Pokyny pro povinné subjekty dle zákona 264/2025 sb., o kybernetické bezpečnosti
Od 1. listopadu 2025 nabývá účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti. Tímto dnem se však nemění způsob hlášení kybernetických bezpečnostních incidentů automaticky pro všechny subjekty. Povinnost hlásit incidenty prostřednictvím Portálu NÚKIB vzniká doručením rozhodnutí o zařazení do regulace, které NÚKIB vydává jednotlivým subjektům (tzn. rozhodnutí o registraci regulované služby).
Subjekty, které doposud nebyly regulovány (vznik režimu nižších povinností)
• Do doručení rozhodnutí o registraci regulované služby se na ně nevztahuje povinnost hlásit incidenty podle nového zákona.
• Po doručení rozhodnutí se pro ně zpřístupní Portál NÚKIB a mohou kybernetické bezpečnostní incidenty hlásit po dobu přechodné lhůty jednoho roku dobrovolně podle nového zákona.
• Po uplynutí roční přechodné lhůty od doručení rozhodnutí o registraci se Portál stává povinným a jediným závazným způsobem hlášení kybernetických bezpečnostních incidentů.
Subjekty, které již spadaly pod dosavadní zákon (č. 181/2014 Sb.)
• Po doručení rozhodnutí o registraci regulované služby musí organizace kybernetické bezpečnostní incidenty hlásit prostřednictvím Portálu NÚKIB, kde si mohou vybrat, zda hlásí incident podle nového zákona, nebo využít po dobu roční přechodné lhůty možnost podat hlášení podle dosavadní právní úpravy.
Role CSIRT.CZ po účinnosti nového zákona
Nově nepřijímáme hlášení od subjektů, které obdržely rozhodnutí o zařazení do regulace podle nového zákona (tj. poskytovatelů regulované služby podle zákona).
Nadále sloužíme jako kontaktní místo pro veřejnost a subjekty mimo oblast regulace, které mohou incidenty hlásit prostřednictvím tohoto formuláře.
Kdy řeší kybernetický bezpečnostní incident podle zákona CSIRT.CZ
Incidenty přidělené do nižšího režimu povinností – hlášení podáváte přes Portál, následně je řešíme my v některých případech se k řešení může připojit i NÚKIB.
Případy, kdy je nutná národní nebo mezinárodní koordinace.
Na koho se obrátit v jiných případech
Regulované subjekty – od doručení rozhodnutí o registraci vždy hlásí přes Portál NÚKIB.
Koncoví uživatelé – kontaktujte svého správce sítě, poskytovatele internetu nebo IT oddělení.
Veřejnost a neregulované subjekty mohou i nadále hlásit podezřelé kybernetické incidenty prostřednictvím prostřednictvím tohoto formuláře.Tento způsob hlášení pro širokou veřejnost zůstává zachován i po 1. listopadu 2025.
CSIRT.CZ je v oblasti řešení bezpečnostních incidentů týkajících se sítí provozovaných v ČR (zdrojem nebo cílem je síť provozovaná v ČR) nutné brát jako poslední instanci kam je možné se obrátit se žádostí o pomoc a spolupráci. Řešení bezpečnostního incidentu (ověření, obrana, náprava) je vždy v rukou správce dané sítě nebo počítače.
Obecně tedy doporučujeme obrátit se na CSIRT.CZ v jednom z následujících případů:
bezpečnostní incident přetrvává (nebyl odstraněn v přijatelném časovém intervalu);
na hlášení bezpečnostního incidentu nikdo nereaguje (je jedno jestli se jedná o kontakt v ČR nebo mimo ČR);
na hlášení bezpečnostního incidentu jste obdrželi zamítavou odpověď (adresát se odmítá problémem zabývat, danou situaci za problém nepovažuje a podobně);
nedokážete dohledat, kdo je za síť/IP adresu (obecně zdroj útoku) zodpovědný nebo se kontaktní informace ukážou jako neaktuální;
jste přesvědčeni o tom, že problém by se mohl týkat více sítí, které by bylo záhodno zkontaktovat a vyrozumět.
Pokud se váš počítač začal chovat neobvykle a vy se domníváte, že jde o bezpečnostní incident, obraťte se laskavě s prosbou o pomoc na správce své sítě, svého počítače, na svého poskytovatele internetových služeb apod. Prosíme, nekontaktujte CSIRT.CZ!
Pokud se vaše síť stala terčem síťového útoku a pokud si nejste jisti, že dokážete správně určit zdrojovou síť, z níž útoky vycházejí, obraťte se laskavě s prosbou o pomoc na své zkušenější kolegy, na správce nadřazené sítě, na svého poskytovatele internetových služeb apod., který by měl incident vyřídit za vás.
Pokud se vaše síť stala terčem útoku a pokud si jste jisti, že umíte správně určit kontaktní adresy osob zodpovědných za síť, z níž útoky vycházejí, pošlete jim laskavě svou stížnost co nejrychleji elektronickou poštou. Čím dříve se Vaše hlášení dostane do rukou zodpovědných osob, tím menší celkové škody mohou vzniknout.
Pokud jste svou stížnost na takový bezpečnostní incident už poslali, ale několik dní nepřišla žádná rozumná reakce a útoky stále trvají, můžete poslat svou původní stížnost spolu s doprovodným dopisem na adresu CSIRT.CZ, který se pokusí tento bezpečnostní incident vyřídit za vás a o výsledcích vás bude informovat.