Zákon o kybernetické bezpečnosti – část II: Jaké existují režimy povinností?

V ustanovení § 8 ZKB [1] zná dva režimy povinností, které označuje prozaicky jako režim vyšších a nižších povinností. Rozlišení režimů v sobě již jazykově zahrnuje rozdíl mezi nimi. Povinnosti kladené na poskytovatele regulovaných služeb v režimu nižších povinností jsou oproti režimu vyšších povinností podstatně zredukované. Správné vyhodnocení režimu spolu s identifikací poskytovaných regulovaných služeb tak tvoří základní dvojici, od níž se odvíjejí všechny další povinnosti.

Režim vyšší či nižší povinnosti ?

V režimu vyšších povinností jsou zpravidla ty subjekty (půjde v zásadě o právnické osoby), které jsou ekonomicky, společensky nebo bezpečnostně významné pro Českou republiku. To může být zapříčiněno jejich velikostí, počtem uživatelů služby, geografickým rozložením služby, rizikovostí provozu nebo dopadem na fungování svého odvětví nebo jiného poskytovatele regulovaných služeb. Typicky půjde o největší a nejvýznamnější hráče na trhu v dané oblasti. Přesné rozdělení poskytovatelů stanoví vyhláška o regulovaných službách[2], tedy stejný prováděcí předpis, který definuje, co se vůbec rozumí regulovanými službami v jednotlivých hospodářských oblastech.

Kupříkladu v oblasti potravinářského průmyslu (bod 8. přílohy vyhlášky o regulovaných službách) spadají v případě průmyslové výroby, zpracování i velkoobchodní distribuce potravin všechny potravinářské podniky, které jsou středním nebo velkým podnikem[3], pod režim nižších povinností. Potravinářské podniky, které jsou malými podniky nebo mikropodniky, z regulace vypadávají, a to i tehdy, pokud poskytují regulovanou službu. Oproti tomu osoba spravující doménu druhé úrovně gov.cz bude vždy náležet do režimu vyšších povinností (oblast digitální infrastruktury a služeb, bod 16.7 vyhlášky). A konečně například v téže oblasti regulovaných služeb je u poskytovatele veřejně dostupné služby elektronických komunikací (bod 16.1) diferenčním kritériem alternativně buďto velikost podniku, počet aktivních mobilních SIM karet na území České republiky, nebo počet aktivních pevných internetových přípojek.

Vyšší bere ?

A jak se řeší situace, kdy jeden subjekt poskytuje vícero regulovaných služeb, přičemž ve vztahu k některým spadá do nižšího, a ve vztahu k jiným do vyššího režimu? Podle principu jedna organizace = jeden režim platí, že pokud poskytovatel více regulovaných služeb alespoň u jedné z nich spadá do režimu vyšších povinností, pak se tento režim vztahuje automaticky na všechny regulované služby daného poskytovatele. Zjednodušeně řečeno platí, že i v rámci kybernetické bezpečnosti „vyšší bere“.

Vyhláška však není jediným určujícím kritériem. Poskytovatelem regulovaných služeb v režimu vyšších povinností je totiž například také ten, kdo je subjektem kritické infrastruktury podle zákona o krizovém řízení[4] a zákona o kritické infrastruktuře[5] (§ 5 písm. d) ve spojení s § 8 odst. 3 ZKB). Provázanosti těchto předpisů s kybernetickým zákonem se budeme věnovat v některém z dalších dílů této série.

O jaké povinnosti se jedná ?

Jaké jsou konkrétní povinnosti v nižším i vyšším režimu? Ty vyjmenovává v § 11 a následujících ZKB. Zejména pro společnosti, které se dosud kybernetické bezpečnosti věnovat nemusely, mohou tyto povinnosti působit abstraktně.

V obecné rovině se totiž jedná o:

• hlášení údajů (plnění oznamovacích povinností),
• stanovení rozsahu řízení kybernetické bezpečnosti,
• přijetí konkrétních bezpečnostních a technických opatření (v režimu nižších povinností jde například o řízení aktiv, rizik, přístupu, kontinuity činností, kryptografické algoritmy atd.) a
• hlášení kybernetických bezpečnostních incidentů.

Z toho vyplývá, že povinnosti jsou stanoveny na úrovni především technické, organizační a právní. A jak je v případě kybernetického zákona zvykem, konkretizují je opět prováděcí předpisy – pro vyšší a nižší režim povinností zvlášť[6]. Některým specifickým povinnostem se budeme věnovat v nadcházejících článcích této kybersérie.

Z praktického hlediska nyní doporučujeme začít u správného určení „základní dvojky“ kybernetické bezpečnosti: přehledu všech regulovaných služeb a určení režimu povinností, které se s nimi pojí.

První díl kyberseriálu nalezte zde: Zákon o kybernetické bezpečnosti – část I: Kdo je regulovaným subjektem?

[1] zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále také jako „ZKB“)

[2] vyhláška č. 408/2025 Sb., o regulovaných službách

[3] Velikost podniku se určují podle doporučení Komise 2003/361/ES o definici mikropodniků a malých a středních podniků, se zohledněním výjimek stanovených § 7 ZKB.

[4] zákon č. 240/2000 Sb., o krizovém řízení (krizový zákon)

[5] zákon č. 266/2025 Sb., o kritické infrastruktuře

[6] vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, a vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností