Vyhláška o regulovaných službách

Jde o klíčovou vyhlášku pro všechny organizace s businessem v ČR. Organizace ji uplatní tehdy, pokud posuzují, zda a v jakém rozsahu se na ně vztahuje nový kybernetický zákon.

Změny ve vyhlášce o regulovaných službách

Co se změnilo od původních návrhů vyhlášky o regulovaných službách? Je to např.:

• Byly odstraněny strategicky významné služby (budou totiž upraveny nařízením vlády).

• Aktuální verze návrhu obsahuje méně detailní kritéria pro zařazení do režimů regulace oproti původnímu návrhu - např. v odvětví Elektřina, Vodní hospodářství, Letectví, Zdravotnictví byla odstraněna doplňující kritéria založená na počtu odběrných/předávacích míst pro elektřinu nebo na počtu obyvatel, kterým jsou poskytovány služby vodovodů/kanalizací nebo počtu cestujících nebo počtu lůžek. Kritéria jsou nyní založena jen na velikosti podniku. Pozor, mohou nastat situace, kdy organizace, které se připravovaly na vyšší režim (na základě původních tezí vyhlášky), nyní spadnou do nižšího režimu regulace! Přesto je ale třeba brát v úvahu ještě provazbu na směrnici CER / nový krizový zákon.

• Digitální infrastruktura a služby

  • U poskytování služby systému překladu doménových jmen (DNS) je explicitně uvedena výjimka pro službu poskytovanou jako součást regulované služby podle bodu 16.1.

  • Přibylo “Poskytování služby registrace a správy doménových jmen” (“Osoba poskytující služby registrace doménových jmen s přístupem k Centrálnímu registru doménových jmen pro více než 100 000 doménových jmen druhého řádu v doméně .cz, je poskytovatelem regulované služby v režimu nižších povinností.”).

  • Přibyla “Správa a provoz domény gov.cz“ (“Osoba spravující a provozující doménu gov.cz je poskytovatelem regulované služby v režimu vyšších povinností.“)

  • MSP a MSSP - nově upřesněno a omezeno jen na B2B!

• Vodní doprava upravena na námořní vodní dopravu.

• Poštovní a kurýrní služby jsou rozděleny do dvou samostatných kategorií, na poštovní služby a kurýrní služby.

Organizacím, které se již na nový kybernetický zákon zodpovědně připravují, a pro které by navrhované změny měly přestavovat přeřazení z nižšího do vyššího režimu, oproti prvotním posouzením dopadu regulace provedeným na základě tezí, doporučujeme vyčkat na finální verzi této vyhlášky.

Zdroj:

• https://www.odok.cz/portal/veklep/material/KORNDGQGJKME

Vyhláška o Portálu Úřadu a požadavcích na vybrané úkony

Návrh vyhlášky o Portálu Úřadu a požadavcích na vybrané úkony upravuje např. způsoby práce s Portálem NÚKIB, náležitosti formulářů a informací, které musí být regulátorovi sděleny v rámci registrace regulované služby, hlášení kontaktů, incidentů atp.

Tuto vyhlášku využijí organizace tehdy, jakmile si provedou “samoidentifikaci”, kdy zjistí, že na základě kritérií uvedených ve vyhlášce o regulovaných službách spadají pod nový kybernetický zákon. Vyhláška jim totiž napoví, jak komunikovat s regulátorem a jaké informace v jakých situacích sdělovat.

Změny vyhlášky o portálu

Jak se změnila vyhláška o Portálu Úřadu a požadavcích na vybrané úkony oproti původním tezím?

Vybrané změny jsou např.:

• Došlo ke změně struktury vyhlášky a mírně se změnila terminologie.

• Došlo k úpravám požadovaných informací v rámci hlášení údajů - např. již se nevyžaduje ASN, informace o vlastnické struktuře, ale vyžaduje se informace o tom, zda je organizace součástí koncernu.

• Došlo ke zpřesnění na základě kterého je patrné, že se přes portál budou hlásit reakce na reaktivní protiopatření, nikoliv na opatření, jak tomu bylo v původních tezích.

• Formulář hlášení informací o dodavatelích je detailnější.

• Ustanovení o hlášení nápravných opatření již v aktuální verzi návrhu této vyhlášky není.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQCSH7Q

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností obsahuje přehled požadavků na bezpečnostní opatření.

Tuto vyhlášku musí plnit organizace, které na základě vyhlášky o regulovaných službách spadnou do nižšího (méně přísného) režimu regulace.

Změny v bezpečnostních požadavcích pro nižší režim

Jak se změnily požadavky na bezpečnostní opatření pro nižší režim od původních návrhů vyhlášky?

Nejedná se o žádné zcela zásadní změny, spíše o pozitivní změny vedoucí k upřesnění některých opatření.

Přehled změn pro nižší režim najdete v tomto PDF dokumentu, který jsme pro vás vytvořili.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQCWPDA

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností obsahuje přehled požadavků na bezpečnostní opatření.

Tuto vyhlášku musí plnit organizace, které na základě vyhlášky o regulovaných službách spadnou do vyššího (přísnějšího) režimu regulace.

Změny v bezpečnostních požadavcích pro vyšší režim

Jak se změnily požadavky na bezpečnostní opatření pro vyšší režim od původních návrhů vyhlášky?

Nejedná se o žádné zcela zásadní změny, spíše o pozitivní změny vedoucí k upřesnění některých opatření.

Přehled změn pro vyšší režim najdete v tomto PDF dokumentu, který jsme pro vás vytvořili.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQC3VXQ

Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy a vyhláška o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu

Jedná se o úpravu současné vyhlášky č. 315/2021 Sb. a vyhlášky č. 190/2023 Sb., kde dochází k úpravám terminologie vůči nové regulaci kybernetické bezpečnosti.

Tyto vyhlášky jsou relevantní pro veřejnou správu a poskytovatele cloudových služeb, kteří poskytují nebo chtějí poskytovat své služby veřejné správě, tedy musí mít služby zapsané v katalogu eGovernment cloudu.

Podle informací, které zveřejnil na svém LinkedIn kolega Adam Kučínský z NÚKIB, můžeme brzy v mezirezortním připomínkovém řízení očekávat ještě upravenou vyhlášku č. 316/2021 Sb. (o vstupních kritériích do katalogu cloud computingu).

Zdroj:

• úprava vyhlášky č. 315/2021 Sb. - https://www.odok.cz/portal/veklep/material/KORNDGQBWYX8

• úprava vyhlášky č. 190/2023 Sb. https://www.odok.cz/portal/veklep/material/KORNDGQEVKNP

Související vládní předpisy

Na základě posledních změn návrhu nového kybernetického zákona, by měly být vydány ještě další dva prováděcí předpisy související s mechanismem prověřování bezpečnosti dodavatelského řetězce:

• Nařízení vlády o nepominutelných funkcích.

• Nařízení vlády o strategicky významných službách.

Návrhy pro tyto předpisy pravděpodobně můžeme očekávat později.

Časová osa pohledem organizací, na které nový kybernetický zákon dopadne

Jedna z nejčastějších otázek organizací, které pod nový kybernetický zákon spadnou je, kolik na jeho splnění budou mít času. Vše se odvíjí od data účinnosti samotného zákona, což nyní (18.5.2025) zatím nevíme. Nicméně zde přehledně posloupnost povinností v čase i s termíny:

1. účinnost nového zákona o kybernetické bezpečnosti [ČR] - sledujte oficiální zdroje, např. https://portal.nukib.gov.cz/.

2. ohlášení regulované služby (“samoidentifikace”) [povinný subjekt] - nejpozději do 60 dní od bodu 1.

3. rozhodnutí o registraci [NÚKIB] - cca do 30 dní od bodu 2.

4. hlášení kontaktních údajů [povinný subjekt] - nejpozději do 30 dní od bodu 3.

5. povinnost hlásit bezpečnostní incidenty a mít zavedená bezpečnostní opatření [povinný subjekt] - nejpozději do 1 roku od bodu 3.

Mohlo by vás zajímat

Z našich dřívějších článků by vás mohly zajímat například:

• O čem je výkon role manažera kybernetické bezpečnosti a jak na jeho outsourcing?

• Jak NIS2 dopadá na poskytovatele digitálních služeb (cloudy, MSP, MSSP)?

• Whitepaper o gap analýzách ke stažení z našeho webu.

• Webináře Guardians - webinář o tom, jak dopadá NIS2 na poskytovatele digitálních služeb a webinář o AI managementu pomocí ISO 42001.

Vzdělávání k novému kybernetickému zákonu

Již rok pro zájemce provozujeme naši unikátní vzdělávací akademii - nZKB akademii - komplexní vzdělávání, díky kterému NIS2/nZKB opravdu pochopíte.

Proč je nZKB akademie 2025 unikátní?

• Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.

• Akademie se skládá z výukové, tréninkové a komunitní fáze.

• V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.

• Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.

• A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!

V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!

Feedback

Podělte se s námi o svůj feedback k newsletteru a pomozte nám zlepšit jeho kvalitu! ⬇️

Do tvorby newsletteru investujeme poměrně velké úsilí, a proto nás zajímá, co se vám líbí a co bychom mohli ještě vylepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Jako poděkování za vyplnění celého dotazníku vám rádi zašleme slevový kód do nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru – výběr je na vás.