Co musíte splnit do 12 měsíců od registrace u NÚKIB
Po doručení rozhodnutí o registraci regulované služby běží lhůta pro zavedení bezpečnostních opatření. Začněte pěti neopominutelnými opatřeními a průběžně dokumentujte stav v přehledu bezpečnostních opatření.
Autor: Marco Zoratto, zakladatel Splnit.eu
Kdo patří do režimu nižších povinností
Vyhláška č. 410/2025 Sb. se vztahuje na poskytovatele regulovaných služeb v režimu nižších povinností. Typicky jde o střední podnik v regulovaném odvětví, menší firmu poskytující důležitější regulovanou službu nebo subjekt, který NÚKIB zaregistroval jako poskytovatele regulované služby.
Pokud jste obdrželi rozhodnutí o registraci, nečekejte na další výzvu. Prakticky to znamená začít zavádět a dokumentovat opatření v rozsahu regulované služby. Tento článek je praktický návod, nikoli právní stanovisko.
Co musíte zavést
Vyhláška v § 3 pracuje s přehledem bezpečnostních opatření: dokumentem, který ukazuje, která opatření jsou zavedena, která budou zavedena a která nebyla zavedena včetně zdůvodnění. Přehled musíte aktualizovat alespoň jednou ročně a jednotlivé verze uchovávat alespoň 4 roky.
V režimu nižších povinností nejde o formální certifikaci. Jde o schopnost ukázat, že máte minimální kybernetickou bezpečnost řízenou, doloženou a průběžně aktualizovanou.
- Vést přehled v listinné nebo elektronické podobě.
- U každého opatření uvést stav, popis nebo odůvodnění a odpovědnou osobu.
- Aktualizovat přehled alespoň jednou ročně.
- Uchovávat verze přehledu alespoň 4 roky.
Neopominutelná opatření
Pět oblastí musíte řešit vždy. Neznamená to, že první verze musí být perfektní, ale nesmí zůstat prázdná bez vlastníka, termínu a důkazu.
1. Systém zajišťování minimální kybernetické bezpečnosti (§ 3)
Musíte vytvořit bezpečnostní politiku a vést přehled bezpečnostních opatření. Nemusí jít o rozsáhlý dokument. Důležité je, aby popisoval skutečný stav, pravidla a odpovědnosti ve vaší firmě.
Prakticky: vytvořte dokument nebo tabulku s výčtem opatření, stavem, vlastníkem a důkazem. Uveďte datum poslední aktualizace.
2. Pověřená osoba kybernetické bezpečnosti (§ 4)
Vrcholné vedení musí určit konkrétní osobu pověřenou kybernetickou bezpečností a dát jí pravomoci pro řízení a rozvoj kybernetické bezpečnosti, dohled nad stavem a komunikaci s vedením.
Prakticky: vydejte interní jmenovací dokument nebo zápis z porady vedení. Zaznamenejte jméno, datum jmenování a absolvované školení.
3. Školení zaměstnanců (§ 5)
Musíte stanovit pravidla bezpečného chování a zajistit vstupní i pravidelná školení. Vyhláška zároveň požaduje vedení přehledů o provedených školeních a seznamů školených osob.
Prakticky: vytvořte jednoduchou politiku bezpečného chování a evidujte, kdo školení absolvoval, kdy a podle jaké verze školení.
4. Zálohy a kontinuita (§ 6)
Musíte mít plán kontinuity a pravidla pro obnovu regulované služby. Pro běžnou firmu to znamená vědět, co se zálohuje, jak často, kde jsou zálohy a kdo obnovu provádí.
Prakticky: zdokumentujte zálohovací proces pro klíčové systémy, například účetnictví, e-mail, cloudové servery a sdílené soubory.
5. Řešení kybernetických incidentů (§ 10)
Musíte mít postup pro hlášení a řešení kybernetických bezpečnostních incidentů. Od 1. listopadu 2025 NÚKIB uvádí, že incidenty se hlásí přes formulář na Portálu NÚKIB v sekci Chci vyřídit.
Prakticky: sepište, kdo incident přijímá, kdo rozhoduje, kde se vede časová osa a kdy se kontaktuje NÚKIB, zákazník nebo dodavatel.
Vyhodnotitelná opatření
Kromě pěti neopominutelných opatření musíte posoudit relevanci dalších oblastí. Pokud některé opatření nezavedete, nestačí ho přeskočit. Do přehledu napište důvod, proč pro danou regulovanou službu není relevantní nebo proč je řešeno jinak.
- § 7 Řízení přístupu: správa účtů a deaktivace odcházejících zaměstnanců.
- § 8 Řízení identit: MFA, politika hesel a oprávnění.
- § 9 Detekce událostí: antivirus, firewall, logování a záznamy.
- § 11 Bezpečnost sítě: segmentace, perimetr a bezpečnost komunikace.
- § 12 Aplikační bezpečnost: aktualizace softwaru, zranitelnosti a bezpečný vývoj.
- § 13 Kryptografie: šifrování komunikace a aktuální kryptografické algoritmy.
Doporučené pořadí kroků
Neřešte vše najednou. Praktické pořadí je začít odpovědností a dokumentací, potom technickými opatřeními a nakonec interní kontrolou připravenosti.
Měsíc 1 až 2
Jmenujte pověřenou osobu, zaevidujte ji do přehledu bezpečnostních opatření a zajistěte vstupní školení.
Měsíc 2 až 4
Vytvořte první verzi přehledu bezpečnostních opatření, zdokumentujte zálohovací proces a připravte základní bezpečnostní politiku.
Měsíc 4 až 8
Nastavte školení zaměstnanců, vytvořte incidentní postup a posuďte vyhodnotitelná opatření.
Měsíc 8 až 12
Přezkoumejte přehled, zkontrolujte důkazy a ověřte, že každé opatření má stav, vlastníka a další krok.
Časté chyby
Nejčastější problém není technická složitost, ale prázdná nebo nedoložená evidence. Vyhláška očekává, že stav opatření bude konkrétní a dohledatelný.
- Čekání na poslední chvíli. Dvanáct měsíců rychle uteče, když potřebujete školení, dokumentaci a důkazy z více systémů.
- Záměna přehledu opatření za bezpečnostní audit. Přehled má být živý stav opatření, ne jednorázová složka pro kontrolu.
- Ignorování vyhodnotitelných opatření. I nezavedené opatření potřebuje zdůvodnění.
- Nezaznamenání školení. Nestačí školení provést, musíte ho také evidovat.
Jak pomůže Splnit.eu
Splnit.eu je česká compliance platforma pro firmy v režimu nižších povinností ZoKB. Po vstupním dotazníku pomáhá identifikovat mezery vůči vyhlášce č. 410/2025 Sb., přiřadit vlastníky a vést důkazy k opatřením.
Platforma podporuje pracovní prostory pro systémy jako Pohoda, Hetzner Cloud a Microsoft 365 a umí připravit export přehledu bezpečnostních opatření dle § 3 odst. 2 vyhlášky č. 410/2025 Sb.
Zdroje a poznámka
Právní základ: zákon č. 264/2025 Sb. o kybernetické bezpečnosti, vyhláška č. 410/2025 Sb. a podpůrné materiály NÚKIB pro režim nižších povinností.
Odkazy: https://www.zakonyprolidi.cz/cs/2025-410, https://nukib.gov.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/ a Portál NÚKIB.
Tento článek je praktický informační materiál. Nenahrazuje právní posouzení konkrétní regulované služby.
Související přehled předpisu
Otevřít přehled: ZoKB →Převést registraci NÚKIB na kontrolní plán
Splnit.eu pomůže převést požadavky vyhlášky č. 410/2025 Sb. na opatření, vlastníky, důkazy a exportovatelný přehled pro režim nižších povinností.
Spustit analýzu zdarma