Blog
Režim vyšších nebo nižších povinností: Kam spadá vaše firma podle nového zákona?

Režim vyšších nebo nižších povinností: Kam spadá vaše firma podle nového zákona?

David Martínek
13. října 2025
9 min čtení

1. listopadu 2025 nabývá účinnosti nový zákon o kybernetické bezpečnosti. Pokud vaše firma poskytuje regulovanou službu, čeká vás jedno z nejdůležitějších rozhodnutí: zjistit, zda spadáte do režimu vyšších nebo nižších povinností. Od této kategorizace se totiž odvíjí rozsah vašich povinností, investic i možných sankcí.

Proč zákon rozlišuje dva režimy?

Nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2, přináší zásadní změnu: rozšiřuje okruh regulovaných subjektů z původních 300 na odhadovaných 6 000 až 10 000 organizací. Jde o střední a velké firmy napříč 18 až 22 odvětvími – od energetiky a zdravotnictví přes dopravu až po digitální služby.

Aby zákon neukládal všem stejně přísné požadavky, zavádí dvoustupňový systém regulace:

  • Režim vyšších povinností pro kriticky důležité subjekty
  • Režim nižších povinností pro ostatní regulované organizace

Tento přístup odráží realitu: výpadek v nemocnici má jiný dopad než výpadek v menším e-shopu. Zákon proto přizpůsobuje požadavky významu vaší činnosti pro společnost.

Režim vyšších povinností: Pro koho a co obnáší?

Kdo spadá do vyššího režimu?

Do režimu vyšších povinností spadají organizace, které jsou značně ekonomicky, společensky nebo bezpečnostně významné pro Českou republiku. Konkrétně jde o subjekty, které splňují alespoň jedno z těchto kritérií:

Velikost a dosah: Velké organizace s významným počtem uživatelů nebo širokým geografickým působením

Kritičnost pro odvětví: Subjekty, jejichž výpadek by vážně narušil fungování celého odvětví

Systémová závislost: Firmy, na kterých závisí jiní poskytovatelé regulovaných služeb

Rizikový provoz: Organizace s vysokým rizikem kybernetických útoků

Kritická infrastruktura: Subjekty, které jsou součástí kritické infrastruktury státu

Příklady subjektů ve vyšším režimu:

  • Velké nemocnice a zdravotnická zařízení
  • Energetické společnosti a distribuční soustavy
  • Velcí poskytovatelé telekomunikačních služeb
  • Ústřední orgány státní správy, kraje, hlavní město Praha
  • Systémově významné finanční instituce
  • Velcí poskytovatelé cloudových a datových služeb

Co vyšší režim znamená v praxi?

Organizace v režimu vyšších povinností čelí přísnějším a podrobnějším požadavkům:

1. Bezpečnostní opatření

Musíte zavést komplexní systém řízení bezpečnosti informací (ISMS) zahrnující:

  • Detailní řízení aktiv a identifikaci kritických systémů
  • Průběžnou analýzu rizik a jejich vyhodnocování
  • Pokročilá technická opatření (SIEM, EDR, pokročilá detekce hrozeb)
  • Business continuity management a disaster recovery plány
  • Pravidelné penetrační testy a audity

2. Organizační struktura

Povinnost jmenovat čtyři klíčové role:

  • Manažer kybernetické bezpečnosti – řídí celkovou strategii
  • Architekt kybernetické bezpečnosti – navrhuje technická řešení
  • Garant pro každé aktivum - zodpovídá za dané aktivum
  • Auditor kybernetické bezpečnosti – kontroluje účinnost opatření

3. Hlášení incidentů

  • Musíte hlásit všechny relevantní kybernetické incidenty (nejen ty s významným dopadem)
  • Hlášení probíhá přímo NÚKIB prostřednictvím Portálu NÚKIB
  • Přísnější lhůty: prvotní hlášení do 24 hodin

4. Odpovědnost vedení

Vrcholové vedení nese přímou odpovědnost za kybernetickou bezpečnost:

  • Musí schvalovat bezpečnostní politiky
  • Účastnit se pravidelných školení
  • Zajistit dostatečné zdroje pro implementaci opatření

5. Sankce

Za závažné nebo opakované porušení hrozí:

  • Pokuty až 250 mil. Kč nebo 2 % čistého celosvětového ročního obratu (vyšší částka)
  • Dočasný zákaz výkonu funkce člena vedení (až 3 roky)
  • Pozastavení certifikace
  • Zvýšená frekvence kontrol ze strany NÚKIB

Režim nižších povinností: Základní ochrana bez zbytečné zátěže

Kdo spadá do nižšího režimu?

Do režimu nižších povinností spadají všechny regulované subjekty, které nejsou v režimu vyšších povinností. Typicky jde o:

  • Střední firmy v regulovaných odvětvích
  • Menší poskytovatelé služeb s lokálním dosahem
  • Organizace s nižším systémovým významem
  • Obce s rozšířenou působností (ORP)

Co nižší režim znamená v praxi?

Režim nižších povinností je mírnější, ale stále závazný:

1. Bezpečnostní opatření

Zaměřeno na základní, ale funkční zabezpečení:

  • Základní řízení aktiv
  • Zjednodušená analýza rizik
  • Standardní technická opatření (antivirus, firewall, zálohy, MFA)
  • Základní plány kontinuity provozu
  • Pravidelná školení zaměstnanců

2. Organizační struktura

Není povinnost jmenovat specializované bezpečnostní role (manažer KB, architekt KB, auditor KB), ale musíte:

  • Určit odpovědnou osobu za kybernetickou bezpečnost
  • Zajistit kontaktní osoby pro komunikaci s NÚKIB

3. Hlášení incidentů

  • Hlásíte pouze incidenty s významným dopadem na poskytování služby
  • Hlášení probíhá přes Národní CERT (ne přímo NÚKIB)
  • Lhůta: do 72 hodin

4. Odpovědnost vedení

Vedení musí zajistit:

  • Schválení bezpečnostních politik
  • Dostatečné zdroje pro základní opatření
  • Účast na relevantních školeních

5. Sankce

Mírnější než ve vyšším režimu, ale stále významné:

  • Pokuty reflektující velikost organizace
  • Nižší frekvence kontrol
  • Zaměření na nápravu spíše než na trest

Klíčové rozdíly na první pohled

Kritérium Vyšší režim Nižší režim
Rozsah opatření Komplexní ISMS dle ISO 27001 Základní bezpečnostní opatření
Bezpečnostní role Manažer KB + Architekt KB + Auditor KB Odpovědná osoba za KB
Hlášení incidentů Všechny relevantní incidenty Jen incidenty s významným dopadem
Kam hlásit Přes Portál NÚKIB Přes Portál NÚKIB
Lhůta hlášení 24 hodin prvotní i podrobné 24 hodin prvotní, 72 hodin podrobné
Audity Častější a detailnější Méně časté
Max. pokuta 250 mil. Kč nebo 2 % čistého celosvětového ročního obratu Nižší, přiměřená velikosti
Osobní sankce vedení Ano (zákaz funkce) Omezeně

Jak zjistím, do kterého režimu spadá moje firma?

Určení režimu je vícestupňový proces:

Krok 1: Poskytujete regulovanou službu?

Nejprve zjistěte, zda vůbec spadáte pod nový zákon. Musíte splnit obě podmínky:

Odvětví: Působíte v jednom z regulovaných odvětví (energetika, zdravotnictví, doprava, digitální služby, veřejná správa, atd.)

Velikost: Jste středním nebo velkým podnikem (50+ zaměstnanců NEBO roční obrat/bilanční suma 10+ milionů EUR, tj. cca 250 milionů Kč)

Tip: Využijte bezplatnou kalkulačku na Portálu NÚKIB nebo modul NIS2 Compass v nástroji Kraita Cyber One pro rychlé posouzení.

Krok 2: Určete svůj režim

Pokud poskytujete regulovanou službu, rozhodující je povaha a význam vaší činnosti:

Indikátory pro vyšší režim:

  • Velká organizace s vysokým obratem
  • Poskytujete služby kritické pro bezpečnost státu
  • Na vás závisí další regulované subjekty
  • Jste součástí kritické infrastruktury
  • Máte významné množství uživatelů nebo zákazníků

Indikátory pro nižší režim:

  • Středně velká firma
  • Lokální nebo regionální působnost
  • Nižší systémový význam
  • Není na vás závislá kritická infrastruktura

Krok 3: Samoidentifikace a registrace

Po účinnosti zákona (1. listopadu 2025) máte 60 dní na:

  1. Samoidentifikaci – posouzení, zda poskytujete regulovanou službu
  2. Ohlášení služby prostřednictvím Portálu NÚKIB
  3. NÚKIB vás následně zaregistruje a určí režim

Důležité: Některé případy posuzuje NÚKIB sám z moci úřední (např. u sporných nebo hraničních případů).

Může se režim změnit?

Ano. Pokud se změní okolnosti, může dojít k přechodu mezi režimy:

Z nižšího do vyššího režimu

Důvody přechodu:

  • Významný růst firmy (počet zaměstnanců, obrat)
  • Rozšíření služeb do kritičtější oblasti
  • Změna systémového významu
  • Nové závislosti jiných subjektů na vaší službě

Co to znamená: Musíte během přiměřené lhůty zavést přísnější opatření vyššího režimu.

Z vyššího do nižšího režimu

Možné, ale méně časté:

  • Zúžení rozsahu služeb
  • Pokles velikosti organizace
  • Ztráta kritického významu

Klíčové pravidlo: Jeden režim pro celou organizaci

Pozor: Pokud alespoň jedna z vašich regulovaných služeb spadá do režimu vyšších povinností, celá organizace se řídí tímto vyšším režimem – i u ostatních služeb.

Příklad: Společnost poskytuje:

  • Službu A v režimu vyšších povinností (kritická infrastruktura)
  • Službu B v režimu nižších povinností (lokální služba)
  • Službu C v režimu nižších povinností (podpůrná služba)

Celá společnost se řídí režimem vyšších povinností.

Co dělat hned teď: Konkrétní kroky pro management

1. Proveďte rychlé posouzení (tento týden)

  • Ověřte, zda poskytujete regulovanou službu
  • Odhadněte pravděpodobný režim
  • Využijte online nástroje (kalkulačka NÚKIB, NIS2 Compass)

2. Zmapujte aktuální stav (do konce měsíce)

  • Jaká bezpečnostní opatření už máte?
  • Kde máte největší mezery?
  • Kolik času a prostředků bude potřeba?

Tip: Nástroj Kraita Cyber One automaticky provede GAP analýzu a během minut vám ukáže, kde jste a co vám chybí k souladu se zákonem.

3. Naplánujte implementaci (do konce roku)

  • Sestavte akční plán s konkrétními kroky
  • Alokujte rozpočet (hardware, software, školení, případně externí podpora)
  • Určete odpovědné osoby
  • Komunikujte změny týmu

4. Registrujte se včas (do 29. prosince 2025)

  • Máte 60 dní od účinnosti zákona (1. listopadu 2025)
  • Ohlaste regulovanou službu přes Portál NÚKIB
  • Připravte potřebné údaje a dokumentaci

5. Implementujte opatření (do listopadu 2026)

  • Po registraci máte 1 rok na zavedení všech požadovaných opatření
  • Nečekejte na poslední chvíli – kapacity konzultantů budou omezené
  • Průběžně dokumentujte pokrok

Náklady: S čím počítat?

Investice závisí na vašem režimu a aktuálním stavu:

Režim vyšších povinností

Očekávané náklady:

  • Externí konzultant/CISO: 500 000 – 2 000 000 Kč/rok
  • Technologie (SIEM, EDR, nástroje): 300 000 – 1 500 000 Kč jednorázově + provoz
  • Školení a vzdělávání: 100 000 – 300 000 Kč/rok
  • Audity a penetrační testy: 200 000 – 500 000 Kč/rok

Celkem: Řádově 1–5 milionů Kč v prvním roce, pak 500 000 – 2 000 000 Kč ročně.

Režim nižších povinností

Očekávané náklady:

  • Základní technologie: 100 000 – 500 000 Kč jednorázově
  • Školení: 50 000 – 150 000 Kč/rok
  • Externí podpora (částečná): 200 000 – 500 000 Kč/rok
  • Nástroj pro správu compliance (Kraita): 50 000 – 150 000 Kč/rok

Celkem: Řádově 300 000 – 1 milion Kč v prvním roce, pak 200 000 – 500 000 Kč ročně.

Alternativa: Chytré řešení s Kraita Cyber One

Nástroj Kraita Cyber One dokáže výrazně snížit náklady i čas:

  • Automatická GAP analýza během minut (místo týdnů práce konzultanta)
  • Generování dokumentace na míru vaší firmě
  • Průběžná správa opatření, incidentů a dodavatelů
  • Aktualizace dle změn legislativy
  • Úspora 40–60 % nákladů oproti klasickému přístupu

Nejčastější otázky manažerů

„Jsme malá firma, nemůžeme ignorovat zákon?"

Ne. Pokud splňujete kritéria (50+ zaměstnanců NEBO 10+ mil. EUR obrat) a poskytujete regulovanou službu, zákon se na vás vztahuje. Ignorování může vést k pokutám a osobní odpovědnosti vedení.

„Kolik času to zabere našemu IT týmu?"

Závisí na režimu a aktuálním stavu:

  • Vyšší režim: 500–1000 hodin v prvním roce (implementace + dokumentace)
  • Nižší režim: 200–400 hodin v prvním roce

S nástrojem jako Kraita můžete čas snížit o 50–70 %.

„Co když to nestihneme do lhůty?"

Máte rok od registrace na implementaci. Pokud začnete teď, měli byste to stihnout. Ale pozor:

  • Konzultanti budou vytížení
  • Některá opatření trvají měsíce (např. nasazení SIEM, proškolení týmu)
  • Doporučení: Začněte do 3 měsíců od účinnosti zákona

„Můžeme využít dotace?"

Ano, EU plánuje dotační programy na podporu kybernetické bezpečnosti. Sledujte informace od NÚKIB a Ministerstva průmyslu a obchodu.

Shrnutí: Co si zapamatovat

Dva režimy: Vyšší (kritické subjekty) a nižší (ostatní regulované subjekty) s různou mírou požadavků

Záleží na významu: Velikost, dosah, systémová závislost, kritičnost pro stát

Jeden režim pro vše: Pokud alespoň jedna služba spadá do vyššího režimu, platí pro celou organizaci

Klíčové lhůty:

  • 1. listopadu 2025 – účinnost zákona
  • 60 dní – ohlášení regulované služby
  • 1 rok od registrace – implementace opatření

Sankce jsou reálné: Pokuty až 250 mil. Kč, osobní odpovědnost vedení, zákaz výkonu funkce

Začněte teď: Posouzení, plánování, alokace rozpočtu – čím dříve, tím lépe

Pomoc je dostupná: Nástroje jako Kraita Cyber One výrazně zjednodušují cestu k souladu

Další kroky: Jak vám pomůže Kraita Cyber One

Kraita Cyber One je AI nástroj vyvinutý přímo pro český zákon o kybernetické bezpečnosti:

✓ NIS2 Compass

Během 5 minut zjistíte:

  • Zda spadáte pod zákon
  • Jaký je váš pravděpodobný režim
  • Jaké konkrétní povinnosti vás čekají

✓ Automatická GAP analýza

Okamžitý přehled:

  • Co už máte splněné
  • Kde máte mezery
  • Konkrétní kroky k nápravě

✓ Akční plán na míru

Nástroj vygeneruje:

  • Prioritizovaný seznam úkolů
  • Časový harmonogram
  • Doporučená opatření pro váš režim

✓ Generování dokumentace

Automaticky vytvoří:

  • Bezpečnostní politiky
  • Registr rizik
  • Plány reakce na incidenty
  • Záznamy pro NÚKIB

✓ Průběžná správa

Jeden nástroj pro:

  • Řízení incidentů
  • Evidenci dodavatelů
  • Sledování plnění povinností
  • Přípravu na audity

Závěr: Režim je počátek, ne konec cesty

Určení vašeho režimu je teprve začátek. Ať už spadáte do vyšších nebo nižších povinností, cíl je stejný: ochránit vaši firmu před kybernetickými hrozbami a zároveň splnit zákonné požadavky.

Nový zákon není jen byrokratická zátěž – je to příležitost systematicky zlepšit bezpečnost, získat konkurenční výhodu a ukázat zákazníkům i partnerům, že kybernetickou bezpečnost berete vážně.

Nezapomeňte: Čím dříve začnete, tím klidnější budete mít spaní. A nástroje jako Kraita Cyber One jsou tu proto, aby vám cestu maximálně usnadnily.

Chcete vědět, do jakého režimu spadáte? Vyzkoušejte bezplatný NIS2 Compass v nástroji Kraita Cyber One nebo si domluvte nezávaznou konzultaci s našimi experty.

→ Zjistěte svůj režim během 5 minut

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies