Blog
Výzva od NÚKIB v datové schránce: Co to znamená a jak na ni správně odpovědět

Výzva od NÚKIB v datové schránce: Co to znamená a jak na ni správně odpovědět

David Martínek
24. dubna 2026
8 min čtení

Zamrzne vám úsměv, když otevřete datovku a uvidíte "NÚKIB"?

Pokud vám v těchto dnech přistála do datové schránky zpráva s hlavičkou Národního úřadu pro kybernetickou a informační bezpečnost a podpisem Adama Kučínského, ředitele odboru regulace, patrně jste během pár sekund zjistili několik věcí: že existuje nějaký zákon č. 264/2025 Sb., že se vás možná týká a že podle úřadu už jste něco měli stihnout ohlásit.

Dobrá zpráva: nejste v tom sami a není to konec světa.

Špatná zpráva: ignorovat to opravdu nelze. A čím dřív se do toho pustíte, tím míň stresu zažijete.

Pojďme si tu „Výzvu k prověření naplnění kritérií podle zákona o kybernetické bezpečnosti" rozebrat tak, abyste za deset minut věděli, co to je, proč jste ji dostali a co přesně máte dělat.

Co je to výzva od NÚKIB a proč ji máte v datovce

Od 1. listopadu 2025 je účinný nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který do českého právního řádu přenáší evropskou směrnici NIS2. Zákon výrazně rozšířil okruh firem, na které dopadají povinnosti v oblasti kyberbezpečnosti – NÚKIB odhaduje, že nově se regulace týká zhruba 6 000 subjektů (dřív jich byly stovky).

Jestli do této skupiny patříte či nikoli, se řídí vyhláškou č. 408/2025 Sb., o regulovaných službách. Ta v příloze obsahuje tabulku, kde:

  • v levém sloupci najdete výčet regulovaných služeb (energetika, zdravotnictví, výroba, IT služby, digitální infrastruktura atd.)
  • v pravém sloupci jsou kritéria významnosti (velikost podniku, počet uživatelů, geografický rozsah apod.)

Pokud firma splňuje oboje – tedy poskytuje některou z uvedených služeb a naplňuje kritéria významnosti – stává se ze zákona poskytovatelem regulované služby a má povinnost se ohlásit na Portálu NÚKIB.

A tady přichází na řadu ta výzva. NÚKIB si totiž na základě dostupných dat (rejstříky, CZ-NACE, veřejně dostupné informace) vytipoval firmy, u kterých má podezření, že kritéria naplňují, ale v registru je zatím nevidí. Aby vás „popohnal", pošle vám tu nenápadně vyhlížející výzvu s číslem jednacím a podpisem ředitele odboru regulace. A my vám její znění přeložíme do lidštiny:

„Myslíme si, že byste se měli ohlásit. Prověřte si to. A pokud ano, udělejte to. Pokud ne, dejte nám vědět."

Co se stane, když výzvu ignorujete

Pojďme rovnou k nepříjemné části, ať to máme za sebou.

Ohlášení regulované služby je zákonná povinnost podle § 6 odst. 1 zákona 264/2025 Sb. Její nesplnění je podle § 60 odst. 1 písm. a) přestupkem, za který lze podle § 60 odst. 7 písm. a) uložit pokutu:

až 250 000 000 Kč, nebo až 2 % čistého celosvětového ročního obratu podniku (ve smyslu evropského soutěžního práva podle čl. 101 a 102 SFEU, tedy včetně celé skupiny propojených firem), jehož je obviněný součástí – podle toho, která částka je vyšší.

Ano, čtete dobře – čtvrt miliardy. V praxi samozřejmě NÚKIB nebude hned “trhat hlavy”, ale sankční rámec je nastavený velmi vysoko právě proto, aby si firmy povinnost nerozmýšlely. Plus samozřejmě hrozí správní řízení se vším, co k němu patří – čas, právníci, dokumentace.

A ještě jedna věc: pokud jste regulovanou službu podle vyhlášky poskytovali už k datu účinnosti zákona (tedy k 1. 11. 2025), lhůta pro ohlášení uplynula už 31. prosince 2025. Takže pokud jste to tehdy nestihli, jste technicky v prodlení a čím dřív situaci napravíte, tím lépe.

Tři scénáře a co v každém z nich dělat

Po přečtení výzvy se ocitnete v jednom ze tří stavů. Pro každý existuje jasný postup.

Scénář A: Regulovanou službu poskytujete

Zkontrolovali jste kalkulačku, přečetli vyhlášku a je to jasné – spadáte. V tomhle případě:

  1. Bez zbytečného odkladu proveďte ohlášení na Portálu NÚKIB (portal.nukib.gov.cz).
  2. Ohlášení podává statutární orgán nebo jím pověřený zástupce, přihlášení probíhá přes Identitu občana (BankID, eObčanka nebo NIA ID).
  3. Od dubna 2026 funguje jednotný formulář „Ohlášení a správa regulované služby", který nahradil dva předchozí oddělené formuláře.
  4. Ohlásíte každou regulovanou službu – pokud jich poskytujete víc, uvedete všechny do jednoho dokumentu.
  5. Po odeslání dostanete potvrzení na e-mail a unikátní identifikátor služby – uložte si ho, budete ho potřebovat.

Pozor: pokud ve statutárním orgánu máte někoho, kdo nemá Identitu občana (typicky cizince), lze pověřit zmocněnce přes datovou schránku. Detaily najdete v sekci „Pověření zástupce" na Portálu NÚKIB.

Scénář B: Regulovanou službu neposkytujete

Prošli jste vyhlášku, pustili kalkulačku a jste přesvědčeni, že do regulace nespadáte. Super – ale neházet výzvu do koše. NÚKIB ve výzvě sám uvádí:

V případě, že jste posouzení provedli a neshledali naplnění vyhláškou daných kritérií, žádáme Vás o zaslání této informace do datové schránky NÚKIB (ID: zzfnkp3).

Prakticky to znamená:

  1. Vyhotovte krátké „Oznámení o nenaplnění kritérií regulované služby" – uveďte, že jste kritéria posoudili a nenaplňujete je.
  2. Ideálně přiložte stručné odůvodnění (např. „Nejsme středním ani velkým podnikem ve smyslu doporučení Komise 2003/361/ES", „Neposkytujeme žádnou ze služeb uvedených v příloze vyhlášky 408/2025 Sb." apod.).
  3. Pošlete do datové schránky NÚKIB (zzfnkp3), v předmětu datové zprávy uveďte „Oznámení o nenaplnění kritérií regulované služby".

Bez této odpovědi hrozí, že NÚKIB i přes váš negativní závěr zahájí přezkumné správní řízení. S ní se celá věc uzavře administrativně, bez dalších komplikací.

Scénář C: Nejste si jistí (pravděpodobně většina)

Tohle je nejčastější situace. Vyhláška 408/2025 Sb. není úplně polopatické čtení, definice podniku přes evropské doporučení 2003/361/ES má svoje fígle a vy potřebujete jistotu.

Postup:

  1. Pustit kalkulačku NÚKIB na portal.nukib.gov.cz/kalkulacka – dá vám orientační výsledek, jestli regulované služby poskytujete a v jakém režimu (nižší / vyšší povinnosti). Není to oficiální stanovisko, ale dobrá výchozí pozice.
  2. Projít přílohu vyhlášky 408/2025 Sb. – hlavně v oblastech, kde operujete. Pokud jste dodavatel pro nemocnice, posuďte zdravotnictví. Pokud provozujete ERP v cloudu, podívejte se na digitální infrastrukturu a digitální služby. A tak dále.
  3. Posoudit velikost podniku – zákon pro účely ohlašovací povinnosti upravuje pravidla oproti evropskému doporučení (viz § 7 zákona 264/2025 Sb.). Např. se neuplatní čl. 3 odst. 4 doporučení 2003/361/ES, organizační složky státu a územní samosprávné celky se za podnik nepovažují atd.
  4. Konzultovat – ať už interně s právníky, s externím konzultantem nebo s nástrojem, který vás problematikou provede krok za krokem.

Co konkrétně potřebujete mít při ohlášení připravené

Formulář na Portálu NÚKIB se vyplňuje v jednom kroku a průběžně se neukládá, takže doporučujeme mít vše po ruce předem. Konkrétně:

  • Základní identifikace firmy (většinou se automaticky načte z registrů)
  • Velikost podniku – konsolidovaný počet zaměstnanců, roční obrat, bilanční suma rozvahy
  • Seznam kontaktních osob (jméno, příjmení, telefon, e-mail) – pokud nemáte hned, lze doplnit do 30 dnů od rozhodnutí o registraci
  • Seznam veřejných IP adres a domén vztahujících se k regulované službě – opět, lze doplnit dodatečně
  • Doplňující údaje podle charakteru služby (např. licence na výrobu elektřiny, počet uživatelů, geografický rozsah)

Po odeslání NÚKIB ohlášení posoudí a vydá rozhodnutí o registraci, kterým se oficiálně zařadíte mezi regulované subjekty. Od doručení tohoto rozhodnutí vám začne běžet roční lhůta na zavedení bezpečnostních opatření podle příslušné vyhlášky (409/2025 Sb. pro vyšší režim, 410/2025 Sb. pro nižší režim).

Praktické poznámky z terénu

Pár věcí, na které firmy často narážejí:

Ohlašujete službu, ne firmu. Na Portál NÚKIB se nehlásí organizace jako celek – hlásí se jednotlivé regulované služby. Pokud jich poskytujete víc, uvedete je všechny do jednoho formuláře, každá dostane vlastní identifikátor.

Datová schránka je povinná komunikace. NÚKIB s vámi bude komunikovat elektronicky. Pokud datovou schránku nepoužíváte aktivně, teď je ideální čas to napravit – a hlavně někomu přidělit odpovědnost, aby ji pravidelně kontroloval.

Nenechávejte to na účetní ani na IT. Ohlášení je právně významný úkon, měl by ho podepisovat statutární orgán nebo výslovně pověřený zástupce. V IT je logistika, ale rozhodnutí o tom, co je regulovaná služba, patří do kompetence vedení.

Pokud máte ve statutárce cizince. Ne všichni cizinci mohou používat Identitu občana. Řešení – pověření zástupce přes datovou schránku (plná moc se stahuje přímo z Portálu NÚKIB, nemusí být podepsaná, pouze se odešle z DS organizace do DS NÚKIB). Ale ověřte si, jestli ve statutárce máte alespoň jednu osobu s Identitou občana – pokud ano, pověření se dělá přes ni, což má přednost.

Ohlášením to nekončí. Registrace je první zákonná povinnost, ne poslední. Následně máte 30 dnů na doplnění kontaktních a doplňujících údajů a zhruba rok na implementaci bezpečnostních opatření – gap analýza, evidence aktiv, řízení rizik, technická opatření, plány kontinuity, školení zaměstnanců a celá další knihovna věcí.

Co když výzvu dostala firma, která už se ohlásila

NÚKIB ve výzvě sám říká:

Jestliže jste již ohlášení všech svých regulovaných služeb do doby doručení tohoto dopisu provedli, považujte tuto výzvu za bezpředmětnou.

Takže pokud jste ohlášení stihli v prosinci 2025 nebo kdykoli později, ale zpráva vám i přesto přišla, nepanikařte. Pravděpodobně jde o časový posun v evidenci nebo o situaci, kdy NÚKIB identifikoval, že byste mohli poskytovat další regulovanou službu, kterou jste v prvním ohlášení neuvedli. V takovém případě si zrevidujte své ohlášení a posuďte, jestli neevidujete službu navíc.

Nejsme na to sami – jak s tím pomáháme v Kraitě

Přiznejme si to – pro firmu, která zatím kyberbezpečnost řešila hlavně přes antivirus a zálohy, je to od začátku listopadu tak trochu tsunami. Nejdřív registrace, pak rok na implementaci, dokumentace, školení, hlášení incidentů do 24 hodin… A k tomu právní formulace, které si žádají víc než jednu silnou kávu.

Kraita Cyber One byla postavená přesně pro tuhle situaci. Umí:

  • během chvíle vyhodnotit, jestli vaše firma spadá pod zákon a v jakém režimu
  • provést vás gap analýzou podle vyhlášek 409/2025 a 410/2025 Sb.
  • vygenerovat povinnou dokumentaci (bezpečnostní politiky, evidenci aktiv, hodnocení rizik, plán obnovy…)
  • držet vás v souladu kontinuálně, ne jen kvůli jednomu auditu
  • propojit to s tím, co už máte – bez zbytečného dvojího papírování

Nejsme advokáti a nevyplníme za vás formulář na Portálu NÚKIB (to musí podepsat vaše statutárka). Ale všechno, co přijde po ohlášení – tedy tu pořádnou porci implementace – umíme udělat rychle, správně a bez stresu.

Co s tím teď?

Vyzkoušet Kraita Cyber One zdarma – uvidíte, v jakém jste stavu a co vás čeká
Domluvit si nezávaznou konzultaci (15–20 min) – projdeme vaši situaci a doporučíme další kroky

Ať tak nebo tak – tu výzvu z datovky nenechte ležet. Čím dřív se k ní postavíte čelem, tím méně bude bolet.

Full name
David Martínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies