Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS28 min24. května 2026

MSP jako regulovaná služba: co přesně vás povinuje nZKB

Zákon o kybernetické bezpečnosti (nZKB, zákon č. 264/2025 Sb.) se nevztahuje na každou IT firmu automaticky. Ale pro MSP — poskytovatele spravovaných IT služeb — je situace specifická: pravděpodobnost, že alespoň část vašich služeb spouští regulaci, je vysoká. A přitom spousta MSP stále neví,...

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Proč MSP musí nZKB věnovat pozornost víc než jiné firmyKteré MSP služby spouštějí regulaciJak zjistit, jestli konkrétně vy jste regulovaníNižší vs. vyšší režim: co to pro MSP znamenáCo vás čeká, pokud jste regulovaní: přehled povinnostíSpecifická výzva MSP: vy jste regulovaní a zároveň pomáháte regulovaným zákazníkůmCo dělat jako první krokTL;DR

Proč MSP musí nZKB věnovat pozornost víc než jiné firmy

MSP je v unikátní pozici: spravujete IT infrastrukturu, sítě a systémy pro jiné firmy. Mnohé z vašich zákazníků jsou samy regulovanými subjekty — ať už pod nZKB, GDPR nebo sektorovými předpisy. Pokud dojde k incidentu u vás nebo skrz váš přístup k zákazníkovi, dopad se šíří dál.

To je přesně typ rizika, který nZKB sleduje.

Které MSP služby spouštějí regulaci

nZKB reguluje tzv. regulované služby — tedy konkrétní typy digitálních nebo síťových služeb, jejichž narušení by mělo závažný dopad. Pro MSP jsou nejrelevantnější tyto kategorie:

Poskytovatelé spravovaných služeb (Managed Service Providers)

Pokud spravujete IT infrastrukturu, sítě, servery nebo bezpečnostní systémy pro zákazníky — a děláte to jako svou hlavní službu — jste pravděpodobně poskytovatelem spravovaných služeb ve smyslu nZKB.

Klíčové znaky:

  • Vzdálená správa IT systémů zákazníka
  • Správa sítí, firewallu, VPN nebo koncových zařízení
  • Provoz nebo monitorování bezpečnostní infrastruktury (SIEM, SOC)
  • Poskytování zálohovacích nebo DR služeb jako spravované služby

Poskytovatelé cloudových služeb

Pokud provozujete vlastní cloudovou platformu nebo infrastructure-as-a-service pro zákazníky — IaaS, PaaS nebo privátní cloud — jste poskytovatelem cloudových služeb pod nZKB.

Poskytovatelé datových center

Pokud provozujete fyzické nebo virtuální datové centrum jako komerční službu.

Poskytovatelé spravovaných bezpečnostních služeb (MSSP)

SOC, monitoring, správa SIEM, incident response jako služba — tyto aktivity jsou pod přímou regulací.

Jak zjistit, jestli konkrétně vy jste regulovaní

nZKB nereguluje všechny MSP plošně — závisí na velikosti a dopadu vašich služeb. Projděte si tyto otázky:

Otázka 1: Poskytujete některou z výše uvedených služeb jako svou hlavní podnikatelskou aktivitu? Pokud jen příležitostně pomáháte zákazníkovi s IT — nejste regulováni. Pokud je to vaše byznys model — pravděpodobně ano.

Otázka 2: Kolik zákazníků spravujete a jak velké jsou? nZKB pracuje s prahovou hodnotou dopadu. Čím více zákazníků a čím větší jsou, tím spíše jste nad prahem regulace.

Otázka 3: Jsou vaši zákazníci sami regulovanými subjekty? Pokud spravujete IT pro banky, nemocnice, energetické firmy nebo velké průmyslové podniky — váš dopad na jejich bezpečnost je přímý.

Otázka 4: Provedli jste samoidentifikaci přes Portál NÚKIB? nZKB vyžaduje samoidentifikaci. Pokud jste tak ještě neučinili, začněte tam — portál vás provede tím, zda a jak se na vás zákon vztahuje.

Nižší vs. vyšší režim: co to pro MSP znamená

Pokud jste regulovaní, zákon vám přiřadí jeden ze dvou režimů:

Nižší režim (important entities)

Typicky zde padají: menší MSP s regionálním záběrem, MSP spravující převážně nekritické zákazníky

  • 13 bezpečnostních opatření dle vyhl. č. 410/2025 Sb.
  • Incidenty hlásíte Národnímu CERT
  • Méně přísné požadavky na dokumentaci a technická opatření

Vyšší režim (essential entities)

Typicky zde padají: MSSP, MSP spravující kritickou infrastrukturu, MSP s velkým počtem regulovaných zákazníků

Důležité: Pokud máte jednu službu v nižším a jednu ve vyšším režimu, vyšší režim platí pro celou organizaci.

  • 25 bezpečnostních opatření dle vyhl. č. 409/2025 Sb.
  • Incidenty hlásíte přímo NÚKIB
  • Přísnější požadavky: hodnocení dodavatelů, kontinuita, interní audit
  • Výstupní audit po zavedení opatření

Co vás čeká, pokud jste regulovaní: přehled povinností

PovinnostTermín
Samoidentifikace a registrace regulované službyDo 60 dnů od naplnění kritérií
Nahlášení kontaktních a doplňujících údajůDo 30 dnů od rozhodnutí NÚKIB
Stanovení rozsahu řízení kyberbezpečnostiCo nejdříve po registraci
Zavedení bezpečnostních opatřeníDo 12 měsíců od potvrzení registrace
Hlášení kybernetických incidentůOd 12 měsíců po potvrzení registrace
Provádění protiopatření NÚKIBOkamžitě od vydání

Specifická výzva MSP: vy jste regulovaní a zároveň pomáháte regulovaným zákazníkům

Tady se situace MSP liší od jiných firem. Nejde jen o to, splnit zákon pro sebe. Zákazníci vás budou ptát:

Firma, která na tyto otázky odpovídá sebejistě a s dokumentací v ruce, vyhraje tendry. Firma, která odpovídá „to ještě řešíme," je konkurenční nevýhodou sama sobě.

  • „Jste vy sami regulovaní pod nZKB?"
  • „Jak zabezpečujete přístupy do našich systémů?"
  • „Co se stane, pokud dojde k incidentu na vaší straně?"
  • „Můžete nám pomoct splnit nZKB?"

Co dělat jako první krok

  • 1. Proveďte samoidentifikaci na Portálu NÚKIB — zjistíte, jestli a v jakém režimu jste regulovaní
  • 2. Pokud ano: registrujte regulovanou službu co nejdříve — lhůty běží od naplnění kritérií, ne od okamžiku, kdy se o tom dozvíte
  • 3. Stanovte rozsah řízení KB — klíčové rozhodnutí, které ovlivní náklady na celou implementaci (viz samostatný článek na tomto blogu)
  • 4. Proveďte gap analýzu — zjistěte, co máte a co chybí
  • 5. Informujte zákazníky — transparentnost o vašem compliance stavu je konkurenční výhoda

TL;DR

  • Pokud spravujete IT, sítě nebo bezpečnostní systémy pro zákazníky jako svou hlavní službu, nZKB se na vás pravděpodobně vztahuje.
  • Samoidentifikace přes Portál NÚKIB je první povinný krok — a zároveň způsob, jak zjistit váš konkrétní režim.
  • MSP jsou regulovaní jako poskytovatelé spravovaných služeb, cloudových služeb nebo MSSP.
  • Nižší režim: 13 opatření. Vyšší režim: 25 opatření. Jedno z nich platí pro celou organizaci.
  • Vaši zákazníci se budou ptát na váš compliance stav — mít jasnou odpověď je byznysová výhoda.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||