Samoidentifikace podle nZKB

před 2 dny

Martin Konečný | Guardians.cz

nZKB

Dopadá na naši organizaci nový kybernetický zákon?

statutární zástupce organizace

To je velice častý dotaz z řad zástupců potenciálních povinných subjektů podle nového kybernetického zákona. Odpověď však není jednoduchá a otázka rozhodně není správně cílená na kyberbezpečnostního specialistu / manažera kybernetické bezpečnosti. Otázka by měla být cílena na právní experty na kybernetickou bezpečnost. Ptáte se proč? Rozhodující kritéria, jako jsou velikost podniku a zisk nebo obrat organizace, mají řadu na první pohled neviditelných právních souvislostí.

Samoidentifikace podle nového kybernetického zákona (nZKB) znamená proces, kdy povinná organizace (organizace regulovaná novým kybernetickým zákonem):

  • sama posoudí dopad nZKB na organizaci

  • určí si relevantní regulované služby

  • a provede registraci na Portálu NÚKIB

Co o dopadu nZKB na organizaci rozhoduje?

  • velikost podniku

  • ekonomická bilance nebo obrat organizace

  • odvětví regulovaných služeb

  • kritéria odvětví regulovaných služeb

  • další aspekty - např. zda je organizace součástí kritické infrastruktury státu atp.

Časté chyby při samoidentifikaci

Při samoidentifikaci se organizace často dopouští chyb v případě:

  • spoléhání se pouze na CZ-NACE kódy (CZ-NACE kódy, které najdete ve veřejných rejstřících nemusí odpovídat realitě v dané organizaci)

  • snahy ušetřit na právních službách

  • neuvědomění si, že velikost podniku ovlivňuje i vlastnická struktura (proto i zdánlivý mikropodnik může být regulován, pokud jej vlastní holding)

  • velikost organizace se počítá jen přes počet zaměstnanců

  • atd.

Jak je to tedy správně?

Při samoidentifikaci bychom měli současně zohledňovat zejm.:

  • vlastnickou strukturu (propojené podniky), neboť může mít vliv na velikost podniku - viz oficiální pomůcka NÚKIB

  • ekonomické ukazatele (ekonomická bilance nebo obrat organizace)

  • počet zaměstnanců

  • u odvětví regulovaných služeb pak také:

    • CZ-NACE kódy

    • skutečnost, zda má organizace licence podle energetického zákona

    • skutečnost, zda je organizace regulovaná podle ZoEK

    • skutečnost, zda je organizace součástí kritické informační infrastruktury

    • skutečnost, zda je organizace poskytovatelem služby státního cloud computingu

    • skutečnost, zda je organizace regulovaná podle jiných oborových zákonů (zák. o dráhách, zák. o platebním styku, zák. o léčivech atd.)

    • v praxi realizované služby spadající do kritérií regulovaných služeb (např. MSP, MSSP poskytované orgaizacím v holdingu)

    • atp.

"Kalkulačka"

Pomůcka k posouzení dopadu nZKB na organizaci

kalkulacka.kyberzakon.cz

Na webu najdete celou řadu "Kalkulaček" – nástrojů, které vám se samoidentifikací mohou pomoci. Většina z nich je pouze "klikací" záležitostí, proto jsme v Guardians připravili kalkulačku, kam zadáte IČ organizace, email, na který vám zašleme výsledek posouzení, případně upřesníte informace, které jsme o vaší organizaci nenašli v registrech a dostanete výsledek s doporučeními. Naše kalkulačka vás upozorní na propojené podniky a na další skutečnosti.

Martin Konečný, Guardians.cz

Pozn.: Určitě vyzkoušejte i oficiální kalkulačku od NÚKIB, která je dostupná na: https://portal.nukib.gov.cz/kalkulacka (nevýhodou této kalkulačky je, že vás neupozorní na vlastnickou strukturu posuzované organizace, která může mít vliv na výsledek posouzení).

Termín pro samoidentifikaci

Organizace regulované novým kybernetickým zákonem mají ze zákona lhůtu 60 dní na registraci na Portálu NÚKIB. Tato lhůta se počítá od účinnosti nového kybernetického zákona, což je od 1. 11. 2025, avšak za předpokladu, že v té době bude hotová i vyhláška o regulovaných službách.

V optimálním případě je tedy na samoidentifikaci a registraci na Portálu NÚKIB čas do 31. 12. 2025.