Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb. nabude účinnosti 1. listopadu 2025. Jak už víte z našich dřívějších aktualit, tak od účinností nového zákona začíná vybraným organizacím plynout 60denní lhůta pro ohlášení regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), a to za účelem registrace regulované služby a jejího poskytovatele. Nejpozději do jednoho roku ode dne doručení rozhodnutí NÚKIB o registraci regulované služby musí její poskytovatel zavést a provádět bezpečnostní opatření dle zákona a příslušných prováděcích předpisů.
Co se týče prováděcích předpisů, tak byla už dříve publikována vyhláška č. 334/2025 o Portálu NÚKIB a požadavcích na vybrané úkony, která upravuje procesní a technické náležitosti pro hlášení údajů, incidentů, přístupu k informacím a elektronickým službám poskytovaným NÚKIB a plněným vůči NÚKIB ze strany povinných subjektů.
V uplynulém týdnu však bylo zveřejněno ve Sbírce hned pět dalších klíčových prováděcích vyhlášek k novému zákonu o kybernetické bezpečnosti, které všechny nabývají účinnosti společně s novým zákonem k 1. listopadu 2025.
Konkrétně se jedná o následující vyhlášky:
- Vyhláška č. 408/2025 Sb. o regulovaných službách, která upravuje kritéria pro určení regulovaných osob a kritéria pro stanovení režimu regulace (vyšší/nižší). Na Portálu NÚKIB je k dispozici také aktualizovaná verze kalkulačky. Pomocí této kalkulačky můžete alespoň orientačně ověřit, zda Vámi poskytovaná služba bude regulovaná a do jakého režimu (vyšší či nižší) bude pravděpodobně spadat. Identifikace tzv. režimu regulace je rozhodná pro určení celkového souboru bezpečnostních opatření, která musí poskytovatel regulované služby zavést a provádět.
- Vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních pro vyšší režim, která stanoví bezpečnostní opatření pro povinné osoby ve vyšším režimu.
- Vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních pro nižší režim, která stanoví bezpečnostní opatření pro povinné osoby v nižším režimu.
Primárně orgánům veřejné správy pak jsou určeny ještě tyto dvě vyhlášky:
- Vyhláška č. 411/2025 Sb. o bezpečnostních úrovních informačních systémů veřejné správy, která obsahově nahrazuje stávající vyhlášku č. 315/2021 Sb. i v návaznosti na souběžnou změnu zákona o informačních systémech veřejné správy.
- Vyhláška č. 412/2025 Sb. o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu, která obsahově nahrazuje stávající vyhlášku č. 190/2023 Sb., a to i v návaznosti na souběžnou změnu zákona o informačních systémech veřejné správy.
Legislativní proces prozatím nebyl dokončen u dvou prováděcích nařízení vlády, jejichž vydání se také předpokládá v souvislosti s novým zákonem o kybernetické bezpečnosti.
- Návrh nařízení vlády o strategicky významných službách upravuje funkce strategicky významných služeb, které jsou vždy zahrnuty v mechanismu prověřování bezpečnosti dodavatelského řetězce.
- Návrh nařízení o nepominutelných funkcích, které upravuje, koho se bude mechanismus prověřování bezpečnosti dodavatelského řetězce týkat.
Na závěr ještě připomínáme, že kromě nového zákona o kybernetické bezpečnosti jsme Vás už dříve informovali v naší dřívější aktualitě také o novém zákoně č. 266/2025 Sb. o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře), který nabyl účinnosti 19. srpna 2025. Podle §5 nového zákona o kybernetické bezpečnosti totiž splňují podmínky pro registraci mimo jiné i služby poskytované subjekty kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu.
Zjednodušeně řečeno, pro závěr o tom, zda se na Vaši organizaci bude či nebude vztahovat nový zákon o kybernetické bezpečnosti, je třeba nejpozději do 60 dnů od nabytí účinnosti zákona o kybernetické bezpečnosti primárně vyhodnotit kritéria stanovená novým zákonem o kybernetické bezpečnosti a prováděcí vyhláškou o regulovaných službách a nejpozději do 31. března 2026 posoudit i to, zda Vaše organizace nenaplňuje kritéria dle nového zákona o kritické infrastruktuře a jeho prováděcího nařízení vlády o základních službách a kritériích významnosti. Návrh nařízení vlády o základních službách a kritériích významnosti, které provádí nový zákon o kritické infrastruktuře, je zatím stále také ještě v legislativním procesu.
