Nic nebylo nalezeno
Od 2. listopadu 2025 začíná běžet 60denní lhůta, během níž musí organizace působící na území ČR identifikovat všechny tzv. regulované služby a nahlásit je Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
2. 11. 20251 se osobám usazeným na území České republiky spouští odpočet 60denní lhůty k tomu, aby ve svých organizacích identifikovaly všechny tzv. regulované služby a tyto nahlásily Národnímu úřadu pro kybernetickou a informační bezpečnost („NÚKIB“). Adresáti nového zákona o kybernetické bezpečnosti („nZKB“) mají tedy na provedení, popř. dokončení této analýzy necelé 2 měsíce.
Regulace kyberbezpečnosti zasáhne mnoho osob, kterým doposud povinnosti v oblasti kybernetické bezpečnosti ukládány nebyly2, a široké spektrum dosud neregulovaných oblastí. Šíře této regulace v řadě odvětví přitom nemusí být na první pohled zřejmá. V sektoru digitální infrastruktury a služeb bylo mezi regulované služby zařazeno i:
- poskytování služby datového centra;
- poskytování řízené služby, tedy činnosti související s instalací, správou, provozem nebo údržbou, byť i části, IT systémů nebo IT vybavení, popř. jejich kombinace; není přitom podstatné, jestli je služba poskytována formou aktivní správy nebo pouhé asistence, stejně jako zda je prováděna na místě u příjemce služby nebo vzdáleným přístupem; a
- poskytování řízené bezpečnostní služby.
Posouzení vedlejších činností
Při tzv. analýze dopadu3 nZKB je třeba věnovat zvláštní pozornost vedlejším činnostem jako je např. poskytování IT služeb v rámci korporátní skupiny. To je důležité, protože nZKB nevyžaduje, aby regulovaná činnost byla hlavní činností povinné osoby, popř. aby byla provozována s cílem dosažení zisku. V praxi to znamená, že vedlejší nebo doplňkové aktivity organizace ji mohou do režimu nZKB „vtáhnout“.
Tímto se úprava prosazená českým zákonodárcem odlišuje např. od přístupu zvažovaného v Německu. Aktuální návrh německého zákona obecně umožňuje při analýze regulovaných služeb nezohledňovat činnosti, které jsou, ve vztahu k celkové činnosti organizace, zanedbatelné.
Porovnání různých přístupů v České republice a Německu ukazuje další výzvu, které mezinárodní skupiny čelí při zajišťování souladu s novou legislativou v různých členských státech Evropské unie. Směrnice NIS2 totiž nebyla v členských státech provedena jednotně a při zajištění souladu tedy nelze spoléhat pouze na posouzení dopadu provedené např. dle právního řádu, kterému podléhá mateřská společnost. Bohužel tato nejednotnost ovlivňuje i následující proces, a to zejména pokud jde o podobu a rozsah požadovaných bezpečnostních opatření.
Absence skupinové výjimky a vynětí interních data center
Jsou-li mj. služby datového centra, řízená služba nebo řízená bezpečnostní služba poskytovány další osobě, jejich poskytovatel se pravděpodobně dostane do pozice povinné osoby dle nZKB. Ani směrnice NIS2 ani český nZKB totiž nerozlišují, zda příjemcem služby je společnost ze skupiny nebo externí zákazník.
Na druhou NIS2 uvádí, že „Pojem „služba datových center“ by se neměl vztahovat na interní, firemní datová centra vlastněná a provozovaná pro vlastní potřebu dotčeného subjektu.“4 Byť se tato výjimka nepropsala ani do definičního ustanovení v samotné NIS2, ani do nZKB, měla by být v rámci eurokomformního výkladu respektována národními dohledovými orgány.
Dále je vhodné zmínit, že ani NIS2 ani nZKB v zásadě neobsahují pravidlo, že regulovaná společnost ve skupině by „infikovala“ ostatní členy skupiny. To znamená, že v důsledku toho, že jedna ze společností ve skupině se stane povinnou osobou, nestávají se automaticky povinnou osobou ostatní společnosti ve skupině. Posouzení je tedy vždy třeba provést pro každou ze společností jednotlivě.
Praktické důsledky pro různé scénáře vnitroskupinového poskytování IT služeb
Pro ilustraci výše nastíněných pravidel si můžeme představit následující scénáře poskytování vnitropodnikových IT služeb ve skupině. Pro zjednodušení předpokládáme, že další činnosti společností skupiny nejsou regulovanou službou.
Regulace nZKB se nepoužije za situace, kdy každá společnost ve skupině mé své vlastní in-house IT služby. Stejný závěr platí i pokud servisní společnost poskytující IT služby ostatním společnostem ve skupině není, ani při případném zohlednění propojených a partnerských podniků, středním nebo velkým podnikem.
Naopak pokud takováto servisní společnost je, spolu se svými propojenými a partnerských podniky, středním nebo velkým podnikem, povinnou osobou dle nZKB bude.
Důsledky neohlášení regulovaných služeb
Nesplnění povinnosti ohlásit NÚKIB regulovanou službu v zákonem stanovené lhůtě je dle nZKB přestupkem. Jelikož se jedná o základní povinnost regulované osoby, zákon umožňuje uložení pokuty až do maximální výše předvídané NIS2, tedy 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem, podle toho, která z daných částek je vyšší.
Lze však předpokládat, že bezprostředně po nabytí účinnosti nové regulace bude NÚKIB jako dohledový orgán postupovat s určitou benevolencí. Uložení pokuty v maximální možné výši je za těchto okolností v blízké době spíše nepravděpodobné. Je však pravděpodobné, že v průběhu času bude riziko významných sankcí za prodlení s ohlášením regulované služby narůstat. Proto by subjekty, na které může regulace dopadnout, tedy zejména střední a velké podniky, měly věnovat dostatečnou pozornost komplexnímu zmapování svých služeb a vyhodnocení, které z nich se kvalifikují jako služby regulované.
[1] Nový zákon o kybernetické bezpečnosti spolu se svými prováděcími vyhláškami vstoupí, po legislativních peripetiích, v účinnosti k 1. 11. 2025. Lhůta pro splnění ohlašovací povinnosti počíná běžet následujícím dnem.
[2] S určitými výjimkami, regulace kybernetické dopadá na střední a velké podniky. Při posuzování velikosti podniku jsou ale obecně zohledňována data i propojených a partnerských podniků.
[3] Posouzení, zda a v jakém rozsahu bude osoba podléhat novému právnímu předpisu. Tento typ analýzy tradičně předchází tzv. rozdílové, popř. „gap“ analýze, jejímž cílem je posouzení rozdílů mezi stavem aktuálním a stavem vyžadovaným. Na podkladě rozdílové analýzy je následně plánováno zavádění nápravných opatření.
[4] Recitál 35 směrnice NIS2
Hledáte experta, který Vám pomůže; chcete poptat naše služby; nebo se zkrátka na něco zeptat? Dejte nám o sobě vědět a my se Vám co nejdříve ozveme zpátky.