Samoidentifikace podle nZKB

Martin Konečný | Guardians.cz

5 min.

Dopadá na naši organizaci nový kybernetický zákon?

statutární zástupce organizace

To je častá otázka, kterou dostáváme od zástupců potenciálních povinných subjektů podle nového kybernetického zákona. Odpověď ale není tak jednoduchá, jak se může zdát, a paradoxně nesměřuje na experty na kyberbezpečnost. Otázka by měla být cílena na právní experty specializované na kybernetickou bezpečnost.

Proč? Protože kritéria jako velikost podniku, jeho obrat nebo zisk mají řadu právních souvislostí, které nejsou na první pohled zřejmé. A právě ty rozhodují o tom, zda se vás nové povinnosti týkají.

Samoidentifikace podle nového kybernetického zákona (nZKB) znamená proces, kdy povinná organizace (organizace regulovaná novým kybernetickým zákonem):

  • sama posoudí dopad nZKB na organizaci

  • určí si relevantní regulované služby

  • a provede registraci na Portálu NÚKIB

Co o dopadu nZKB na organizaci rozhoduje?

  • velikost podniku

  • ekonomická bilance nebo obrat organizace

  • odvětví regulovaných služeb

  • kritéria odvětví regulovaných služeb

  • další aspekty - např. zda je organizace součástí kritické infrastruktury státu atp.

Časté chyby při samoidentifikaci

Při samoidentifikaci se organizace často dopouští chyb v případě:

  • spoléhání se pouze na CZ-NACE kódy (CZ-NACE kódy, které najdete ve veřejných rejstřících nemusí odpovídat realitě v dané organizaci)

  • snahy ušetřit na právních službách

  • neuvědomění si, že velikost podniku ovlivňuje i vlastnická struktura (proto i zdánlivý mikropodnik může být regulován, pokud jej vlastní holding)

  • velikost organizace se počítá jen přes počet zaměstnanců

  • atd.

Jak je to tedy správně?

Při samoidentifikaci bychom měli současně zohledňovat zejm.:

  • vlastnickou strukturu (propojené podniky), neboť může mít vliv na velikost podniku - viz oficiální pomůcka NÚKIB

  • ekonomické ukazatele (ekonomická bilance nebo obrat organizace)

  • počet zaměstnanců

  • u odvětví regulovaných služeb pak také:

    • CZ-NACE kódy

    • skutečnost, zda má organizace licence podle energetického zákona

    • skutečnost, zda je organizace regulovaná podle ZoEK

    • skutečnost, zda je organizace součástí kritické informační infrastruktury

    • skutečnost, zda je organizace poskytovatelem služby státního cloud computingu

    • skutečnost, zda je organizace regulovaná podle jiných oborových zákonů (zák. o dráhách, zák. o platebním styku, zák. o léčivech atd.)

    • v praxi realizované služby spadající do kritérií regulovaných služeb (např. MSP, MSSP poskytované orgaizacím v holdingu)

    • atp.

Se samoidentifikací vám pomůže naše „kalkulačka".

Pomůcka k posouzení dopadu nZKB na organizaci

Na webu najdete celou řadu Kalkulaček" – nástrojů, které vám se samoidentifikací mohou pomoci. Většina z nich je pouze "klikací" záležitostí, proto jsme v Guardians připravili kalkulačku, kam zadáte IČ organizace, email, na který vám zašleme výsledek posouzení, případně upřesníte informace, které jsme o vaší organizaci nenašli v registrech a dostanete výsledek s doporučeními. Naše kalkulačka vás upozorní na propojené podniky a na další skutečnosti.

Martin Konečný, Guardians.cz

Pozn.: Vyzkoušet můžete i oficiální kalkulačku od NÚKIB, která je dostupná na: https://portal.nukib.gov.cz/kalkulacka (nevýhodou této kalkulačky je, že vás neupozorní na vlastnickou strukturu posuzované organizace, která může mít vliv na výsledek posouzení).

Termín pro samoidentifikaci

Organizace regulované novým kybernetickým zákonem mají ze zákona lhůtu 60 dní na registraci na Portálu NÚKIB. Tato lhůta se počítá od účinnosti nového kybernetického zákona, což je od 1. 11. 2025, avšak za předpokladu, že v té době bude hotová i vyhláška o regulovaných službách.

V optimálním případě je tedy na samoidentifikaci a registraci na Portálu NÚKIB čas do 31. 12. 2025.