Posouzení, zda organizace spadá pod novou regulaci
Prvním krokem je proces zvaný samoidentifikace. Aby se subjekt stal poskytovatelem regulované služby, musí naplnit následující tři kritéria:
- Působí v regulovaném odvětví – například v energetice, zdravotnictví, dopravě, vodním hospodářství, průmyslu nebo digitální infrastruktuře
- Poskytuje konkrétní regulovanou službu, která je uvedena ve vyhlášce o regulovaných službách
- Dosahuje určité velikosti nebo významnosti – typicky střední a velké podniky (50 a více zaměstnanců nebo obrat nad 10 milionů eur)
Zákon se nevztahuje na malé a mikropodniky ani na subjekty mimo regulovaná odvětví.
Povinnost registrace
Pokud organizace splňuje výše uvedená kritéria, bude zařazena do jednoho ze dvou režimů:
- Nižší režim – zahrnuje základní bezpečnostní opatření
- Vyšší režim – vztahuje se na klíčové služby a ukládá přísnější požadavky
Organizace mají 60 dnů od účinnosti zákona (do 31. prosince 2025) na registraci poskytovaných regulovaných služeb prostřednictvím Portálu NÚKIB.
Po registraci začíná běžet jednoroční přechodná lhůta na zavedení všech požadovaných opatření. Firmy musí splnit své povinnosti nejpozději do konce roku 2026.
Proč se vyplatí začít už teď
Nový zákon o kybernetické bezpečnosti zajišťuje, aby subjekty v ekonomicky významných odvětvích měly zaveden základní standard ochrany.
Včasná příprava pomůže:
- Splnit zákonné požadavky
- Snížit riziko výpadků, ztráty dat nebo reputační škody
Organizace by proto měly minimálně:
- Vyhodnotit aktuální úroveň zabezpečení a porovnat ji s požadavky
- Provést evidenci aktiv a analýzu rizik
- Zahájit procesy pro implementaci požadovaných bezpečnostních opatření
Potřebujete pomoc s compliance?
Cybreg vám pomůže s kompletní implementací požadavků ZKB – od evidence aktiv po generování dokumentace pro audit.
Sjednejte si ukázku