Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Záludnosti samoidentifikace

– Vytvořil/a

Olga Pincová

v kategorii

Aneb Praktický návod krok za krokem ze CyberEdu Konzultační hodiny se Zbyňkem Malým. Nechcete číst zhutněné zápisky? Podívejte se na celé video.

Proč se samoidentifikací neotálet

Po účinnosti zákona a vyhlášek (tedy od 1.11.2025) běží všem firmám lhůta 60 kalendářních dnů, během níž musí provést registraci regulovaných služeb.

Pokud registraci neprovedete včas nebo neúplně, hrozí sankce až 250 milionů korun a v krajním případě i zákaz výkonu funkce statutára.

Tři klíčové předpisy, které budete potřebovat

  • Vyhláška č. 408/2025 Sb. – o regulovaných službách (příloha č. 1 = váš základní orientační bod)
  • Vyhláška č. 409/2025 Sb. – o režimu nižších povinností 
  • Vyhláška č. 410/2025 Sb. – o režimu vyšších povinností
  • Zákon č. 264/2025 Sb. – zákon o kybernetické bezpečnosti

Kdo má samoidentifikaci řešit

Zodpovědnost nese statutární orgán. Ten by měl svolat (malý) tým a formou brainstormingu projít jednotlivé kroky.
Tým by měl zahrnovat:

  • osobu odpovědnou za hlavní činnost (výroba/služba),
  • IT specialistu (poradní hlas z technického pohledu),
  • popř. právníka (interního nebo externího).

Pokud firma právníka nemá, může nejprve provést interní analýzu a teprve poté výsledek konzultovat externě, pokud si není svými závěry 100% jistá.

Příklad z praxe: výrobní firma TOS Kuřim

Zbyněk Malý ukázal celý proces na konkrétním příkladu firmy TOS Kuřim, která vyrábí obráběcí stroje.

Postup:

  1. Vyhláška o regulovaných službách (408/2025 Sb.)
    → otevřít přílohu 1 a zjistit, zda podnik spadá pod regulované služby podle CZ-NACE.
  2. Rejstřík ekonomických subjektů
    → podle IČO ověřit hlavní i vedlejší činnosti.
  3. Licence Energetického regulačního úřadu (ERÚ)
    → zkontrolovat, zda podnik nemá licence na výrobu, distribuci nebo obchod s elektřinou či plynem.

Zjištění:

  • Hlavní činnost: CZ-NACE 28 – výroba strojů, tedy regulovaná služba v režimu nižších povinností, pokud jde o střední nebo velký podnik.
  • Firma má cca 100–199 zaměstnanců, tedy střední podnik.
  • ERÚ licence: distribuce a obchod s elektřinou i plynem → další čtyři regulované služby.

👉 Výsledek: podnik musí registrovat pět regulovaných služeb.
A pokud by se alespoň jedna z nich ocitla v režimu vyšších povinností, platí pravidlo „vyšší bere“ – tedy všechny spadají do vyššího režimu.

Jak určit velikost a propojenost podniku

Podle metodiky EU se sčítají údaje všech partnerských a propojených podniků.
Zákon o kybernetické bezpečnosti (§ 7 písm. c) ale stanovuje výjimku:

Pokud mají podniky zcela oddělené technické prostředky (IT infrastrukturu, doménu, databáze), nemusí se považovat za propojené.

Jinými slovy — pokud mezi firmami „vede drát“ (např. sdílený systém, CRM nebo server), počítají se jako propojené.
Pokud fungují technologicky odděleně, nemusí se sčítat.

Časté chyby a „záludnosti“

  • Zdravotnictví: zdravotnická záchranná služba je vždy v režimu vyšších povinností.
  • Teplárny: pokud provozují výrobu s výkonem nad 50 MW, spadají automaticky do vyššího režimu, bez ohledu na velikost.
  • Automotive: výroba sériových vozidel = vyšší režim, náhradní díly = nižší režim.
  • Vedlejší činnosti: rozhoduje, zda je skutečně provozujete, ne to, že je máte uvedené v rejstříku.

Co když zaregistrujete jen část

NÚKIB může opomenuté činnosti dohledat z veřejných zdrojů. Pokud zjistí nesrovnalost, nejdřív pošle výzvu, ale v případě nečinnosti může uložit sankce.

Maximální výše pokuty: 250 milionů Kč.

V krajním případě může NÚKIB uložit i zákaz výkonu funkce statutára (minimálně na 6 měsíců).

Nejste si jistí?

Pokud váháte, zda pod zákon spadáte, raději se registrujte.
NÚKIB může rozhodnout, že se vás zákon netýká – v takovém případě máte jistotu a žádné sankce vám nehrozí.

Významní dodavatelé: povinnosti ze smluv

Pokud vás odběratel (např. nemocnice nebo energetická společnost) označí jako významného dodavatele, neznamená to, že se sami stáváte povinným subjektem.
Povinnosti se v takovém případě promítnou smluvně.

Podle vyhlášky č. 409/2025 Sb., příloha 5 musí smlouva s významným dodavatelem obsahovat například:

  • pravidla pro bezpečnost informací a práci s daty,
  • hlášení bezpečnostních incidentů,
  • školení osob, které vstupují do systémů zákazníka,
  • možnost zákaznického auditu,
  • pravidla pro řetězení dodavatelů.

Za správné nastavení smluv odpovídá povinná osoba – tedy například samotná nemocnice.

Samoidentifikace není jednorázová

Zjistíte, že aktuálně pod zákon nespadáte? Výborně – ale tím to nekončí.
Kdykoli začnete vykonávat novou činnost nebo získáte novou licenci, může se situace změnit.

Doporučení:

  • Revidujte situaci alespoň jednou ročně.
  • Sledujte změny ve vyhláškách.
  • Nastavte interní proces, který samoidentifikaci spustí při rozšíření podnikání.

Mini-checklist pro firemní brainstorming

  1. Máme přehled všech reálně vykonávaných činností (hlavních i vedlejších)?
  2. Ověřili jsme je podle přílohy 1 vyhlášky 408/2025 Sb.?
  3. Zkontrolovali jsme licence ERÚ podle IČO?
  4. Vyhodnotili jsme velikost (včetně případného propojení podniků)?
  5. Identifikovali jsme všechny regulované služby a jejich režim?
  6. Máme určenou osobu pro komunikaci s NÚKIB a stanovený termín registrace?
  7. Zrevidovali jsme smlouvy s významnými dodavateli (vyhl. 409/2025, příloha 5)?
  8. Máme plán ročně ověřovat stav?

Shrnutí

Samoidentifikace je detektivní práce, ale při správném postupu zvládnutelná.
Jak říká Zbyněk Malý:

„Otázka není, jestli pod zákon spadáte. Otázka je, kolika způsoby pod něj spadáte.“

Kdo ví, kde hledat, ušetří čas, stres i sankce — a má jasno dřív, než začne tikat šedesátidenní lhůta.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.