podnik) podle doporučení Komise 2003/361/ES (počet zaměstnanců, obrat, bilanční suma). Samoidentifikace je založena na ekonomických parametrech poskytovatele, nikoli na technických parametrech služby. Pro Základní službu jsou stanovena kritéria významnosti pro zařazení poskytovatele na seznam subjektů kritické infrastruktury.
U datového centra je kritériem technický parametr – maximální příkon nejméně 0,7 MW.
Samoidentifikace je založena na kapacitě infrastruktury, tedy na fyzickém rozsahu služby, nikoli na velikosti firmy.
Proces samoidentifikace konkrétní základní nebo regulované služby nemusí být pro odpovědného pracovníka jednoznačný. V takovém případě je vhodné obrátit se na gestora pro odvětví (základní služba) nebo na NÚKIB (regulovaná služba) s žádostí o poskytnutí potřebných informací.
Závěrem lze konstatovat, že základní služby se vztahují na fyzické (infrastrukturní) součásti kritické infrastruktury, zatímco regulované služby jsou vymezeny spíše informačně-technologicky podle zásad kybernetické bezpečnosti. Obě regulace pokrývají zásadní systémy fungování státu a společnosti a vyžadují vysokou odolnost. Shodně kladou důraz na řízení rizik, zavedení bezpečnostních opatření a hlášení incidentů. I když obě regulace přináší zvýšení finanční zátěže na povinné subjekty (administrativní nárůst, cena bezpečnostních opatření, hlášení incidentů a další) je zřejmá současná potřeba na zvyšování odolnosti kritické infrastruktury a kybernetickou bezpečnost zejména v souvislosti hrozbou narušení fungování základních služeb nebo ohrožení dostupnosti, integrity a důvěrnosti informačních a komunikačních systémů, které mohou mít významný dopad na bezpečnost osob, kontinuitu podnikání, společnost a stát.
