NÚKIB začal rozesílat rozhodnutí: startují klíčové lhůty

NÚKIB aktuálně

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v těchto dnech hromadně doručuje rozhodnutí o registraci těm poskytovatelům, kteří v uplynulých měsících ohlásili svou regulovanou službu přes Portál NÚKIB.

Tento krok přichází v návaznosti na nový zákon o kybernetické bezpečnosti (č.264/2025Sb.), který nabyl účinnosti 1. listopadu 2025. Přestože měli poskytovatelé na ohlášení zákonnou lhůtu 60 dní, úřad přistoupil k vydávání rozhodnutí až nyní.

Cílem tohoto postupu je nastavit „stejnou startovní čáru“ pro všechny subjekty. NÚKIB tímto krokem zajišťuje, aby ti, kteří povinnost splnili okamžitě po účinnosti zákona, nebyli znevýhodněni oproti těm, kteří ohlášení podali až na konci lhůty. Všem tak byl poskytnut extra čas na přípravu bezpečnostních opatření.

Kdo odpovídá za hlášení

V této fázi, kdy úřad doručuje rozhodnutí a začínají běžet zákonné lhůty, leží hlavní odpovědnost na Manažerovi kybernetické bezpečnosti (Manažer KB). Zatímco každý z vámi uvedených rolí má v systému své místo, jejich zapojení se v čase liší:

Manažer kybernetické bezpečnosti (Hlavní odpovědnost)

Manažer je "vlastníkem" procesu a compliance. Jeho úkolem je zajistit, aby organizace nepropásla termíny uvedené v rozhodnutí. Do 30 dnů: Musí zajistit doplnění kontaktních údajů a oprávněných osob v Portálu NÚKIB. Musí koordinovat analýzu rizik, která určí, jaká bezpečnostní opatření se budou zavádět (v horizontu 1 roku). 

Jelikož NÚKIB v rozhodnutí neuvádí, zda jde o režim "vyšších" nebo "nižších" povinností, je to právě Manažer KB (často ve spolupráci s právním oddělením), kdo musí provést sebe-klasifikaci podle § 8 zákona.

Získat certifikaci Manažer KB

Architekt kybernetické bezpečnosti (Technická realizace)

Architekt nastupuje jako klíčový partner Manažera KB v momentě, kdy se začínají navrhovat konkrétní opatření. Jeho čas přichází zejména v ročním okně pro zavedení bezpečnostních opatření (§ 13 odst. 4). Navrhuje technické řešení (segmentace sítě, kryptografie, logování), aby odpovídalo požadavkům nového zákona a vyhlášky.

Získat certifikaci Architekt KB

Auditor kybernetické bezpečnosti (Kontrolní role)

Auditor je v tuto chvíli v roli pozorovatele. Jeho úkolem není agendu "odpracovat", ale nezávisle prověřit, zda byla opatření zavedena správně. Po zavedení opatření (tedy za rok a později), aby mohl vydat zprávu, zda organizace skutečně splňuje požadavky zákona č. 264/2025 Sb.

Získat certifikaci Auditor KB

Doručením rozhodnutí začínají běžet lhůty

Pokud jste právě obdrželi rozhodnutí, prvním krokem by mělo být jmenování (nebo potvrzení) Manažera KB, který neprodleně (do 30 dnů) zaktualizuje údaje v Portálu NÚKIB a zahájí projekt implementace opatření.

Okamžik doručení rozhodnutí o registraci regulované služby je klíčovým milníkem. Od tohoto data se počítají závazné lhůty pro splnění konkrétních povinností dle zákona. Pokud jste obdrželi rozhodnutí, musíte splnit následující:

• Do 30 dnů: Doplnit kontaktní údaje a další informace podle § 11 odst. 1 zákona.
• Do 1 roku: Začít plnit povinnost zavádět a provádět bezpečnostní opatření (§ 13 odst. 4).
• Do 1 roku: Začít plnit povinnost hlásit kybernetické bezpečnostní incidenty (§ 15 odst. 4).

! Režim služby v rozhodnutí nenajdete

Mnoho poskytovatelů v rozhodnutí marně hledá informaci o tom, zda spadají do režimu vyšších nebo nižších povinností. Je důležité zdůraznit, že režim poskytovatele není stanoven tímto rozhodnutím. Režim vyplývá přímo ze zákona (ex lege z § 8) a z kritérií významnosti uvedených v prováděcí vyhlášce o regulovaných službách. Je na odpovědnosti každého subjektu, aby si svůj režim správně vyhodnotil.

Upozornění pro opozdilce: Pokud jste poskytovatelem regulované služby a dosud jste ohlášení nepodali, zákonná lhůta již uplynula. Doporučujeme ohlášení provést neprodleně přes portál NÚKIB, abyste předešli případným sankcím.