V listopadu 2025 nabyl účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen ZKB). Tento zákon transponoval evropskou směrnici NIS2 a přinesl zásadní změny:
V rámci ZKB jsou stále definována dvě pracoviště, vládní CERT a národní CERT (roli národního CERTu plní v současné době tým CSIRT.CZ). Obě tato pracoviště nyní přijímají od povinných orgánů a osob definovaných v ZKB informace o kybernetických bezpečnostních incidentech a také kontaktní informace daných subjektů VÝHRADNĚ prostřednictvím Portálu NÚKIB.
Povinností regulovaných subjektů definovaných v § 4 ZKB je mimo jiné:
Samoidentifikace subjektů – organizace se musí samy posoudit, zda spadají pod regulaci, a ohlásit se přes Portál NÚKIB.
Regulace se týká poskytovatelů regulovaných služeb v 15 sektorech (od zdravotnictví přes dopravu až po digitální infrastrukturu).
Povinnosti se odvíjejí od režimu povinností (nižší / vyšší), který závisí zejména na velikosti a významu organizace.
Registrace probíhá prostřednictvím ohlášení regulované služby přes Portál NÚKIB.
Kdy a jak podat ohlášení naleznete zde.
Co se mění pro hlášení incidentů?
Zásadní změny
Incidenty hlásí všechny regulované subjekty podle svého režimu (vyšší/nižší).
Hlášení probíhá výhradně elektronicky přes Portál NÚKIB a to od doručení rozhodnutí o registraci ze strany NÚKIB.
Termíny hlášení kybernetického bezpečnostního incidentu
Režim vyšších povinností
prvotní hlášení do 24 hodin od zjištění kybernetického bezpečnostního incidentu,
NÚKIB do 24 hodin rozhodne o významnosti incidentu
aktualizace údajů do 72 hodin,
závěrečná zpráva do 30 dnů (případně průběžné zprávy, pokud incident trvá déle).
Režim nižších povinností
prvotní hlášení do 24 hodin od zjištění kybernetického bezpečnostního incidentu s významným dopadem na organizaci,
aktualizace údajů do 72 hodin,
závěrečná zpráva do 30 dnů (případně průběžné zprávy, pokud incident trvá déle).
Přesná kritéria významného dopadu pro režim nižších povinností stanovuje § 14 vyhlášky č. 410/2025 Sb., o o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (410/2025 Sb., 14. 10. 2025, vyhlášené znění, informativní znění systému e-Sbírka)
Další důležité informace
NÚKIB vede evidenci všech nahlášených incidentů a může se zpětně obrátit na subjekt, pokud je incident významný.
Hlášení kybernetických bezpečnostních incidentů v nižším režimu přijímá CSIRT.CZ, ale výhradně prostřednictvím Portálu NÚKIB.
Za nesplnění povinnosti hlásit incident mohou hrozit sankce – důraz se ale klade na včasné a správné hlášení, ne na formální chyby. Sankce se nikdy neuděluje za to, že se incident stal, ale za to, že nebyl nahlášen.
Z pohledu člověka, který hlásí incidenty je potřeba nově:
Ověřit, zda vaše organizace poskytuje regulovanou službu (pomůže kalkulačka na Portálu NÚKIB).
Pokud ano → provést samoidentifikaci a podat ohlášení regulované služby.
Nastavit interní procesy podle toho, zda spadáte do nižšího nebo vyššího režimu.
Zajistit, aby organizace byla schopna incident včas detekovat a nahlásit ho přes Portál NÚKIB.
Seznámit se s novým formulářem a obsahem hlášení.
Veřejnost může i nadále hlásit podezřelé kybernetické incidenty prostřednictvím našeho webového formuláře. Tento způsob hlášení pro širokou veřejnost zůstává zachován i po 1. listopadu 2025.
Máte-li obecný dotaz k hlášení kontaktních informací nebo incidentů dle ZKB použijte prosím e-mailovou adresu info@csirt.cz.