Zákon o kybernetické bezpečnosti – část I: Kdo je regulovaným subjektem?

Četnost kybernetických útoků v České republice stále roste. Podle NÚKIB[1] bylo v roce 2025 hlášeno celkem 203 kybernetických incidentů a jen za první dva měsíce roku 2026 jich bylo již 55[2]. Tyto údaje přitom představují pouze zlomek skutečných útoků; včetně soukromých zařízení mohou konečná čísla dosahovat i milionů ročně. Právě zvyšující se počet hrozeb byl jedním z důvodů přijetí nové právní úpravy, která se týká kybernetické bezpečnosti.

V České republice jde především o zákon č. 264/2025 Sb., o kybernetické bezpečnosti, a jeho prováděcí předpisy, které implementují evropskou směrnici NIS2[3]. Cílem zákona je stanovit práva a povinnosti osob poskytujících státu nebo veřejnosti významné služby, a zajistit tak jejich ochranu proti rostoucím kybernetickým rizikům. Zákon se tedy vztahuje pouze na tzv. regulované služby.

Regulovaná služba

Regulovanou službou je podle § 4 zákona služba významná pro zabezpečení důležitých společenských nebo ekonomických činností či pro bezpečnost státu. Patří sem veřejná správa, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, obranný průmysl a vesmírný průmysl.

Aby byla služba považována za regulovanou, musí být její poskytovatel středním nebo velkým podnikem, nebo musí být významný pro zabezpečení důležitých společenských či ekonomických činností pro bezpečnost státu. Podmínky stanovuje vyhláška č. 408/2025 Sb., o regulovaných službách.

Jak má tedy společnost nebo i samostatný podnikatel zjistit, zda na něj nová právní úprava dopadá, či nikoliv? Nejjednodušším a základním krokem je nahlédnout právě do zmíněné vyhlášky a projít jednotlivé oblasti z hlediska skutečně vykonávaných činností. Rozhodující přitom nejsou ani konkrétní živnostenská nebo jiná oprávnění či zápisy v obchodním rejstříku, ale skutečně vykonávané činnosti.

Zákon o kybernetické bezpečnosti je novým právním předpisem a povinnosti, které z něj vyplývají, se stávají závaznými postupně. Prvním krokem každého regulovaného subjektu je registrace. Lhůta k tomuto kroku uplynula pro stávající činnosti a subjekty dne 31. 12. 2025. Neznamená to však, že se nadále registrovat není potřeba. Naopak – jste-li poskytovatelem regulovaných služeb a dosud jste se neregistrovali, je vhodné tak učinit co nejdříve.

Nejste-li si jisti, zda se zákon o kybernetické bezpečnosti vztahuje na vaše podnikání, kontaktujte nás. Společně projdeme konkrétní oblasti a poradíme další kroky, aby vaše společnost splňovala nové povinnosti a minimalizovala rizika.

V některém z dalších článků vám pak vysvětlíme, jaké režimy povinností zákon rozlišuje.  

[1] Národní úřad pro kybernetickou a informační bezpečnost

[2] https://nukib.gov.cz/cs/infoservis/aktuality/2369-vydali-jsme-prehled-kybernetickych-incidentu-za-leden-2026/,

https://nukib.gov.cz/cs/infoservis/aktuality/2378-vydali-jsme-prehled-kybernetickych-incidentu-za-unor-2026/

[3] směrnice Evropského parlamentu a Rady (EU) 2022/2555, ze dne 14. 12. 2022, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii