Upozorňujeme, že od 1. listopadu 2025 nabývá účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti. Nový zákon transponuje evropskou směrnici NIS2 a přináší zásadní změny:

1. Samoidentifikace subjektů – organizace se musí samy posoudit, zda spadají pod regulaci, a ohlásit se přes Portál NÚKIB.

2. Regulace se týká poskytovatelů regulovaných služeb v 15 sektorech (od zdravotnictví přes dopravu až po digitální infrastrukturu).

3. Povinnosti se odvíjejí od režimu povinností (nižší / vyšší), který závisí zejména na velikosti a významu organizace.

4. Registrace probíhá prostřednictvím ohlášení regulované služby přes Portál NÚKIB.

Kdy a jak podat ohlášení naleznete zde.

Co se mění pro hlášení incidentů?

Zásadní změny

• Incidenty hlásí všechny regulované subjekty podle svého režimu (vyšší/nižší).

• Hlášení probíhá výhradně elektronicky přes Portál NÚKIB a to od doručení rozhodnutí o registraci ze strany NÚKIB - do doby doručení rozhodnutí o registraci můžete i nadále využít formulář na našich stránkách avšak POZOR! Tyto formuláře budou začátkem roku 2026 odstraněny. Prosíme tak, abyste ohlášení regulované služby rozhodně NEODKLÁDALI!

Termíny hlášení kybernetického bezpečnostního incidentu

• Režim vyšších povinností

  • prvotní hlášení do 24 hodin od zjištění kybernetického bezpečnostního incidentu,

  • NÚKIB do 24 hodin rozhodne o významnosti incidentu

  • aktualizace údajů do 72 hodin,

  • závěrečná zpráva do 30 dnů (případně průběžné zprávy, pokud incident trvá déle).

• Režim nižších povinností

  • prvotní hlášení do 24 hodin od zjištění kybernetického bezpečnostního incidentu s významným dopadem na organizaci,

  • aktualizace údajů do 72 hodin,

  • závěrečná zpráva do 30 dnů (případně průběžné zprávy, pokud incident trvá déle).

Přesná kritéria významného dopadu pro režim nižších povinností stanovuje § 14 vyhlášky č. 410/2025 Sb., o o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (410/2025 Sb., 14. 10. 2025, vyhlášené znění, informativní znění systému e-Sbírka)

Další důležité informace

• NÚKIB vede evidenci všech nahlášených incidentů a může se zpětně obrátit na subjekt, pokud je incident významný.

• Hlášení kybernetických bezpečnostních incidentů v nižším režimu přijímáme my jako národní CSIRT tým, nově však výhradně prostřednictvím Portálu NÚKIB.

• Za nesplnění povinnosti hlásit incident mohou hrozit sankce – důraz se ale klade na včasné a správné hlášení, ne na formální chyby. Sankce se nikdy neuděluje za to, že se incident stal, ale za to, že nebyl nahlášen.

Z pohledu člověka, který hlásí incidenty je potřeba nově:

• Ověřit, zda vaše organizace poskytuje regulovanou službu (pomůže kalkulačka na Portálu NÚKIB).

• Pokud ano → provést samoidentifikaci a podat ohlášení regulované služby.

• Nastavit interní procesy podle toho, zda spadáte do nižšího nebo vyššího režimu.

• Zajistit, aby organizace byla schopna incident včas detekovat a nahlásit ho přes Portál NÚKIB.

• Seznámit se s novým formulářem a obsahem hlášení.

Veřejnost může i nadále hlásit podezřelé kybernetické incidenty prostřednictvím našeho webového formuláře. Tento způsob hlášení pro širokou veřejnost zůstává zachován i po 1. listopadu 2025.