Jednou z hlavních změn ZOKB je navýšení počtu povinných subjektů, na které dopadnou pravidla nové legislativy v oblasti kybernetické bezpečnosti. Předchozí právní úprava se soustředila primárně na veřejný sektor, nově však pravidla dopadnou i na široké spektrum soukromých subjektů poskytujících tzv. „regulované služby“. Mezi ně můžeme zařadit například finanční instituce, telekomunikační operátory, provozovatele cloudových služeb a datových center nebo společnosti působící v energetickém průmyslu či v dopravě. 

Okruh povinných subjektů, na které nový ZOKB dopadá, se podstatně rozšířil a celá řada „regulovaných subjektů“ o tom někdy ani neví. Řada organizací se totiž mylně domnívá, že se na ně nový ZOKB nevztahuje. V důsledku takové nevědomosti pak může velmi rychle dojít k porušení zákonných povinností. Tím může být například opomenutí informovat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) o své činnosti, zavést zákonem vyžadovaná bezpečnostní opatření nebo podávat hlášení o bezpečnostních incidentech.

Další častou chybou povinných subjektů bývá nedostatečná inventarizace IT aktiv, jako např. serverů a softwarových aplikací, cloudových služeb, elektronických databází či externích IT dodavatelů. Regulované subjekty také mnohdy zapomínají na kvalitní řízení dodavatelského řetězce, což je velký problém vzhledem k tomu, že podstatná část kybernetických útoků je dnes vedena právě přes subdodavatele. Proto je důležité mít nejen perfektní přehled o všech externích poskytovatelích softwaru, IT či cloudových služeb, ale také zajistit, aby ve smlouvách s těmito subjekty byla obsažena ustanovení vyhovující ZOKB. Zejména s ohledem na bezpečnostní požadavky, správu přístupů a uživatelských práv, provádění pravidelných auditů nebo hlášení incidentů a kybernetických útoků.

Typickou chybou regulovaných subjektů při implementaci zákonných povinností bývá nepochopení základního smyslu a účelu ZOKB. Ke splnění zákonných povinností totiž nestačí pouze zakoupit a implementovat potřebné bezpečnostní technologie a vypracovat zákonem požadovanou dokumentaci, která je následně „vložena do šuplíku“. Zákon vyžaduje aktivní a průběžné řízení bezpečnostních rizik, včetně řízení přístupů, incidentů, dodavatelů nebo uplatňování bezpečnostní politiky. 

Technologie je jen podpůrný nástroj, který pomáhá zmíněné procesy realizovat – sama o sobě však nestačí. Pokud společnost například zakoupí bezpečnostní software, ale nikdo už v praxi nesleduje a nevyhodnocuje vygenerovaná bezpečnostní upozornění, bude systém v konečném důsledku nefunkční, a nedojde tím pádem ani ke splnění zákonných povinností. Podobně i v případě, kdy dojde k vypracování bezpečnostních směrnic, ale odpovědní zaměstnanci je nebudou znát a nebudou aplikovat jimi stanovené postupy v praxi, tak rovněž nedojde ke splnění zákonných povinností. Povinné subjekty si také mnohdy neuvědomují, že pro splnění zákonných požadavků nestačí bezpečnostní opatření nastavit jednou (na počátku), ale je nutné je pravidelně analyzovat, vyhodnocovat a přizpůsobovat rychle se měnícímu prostředí.

V praxi je zásadní nejprve provést důkladnou analýzu dopadů nového zákona na společnost a zapojit do toho nejen IT oddělení, ale i právní (popř. compliance) oddělení a v neposlední řadě také vrcholový management. V prvé řadě to znamená zjistit, zda organizace spadá pod ZOKB, a pokud ano, jaké konkrétní povinnosti z toho pro ni vyplývají. Povinný subjekt pak musí informovat NÚKIB o své činnosti prostřednictvím digitálního dotazníku, na základě čehož jej úřad oficiálně zapíše do příslušné evidence regulovaných entit. 

V další fázi by mělo dojít ke srovnání současného stavu s konkrétními požadavky zákona (tzv. gap analýza) a k vytvoření plánu, kterým dojde k zacelení zjištěných mezer a k doplnění chybějících bezpečnostních opatření. Každý subjekt je povinen začít s implementací bezpečnostních opatření nejpozději do jednoho roku od obdržení rozhodnutí NÚKIB o registraci. Přesnou podobu jednotlivých opatření i technické detaily jejich realizace pak určí metodika vydaná NÚKIB.