Vyhlášky k novému ZoKB – změny

Vyhlášky k novému ZoKB – změny

Minulý týden, v úterý 14. 10., byly zveřejněny další vyhlášky doplňující zákon č. 264/2025 Sb. o kybernetické bezpečnosti (ZoKB). Nový ZoKB implementuje do českého právního řádu směrnici Evropského parlamentu a rady (EU) 2022/2555 známou jako NIS2. ZoKB nabyde účinnosti k 1. listopadu 2025 a současně nabydou účinnosti také s ním spjaté vyhlášky, včetně:

Návrhy vyhlášek byly zveřejněny již dříve, a bylo tak možné se dopředu s jejich obsahem seznámit a připravit se. Vyhlášené znění se nicméně mírně liší a obsahuje několik úprav. Ačkoliv se zpravidla jedná jen o úpravy kosmetické, některé změny mohou mít zásadní dopad. 

Shrnutí – nejvýznamnější změny 

  1. Změny v kategorizaci regulovaných služeb
    1. Přidáno krajské ředitelství Policie ČR.
    2. Odebrána státní zastupitelství a soudy vyjma Ústavního soudu
    3. Zmírnění podmínek pro odpadové hospodářství a provozovatele kanalizace.
  2. Manažer, architekt a auditor kybernetické bezpečnosti musí doložit 3 roky praxe nezávisle na jejich vysokoškolském vzdělání.
  3. Vypsaná opatření už nejsou doporučením, ale pouze povinným minimem. (Nahrazení „zejména“ za „alespoň“.) 
  4. Nápravná řešení a opatření musí být nejen zjištěna, ale také přijata bez zbytečného odkladu.
  5. Chybovat není nezákonné, aneb informace v bezpečnostní politice a dokumentaci nemusí být správné. 
  6. Je možné dohodnout se s dodavatelem, zda se budou dodržovat bezpečnostní politiky subjektu, dodavatele, nebo mix obou.

Vyhláška č. 334/2025 Sb. o portálu NÚKIB  

Tato vyhláška upravuje hlášení údajů a incidentů NÚKIB skrze online portál.  

Změny v této vyhlášce jsou především kosmetického rázu – prohození slov „formulář“ a „hlášení“ nebo zkrácení „členských států Evropské unie“ pouze na „členských států“. Příjemnou úpravou je rozšíření §1 o popis, o čem odkazované paragrafy pojednávají. Jedinou významnou změnou je, že v hlášení kybernetického incidentu už není nutné uvádět výčet všech poskytovaných regulovaných služeb, nýbrž stačí pouze identifikační údaje poskytovatele (§4 odst. 1). 

Vyhláška 408/2025 Sb. o regulovaných službách 

Samotná vyhláška se téměř vejde na jednu stranu A4. Definuje regulované služby a upravuje rozdělení poskytovatelů do režimu nižších a vyšších povinností. Služby a režimy jsou posléze upravovány v přílohách. Vsamotné vyhlášce byla pouze mírně upravena metodika přepočtu částek v EUR na CZK pro naplnění definice malých a středních podniků. právě v nich se objevily některé změny: 

Veřejná správa (tabulka 1) 

  • přidáno krajské ředitelství Policie ČR 
  • specifikace celostátních útvarů Policie ČR 
  • rozšíření i na další součásti hasičských sborů 
  • odebrány orgány soudní moci, zůstal pouze Ústavní soud 
  • odebráno státní zastupitelství 

Energetika – Elektřina (tabulka 2) 

  • Nově musí být k distribuční síti připojeno aspoň 90 000 odběrných míst, aby její provozovatel spadl do režimu vyšších povinností. 

Energetika – Teplárenství (tabulka 5) 

  • Podnik s výrobnou tepelné energie s instalovaným výkonem nejméně 50 MW nemusí být velkým podnikem a stejně spadne do vyšších povinností. 

Vodní a odpadové hospodářství (tabulky 10 a 11) 

  • Byla přidána podmínka, že příjmy z provozu kanalizace / odpadového hospodářství musí tvořit aspoň 5 % obratu za poslední účetní období, aby se jednalo o regulovanou službu. 

Vyhláška 409/2025 Sb. o povinnostech v režimu vyšších povinností 

Jednou z nejdůležitějších vyhlášek je vyhláška upravující obsah, způsob zavádění a provádění bezpečnostních opatření pro regulované služby v režimu vyšších povinností. 

Napříč celým textem vyhlášky došlo k nahrazení slova „zejména“ za „alespoň“, čímž se všechny vyjmenované požadavky staly z pouhého doporučení, povinným základem. 

Z §2 byla vyjmuta definice významné změny. Odstraněna byl také paragraf (původně číslo 3) o povinnosti zavést opatření v nezbytné míře. Tuto povinnost ukládá přímo ZoKB, jak připomíná NÚKIB [1]. Tím se změnilo číslování paragrafů, které se poté propsalo do celé vyhlášky. 

Významnou změnou (v §5) je odstranění úlevy pro osoby s vysokoškolským titulem. V návrhu vyhlášky stačil absolventovi vysoké školy pouze 1 rok praxe. Nyní není na titul kladen zřetel a u všech rolí (manažera, architekta i auditora) jsou požadovány 3 roky relevantní praxe.Podle LRV to bylo neodůvodněné omezení,“ píše ve svém příspěvku Adam Kučínský z NÚKIB [1].

Nová vyhláška připouští, že lidé dělají (nevědomky) chyby a nestaví chybování mimo zákon. Nové znění §6 odst. 5 věty e) nevyžaduje, aby informace v bezpečnostní politice a dokumentaci byly správné. Původní znění slovíčko „správné“ obsahovalo. 

Nové znění [§9 odst. 2 věta d) a §16 odst. 3 věta a)] také připomíná, že nestačí přijít na řešení a nápravná opatření, ale je dobré (a teď i povinné) nápravná opatření zavést, a to bez zbytečného odkladu. 

Na konec došlo ke změně pořadí příloh. Při přehazování příloh se ovšem ztratila příloha s doporučenými požadavky pro výbor pro řízení kybernetické bezpečnosti a bezpečnostní role. Ta obsahovala výčet klíčových činností role, výčet znalostí, zkušeností, vzdělání a praxe, relevantních certifikací a dalších podmínek pro danou roli. Jelikož nebyla příloha závazná, plánuje NÚKIB vydat doporučení jako podpůrný materiál [1]. Naopak v příloze 1 byly rozšířeny příklady kategorizace ochran. 

Vyhláška 410/2025 Sb. o povinnostech v režimu nižších povinností 

Druhou z nejdůležitějších vyhlášek je vyhláška upravující obsah, způsob zavádění a provádění bezpečnostních opatření pro regulované služby v režimu nižších povinností. 

První faktickou změnou je stejně jako ve vyhlášce č. 409/2025 Sb. vyřazení paragrafu (původně číslo 3) o povinnosti zavést opatření v nezbytné míře. Tuto povinnost ukládá přímo ZoKB, jak připomíná NÚKIB [1]. Tím se změnilo číslování paragrafů, které se poté propsalo do celé vyhlášky. 

Nově upravený §8 odst. 2 rozšiřuje povinnost zavést autentizační mechanismus využívající vícefaktorové ověření nebo model zero-trust také na technická aktiva. Dříve se odstavec vztahoval pouze na řízení identit uživatelů a administrátorů. Stále je možné do doby zavedení takového mechanismu používat klíče, respektive, než dojde k zavedení klíčů, používat silná hesla. 

Ne moc šťastným vylepšením, bylo přidání slova „dobu“ do§11 věty b), čímž se změnil význam sdělení. Z původní formulace: „[Povinná osoba] omezí odchozí a příchozí komunikaci na perimetru komunikační sítě na nezbytně nutnou pro řádné zajištění poskytování regulované služby,“ na „[Povinná osoba] omezí odchozí a příchozí komunikaci na perimetru komunikační sítě na dobu nezbytně nutnou pro řádné zajištění poskytování regulované služby,“ Touto změnou se význam přenesl z „povolení pouze nezbytné komunikace“ na „povolení veškeré komunikace, ale pouze po omezenou, nezbytně nutnou dobu“. Třetí možnou interpretací je, že je povolená veškerá komunikace a pouze po nezbytně nutnou dobu je komunikace omezená. 

Smutnou změnou je odebrání příkladů z přílohy č. 1, která představuje tabulku pro zavádění a vyhodnocování bezpečnostních opatření. 

V příloze č. 2, která upravuje požadavky na smluvní ujednání sdodavateli, došlo k úpravě bodů i) a n). Nově je možné domluvit se, jestli se budou používat bezpečnostní politiky subjektu, dodavatele nebo jejich mix bezpečnostních politik obou stran. Nově budou muset smlouvy povinně obsahovat ujednání o dodržování pravidel bezpečného vývoje. Zpřesnění procesu zohlednění hrozeb a zranitelnosti spojených sdodavatelem se věnuje i upravená formulace §3 odst. 5. 

 

[1] Adam KUČÍNSKÝ – LinkedIn post, 21. 10. 2025

© Sec4good, s.r.o., zapsaná v OR vedeném u městského soudu v Praze, v oddíle C 378876.