MSP jako regulovaná služba: co přesně vás povinuje nZKB
Zákon o kybernetické bezpečnosti (nZKB, zákon č. 264/2025 Sb.) se nevztahuje na každou IT firmu automaticky. Ale pro MSP — poskytovatele spravovaných IT služeb — je situace specifická: pravděpodobnost, že alespoň část vašich služeb spouští regulaci, je vysoká. A přitom spousta MSP stále neví,...
Autor: Splnit.eu, Redakce Splnit.eu
Proč MSP musí nZKB věnovat pozornost víc než jiné firmy
MSP je v unikátní pozici: spravujete IT infrastrukturu, sítě a systémy pro jiné firmy. Mnohé z vašich zákazníků jsou samy regulovanými subjekty — ať už pod nZKB, GDPR nebo sektorovými předpisy. Pokud dojde k incidentu u vás nebo skrz váš přístup k zákazníkovi, dopad se šíří dál.
To je přesně typ rizika, který nZKB sleduje.
Které MSP služby spouštějí regulaci
nZKB reguluje tzv. regulované služby — tedy konkrétní typy digitálních nebo síťových služeb, jejichž narušení by mělo závažný dopad. Pro MSP jsou nejrelevantnější tyto kategorie:
Poskytovatelé spravovaných služeb (Managed Service Providers)
Pokud spravujete IT infrastrukturu, sítě, servery nebo bezpečnostní systémy pro zákazníky — a děláte to jako svou hlavní službu — jste pravděpodobně poskytovatelem spravovaných služeb ve smyslu nZKB.
Klíčové znaky:
- Vzdálená správa IT systémů zákazníka
- Správa sítí, firewallu, VPN nebo koncových zařízení
- Provoz nebo monitorování bezpečnostní infrastruktury (SIEM, SOC)
- Poskytování zálohovacích nebo DR služeb jako spravované služby
Poskytovatelé cloudových služeb
Pokud provozujete vlastní cloudovou platformu nebo infrastructure-as-a-service pro zákazníky — IaaS, PaaS nebo privátní cloud — jste poskytovatelem cloudových služeb pod nZKB.
Poskytovatelé datových center
Pokud provozujete fyzické nebo virtuální datové centrum jako komerční službu.
Poskytovatelé spravovaných bezpečnostních služeb (MSSP)
SOC, monitoring, správa SIEM, incident response jako služba — tyto aktivity jsou pod přímou regulací.
Jak zjistit, jestli konkrétně vy jste regulovaní
nZKB nereguluje všechny MSP plošně — závisí na velikosti a dopadu vašich služeb. Projděte si tyto otázky:
Otázka 1: Poskytujete některou z výše uvedených služeb jako svou hlavní podnikatelskou aktivitu? Pokud jen příležitostně pomáháte zákazníkovi s IT — nejste regulováni. Pokud je to vaše byznys model — pravděpodobně ano.
Otázka 2: Kolik zákazníků spravujete a jak velké jsou? nZKB pracuje s prahovou hodnotou dopadu. Čím více zákazníků a čím větší jsou, tím spíše jste nad prahem regulace.
Otázka 3: Jsou vaši zákazníci sami regulovanými subjekty? Pokud spravujete IT pro banky, nemocnice, energetické firmy nebo velké průmyslové podniky — váš dopad na jejich bezpečnost je přímý.
Otázka 4: Provedli jste samoidentifikaci přes Portál NÚKIB? nZKB vyžaduje samoidentifikaci. Pokud jste tak ještě neučinili, začněte tam — portál vás provede tím, zda a jak se na vás zákon vztahuje.
Nižší vs. vyšší režim: co to pro MSP znamená
Pokud jste regulovaní, zákon vám přiřadí jeden ze dvou režimů:
Nižší režim (important entities)
Typicky zde padají: menší MSP s regionálním záběrem, MSP spravující převážně nekritické zákazníky
- 13 bezpečnostních opatření dle vyhl. č. 410/2025 Sb.
- Incidenty hlásíte Národnímu CERT
- Méně přísné požadavky na dokumentaci a technická opatření
Vyšší režim (essential entities)
Typicky zde padají: MSSP, MSP spravující kritickou infrastrukturu, MSP s velkým počtem regulovaných zákazníků
Důležité: Pokud máte jednu službu v nižším a jednu ve vyšším režimu, vyšší režim platí pro celou organizaci.
- 25 bezpečnostních opatření dle vyhl. č. 409/2025 Sb.
- Incidenty hlásíte přímo NÚKIB
- Přísnější požadavky: hodnocení dodavatelů, kontinuita, interní audit
- Výstupní audit po zavedení opatření
Co vás čeká, pokud jste regulovaní: přehled povinností
| Povinnost | Termín |
|---|---|
| Samoidentifikace a registrace regulované služby | Do 60 dnů od naplnění kritérií |
| Nahlášení kontaktních a doplňujících údajů | Do 30 dnů od rozhodnutí NÚKIB |
| Stanovení rozsahu řízení kyberbezpečnosti | Co nejdříve po registraci |
| Zavedení bezpečnostních opatření | Do 12 měsíců od potvrzení registrace |
| Hlášení kybernetických incidentů | Od 12 měsíců po potvrzení registrace |
| Provádění protiopatření NÚKIB | Okamžitě od vydání |
Specifická výzva MSP: vy jste regulovaní a zároveň pomáháte regulovaným zákazníkům
Tady se situace MSP liší od jiných firem. Nejde jen o to, splnit zákon pro sebe. Zákazníci vás budou ptát:
Firma, která na tyto otázky odpovídá sebejistě a s dokumentací v ruce, vyhraje tendry. Firma, která odpovídá „to ještě řešíme," je konkurenční nevýhodou sama sobě.
- „Jste vy sami regulovaní pod nZKB?"
- „Jak zabezpečujete přístupy do našich systémů?"
- „Co se stane, pokud dojde k incidentu na vaší straně?"
- „Můžete nám pomoct splnit nZKB?"
Co dělat jako první krok
- 1. Proveďte samoidentifikaci na Portálu NÚKIB — zjistíte, jestli a v jakém režimu jste regulovaní
- 2. Pokud ano: registrujte regulovanou službu co nejdříve — lhůty běží od naplnění kritérií, ne od okamžiku, kdy se o tom dozvíte
- 3. Stanovte rozsah řízení KB — klíčové rozhodnutí, které ovlivní náklady na celou implementaci (viz samostatný článek na tomto blogu)
- 4. Proveďte gap analýzu — zjistěte, co máte a co chybí
- 5. Informujte zákazníky — transparentnost o vašem compliance stavu je konkurenční výhoda
TL;DR
- Pokud spravujete IT, sítě nebo bezpečnostní systémy pro zákazníky jako svou hlavní službu, nZKB se na vás pravděpodobně vztahuje.
- Samoidentifikace přes Portál NÚKIB je první povinný krok — a zároveň způsob, jak zjistit váš konkrétní režim.
- MSP jsou regulovaní jako poskytovatelé spravovaných služeb, cloudových služeb nebo MSSP.
- Nižší režim: 13 opatření. Vyšší režim: 25 opatření. Jedno z nich platí pro celou organizaci.
- Vaši zákazníci se budou ptát na váš compliance stav — mít jasnou odpověď je byznysová výhoda.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma