ZÁKON č. 264/2025 Sb.

Vymezuje, koho zákon zavazuje (osoby usazené v ČR a provozovatelé sítí elektronických komunikací bez ohledu na sídlo). Transponuje směrnici NIS 2 do českého práva. Nevztahuje se na systémy nakládající s utajovanými informacemi.

Definuje klíčové pojmy: data, informace, aktivum (primární / podpůrné / technické), kybernetický prostor, hrozba, významná hrozba, kybernetická bezpečnostní událost a incident, zranitelnost; speciální pojmy pro digitální infrastrukturu (DNS, cloud computing, datové centrum, CDN, sociální síť, řízená a řízená bezpečnostní služba).

Regulovaná služba je služba, o jejímž zařazení do regulace rozhodl NÚKIB v rámci registračního řízení podle § 6 odst. 2 (na základě splnění podmínek dle § 4 a § 5).

Vymezuje 15 odvětví, ve kterých může vzniknout regulovaná služba (veřejná správa, energetika, výrobní průmysl, potravinářství, chemie, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura, finance, zdravotnictví, věda/výzkum/vzdělávání, pošta a kurýři, obranný průmysl, vesmír) + podmínku velikosti podniku (střední / velký dle doporučení Komise 2003/361/ES). Detaily stanoví NÚKIB vyhláškou.

Doplňující podmínky vedoucí k registraci v režimu vyšších povinností i u menších subjektů: jediný poskytovatel služby, dopad na bezpečnost ČR, systémová rizika, regionální nebo celostátní význam, služba s dopadem na více než 125 000 osob, navazující služba na vyšší režim, subjekty kritické infrastruktury.

Povinnost ohlásit poskytovanou službu NÚKIB do 60 dnů od splnění podmínek. NÚKIB rozhodne o registraci. Rozklad proti rozhodnutí nemá odkladný účinek.

Odchylky od doporučení Komise 2003/361/ES: čl. 3 odst. 4 (propojení přes veřejné instituce) se neuplatní; státní orgány a obce nejsou „podnikem"; oddělená aktiva = nepropojený podnik; zvláštní pravidla pro vědu/výzkum.

Dva režimy: vyšších povinností (značný význam pro ČR) a nižších povinností (zbytek). Rozdělení mezi režimy stanoví NÚKIB vyhláškou. Registrace dle § 5 = automaticky vyšší režim.

Povinnost hlásit změny služby do 60 dnů. Přechod nižší → vyšší režim spouští nové lhůty pro povinnosti.

Postup, kdy služba přestane splňovat podmínky pro registraci. Řízení na žádost poskytovatele nebo z moci úřední.

Do 30 dnů od registrace hlásit kontaktní a doplňující údaje (vlastnická struktura, technické údaje, geografické rozšíření). Změny do 14 dnů.

Definice „stanoveného rozsahu" — aktiva související s regulovanou službou. Povinnost evidovat a aktualizovat.

Definice bezpečnostních opatření a povinnost je zavádět a provádět. Konkrétní obsah stanoví NÚKIB vyhláškou (= 409/2025 a 410/2025). Lhůta na zavedení: 1 rok od registrace. Stanoví požadavky i na výběr dodavatelů.

Klíčový § s katalogem opatření. Odst. 1 (vyšší režim): 14 organizačních + 11 technických opatření (ISMS, vrcholné vedení, role, politika a dokumentace, řízení aktiv / rizik / dodavatelů, lidské zdroje, změny, akvizice/vývoj/údržba, řízení přístupu, KBI, kontinuita, audit; fyzická bezpečnost, sítě, identita, oprávnění, detekce, záznam, vyhodnocení, aplikace, kryptografie, dostupnost, ICS). Odst. 2 (nižší režim): 13 sloučených opatření (systém minimální KB, vrcholné vedení, aktiva, rizika, lidské zdroje, kontinuita, přístup, identity, detekce a záznam, řešení incidentů, sítě, aplikace, kryptografie).

Vyšší režim hlásí incidenty Úřadu (NÚKIB), nižší režim hlásí Národnímu CERT. Kritéria: u vyššího se hlásí incidenty s úmyslným zaviněním nebo závažné, u nižšího incidenty s významným dopadem (kritérium dle § 14 vyhlášky 410). Povinnost běží 1 rok od registrace.

Lhůty: prvotní hlášení do 24 hodin, oznámení do 72 hodin (24 hodin pro služby vytvářející důvěru), průběžná zpráva, závěrečná zpráva do 30 dnů. Hlášení primárně přes Portál NÚKIB.

Vyjádření NÚKIB / CERT do 24 hodin od oznámení. Metodická a technická podpora ze strany úřadu. Obecná povinnost součinnosti.

Speciální režim pro DNS, služby vytvářející důvěru, TLD, cloud computing, datová centra, CDN, online tržiště, vyhledávače, sociální sítě, řízené (bezpečnostní) služby. Přímo se uplatní prováděcí předpis Komise. Rozdělení na základní vs. důležité subjekty (essential / important entities dle NIS2).

Informování uživatelů o incidentu s významným dopadem a o významných hrozbách. Možnost NÚKIB uložit informační povinnost rozhodnutím.

Definice tří typů protiopatření: výstraha, varování, reaktivní protiopatření. Obecná součinnost.

NÚKIB může informovat veřejnost o KBI nebo porušování zákona. Případně může uložit poskytovateli, aby tak učinil sám.

NÚKIB vydává varování při zjištění závažné hrozby nebo zranitelnosti. Oznamuje přes Portál NÚKIB a úřední desku.

Závazné rozhodnutí (nebo opatření obecné povahy) k řešení nebo prevenci incidentu. Rozklad nemá odkladný účinek. Oznámení o provedení.

NÚKIB může uložit dodavateli povinnost předat data při probíhajícím incidentu. Náhrada účelně vynaložených nákladů. Data jako movitá věc pro účely exekuce.

Strategicky významná služba = regulovaná služba, jejíž narušení by mohlo závažně dopadnout na bezpečnost ČR. Vláda stanoví seznam nařízením.

Hlásit do 60 dnů. Při ztrátě strategické významnosti se postupuje obdobně jako při zrušení registrace.

NÚKIB shromažďuje informace o dodavatelích strategicky významných služeb. Zavádí pojmy: kritická část stanoveného rozsahu, bezpečnostně významná dodávka (BVD), dodavatel BVD, nepominutelná funkce.

Klíčový § — opatření obecné povahy ukládající podmínky nebo zákaz využití plnění dodavatele BVD. Vyžaduje usnesení vlády. Přezkum minimálně 1× za 4 roky.

Poskytovatel SVS musí zjišťovat, evidovat a hlásit informace o dodavatelích BVD do 10 dnů.

Povinnost zajistit dostupnost SVS z území ČR v nezbytném rozsahu, čase a kvalitě. Prověřování minimálně 1× za 2 roky. Vláda stanoví nezbytný rozsah nařízením. Výjimka pro veřejnoprávní cloud.

Hlášení NÚKIB do 30 dnů: název, adresy provozoven v EU, kontakty, členské státy poskytování, rozsah veřejných IP. Aktualizace do 90 dnů.

Povinnost provozovat databázi s údaji držitelů (jméno, e-mail, telefon, datum registrace). Zveřejnění neosobních údajů. Přístup k údajům na žádost oprávněného žadatele do 72 hodin (WHOIS dle NIS 2).

Informace ohrožující kybernetickou bezpečnost nebo z evidencí § 46 se neposkytují podle InfZ ani podle zákona o právu na informace o životním prostředí.

Definuje důvody pro vyhlášení stavu kybernetického nebezpečí.

Vyhlašuje NÚKIB maximálně na 30 dnů (lze prodloužit, max. celkem na 60 dnů). Pak možnost požádat vládu o nouzový stav.

Široké pravomoci NÚKIB: nařízení skenu zranitelností nebo penetračních testů, povinnost poskytnout informace, zákaz používání aktiv, pracovní pohotovost, zpřístupnění neveřejných sítí, uložení povinností médiím.

NÚKIB jako ústřední správní úřad (sídlo Brno). Ředitele jmenuje vláda. Široký výčet pravomocí: registrace, vyhlášky, protiopatření, evidence, kontaktní místo pro vyšší režim, certifikace, GOVSATCOM, Galileo, GNSS.

Provozovatel s veřejnoprávní smlouvou. Kontaktní místo pro nižší režim. Podmínky pro provozovatele: sídlo v ČR, osvědčení Důvěrné, 5 let praxe, mezinárodní členství.

Povinný elektronický kanál pro většinu úkonů ve vztahu k NÚKIB. Mimo Portál se postupuje jen výjimečně.

NÚKIB vede tyto evidence: regulovaných služeb, registrátorů domén, KBI / událostí / hrozeb / zranitelností, dodavatelů BVD, koordinovaného zveřejňování zranitelností, penetračních testů a kontrol. Mlčenlivost zaměstnanců.

Spolupráce v EU. Pravidla pro hlavní provozovnu (DNS, cloud, sociální sítě atd.) — kontroly v jiném členském státě jen na žádost domovského státu.

Obecné oprávnění NÚKIB ke kontrole plnění zákona u poskytovatelů regulovaných služeb.

Možnost NÚKIB uložit odstranění nedostatků v určené lhůtě. Rozklad nemá odkladný účinek.

Možnost dočasného zákazu výkonu funkce (minimálně 6 měsíců). Pouze u poskytovatelů ve vyšším režimu. Zápis do obchodního rejstříku.

Skutkové podstaty pro vyšší (15 písmen) a nižší režim (15 písmen). Speciálně pro strategicky významné služby (8 písmen). Pokuty až 250 000 000 Kč nebo 2 % celosvětového obratu.

9 obecných skutkových podstat + porušení mlčenlivosti FO + přestupky registrátorů domén, držitelů TLD, žadatelů o registraci v Komunitě. Pokuty až 250 mil. Kč.

Mimoevropští poskytovatelé DNS, cloud computingu, CDN, sociálních sítí atd. musí ustanovit zástupce v ČR. Jinak se má za to, že jsou usazeni v ČR.

Lex specialis: pokud jiný předpis EU stanoví srovnatelné povinnosti, ZKB se neuplatní (např. DORA pro finanční sektor, eIDAS pro služby vytvářející důvěru).

Subjekty regulované podle starého ZKB (181/2014) plní povinnosti přechodně podle starého zákona až do uplynutí lhůt. Výjimka: hlášení incidentů již podle nového zákona.

Ruší 17 předpisů: zákon 181/2014, vyhlášky 317/2014, 437/2017, 82/2018, 315/2021, 190/2023 a všechny novely.

Zákon nabývá účinnosti dnem 1. listopadu 2025.