Dvě úrovně povinností aneb režimy dle nového zákona

Režimy povinností a princip proporcionality

Zákon rozlišuje dvě úrovně povinností, které regulovaným subjektům ukládá. Toto nastavení vychází již ze samotné směrnice NIS 2. Důvodem je snaha o určitou proporcionalitu – tedy dosáhnout smyslu regulace (ochrana před kybernetickými útoky) za co nejmenšího zatěžování byznysu dalšími povinnostmi. Uložené povinnosti tedy mají být proporční ku rizikům spočívajícím v napadení daného subjektu a potenciálních dopadech. Regulace musí vyhodnotit kritičnost entity, dopad incidentu, velikost subjektu a jeho expozici riziku. Dva jasné režimy přináší vyšší předvídatelnost a harmonizaci pravidel napříč členskými státy EU.

Zákon stanovuje kritéria, na jejichž základě společnost sama určí, jaká úroveň povinností se na ni aplikuje. Tento proces se nazývá samoidentifikace. Jejím cílem je určení, zda se organizace stává poskytovatelem regulované služby dle nZKB, a pokud ano, zařazení do režimu vyšších nebo nižších povinností a vznik ohlašovací povinnosti vůči NÚKIB.

Režim nižších povinností

Režim nižších povinností je určen pro podniky, které působí v regulovaných odvětvích, avšak jejich činnost nemá tak zásadní dopad na chod státu nebo základní infrastruktury jako u subjektů ve vyšším režimu. Typicky se jedná o střední a větší podniky poskytující regulované služby, u nichž je kladen důraz především na zavedení základních organizačních a technických opatření a schopnost reagovat na kybernetické bezpečnostní incidenty. Prováděcí předpis k nZKB, tedy vyhláška č. 408/2025 Sb., o regulovaných službách, vymezuje subjekty spadající do tohoto režimu. Patří sem například potravinářské výrobní podniky, logistické společnosti, středně velcí poskytovatelé digitálních služeb, některé výrobní podniky napojené na významné dodavatelské řetězce či poskytovatelé specializovaného softwaru nebo IT služeb.

Režim vyšších povinností

Oproti tomu režim vyšších povinností sebou obnáší vyšší požadavky. Spadají sem zejména velké podniky v klíčových odvětvích. Oproti režimu nižších povinností je důraz navíc dán na opatření v oblasti prevence. Vyhláška o regulovaných službách, upravuje, které podniky budou v režimu vyšších povinností. Budou sem spadat například provozovatelé distribučních a přenosových sítí elektřiny či výrobci elektřiny nad zákonný práh, provozovatelé vodáren či železniční infrastruktury, banky, velké nemocnice, datacentra, operátoři v oblasti telekomunikací či ústřední správní úřady.