Zásadní změnou je, že prvotní posouzení je nyní povinností samotných organizací. Organizace musí vyhodnotit, zda poskytují tzv. regulovanou službu, a zároveň naplňují kritéria středního či velkého podniku. Pokud ano, vzniká jim povinnost provést registraci a ohlásit se na Portálu NÚKIBu, a to nejpozději do 60 dnů ode dne, kdy tyto podmínky splní.

Právě ve fázi samoidentifikace vzniká nejvíce nedorozumění. Organizace často při posuzování poskytování regulované služby vycházejí pouze z formálního předmětu podnikání nebo zařazení podle CZ-NACE, místo aby porovnaly své skutečné činnosti s výčtem regulovaných služeb podle vyhlášky č. 408/2025 Sb. Typicky se přehlíží vnitroskupinové poskytování IT (např. bezpečnostní řízená služba, cloud computing). Praktickým doporučením je, aby si organizace k závěru o (ne)samoidentifikaci zpracovaly krátký auditovatelný záznam (jaké služby poskytují, proč (ne)spadají do regulace, a o jaké podklady svůj závěr opírají).

Po doručení rozhodnutí NÚKIBu o registraci regulované služby začínají běžet zákonné lhůty. Organizace musí zahájit zavádění a provádění bezpečnostních opatření nejpozději do 1 roku ode dne doručení rozhodnutí NÚKIB o registraci.

Rozsah povinností se liší podle toho, zda organizace spadá do vyššího, nebo nižšího režimu, přičemž zařazení se odvíjí zejména od typu regulované služby a velikosti organizace.

Rozdíl mezi režimy má nejen technický, ale i organizační a odpovědnostní rozměr. Ve vyšším režimu je kybernetická bezpečnost agendou vrcholového vedení, které musí nastavit systém řízení rizik, schvalovat klíčová opatření a vykonávat dohled nad jejich zavedením. Odpovědnost nelze jednoduše delegovat na IT oddělení. Vyšší režim zpravidla znamená systematičtější práci s aktivy, dodavateli a průběžným řízením rizik. Pokud jsou opatření plněna prostřednictvím dodavatelů, musí se odpovídající požadavky promítnout i do smluvního nastavení. Nižší režim je méně náročný, ale i zde požaduje zákon a prováděcí vyhláška funkční procesy, určuje odpovědnost vrcholového vedení a nastavuje požadovanou úroveň zabezpečení optikou zásady přiměřenosti. Tato zásada znamená, že způsob zavedení a provádění bezpečnostních opatření volí organizace podle svých bezpečnostních potřeb – zejména s ohledem na velikost organizace, dostupné zdroje a pravděpodobnost i dopad incidentů (včetně kritičnosti služby).

Sankční rizika mohou být velmi významná – u vybraných porušení mohou pokuty dosahovat až do výše 250 milionů korun nebo 2 % celosvětového ročního obratu (podle toho, která částka je vyšší). Ve vyšším režimu navíc přichází v úvahu i dočasný zákaz výkonu funkce člena statutárního orgánu. Za největší riziko však lze považovat nepřipravenost organizace na kybernetický incident a neprofesionální řízení situace v prvních hodinách po incidentu – včetně absence průkazné dokumentace o přijatých krocích.

Jako nejefektivnější se osvědčuje následující postup:

Nový zákon o kybernetické bezpečnosti není jen další regulatorní povinností – mění způsob, jak organizace přemýšlejí o kybernetických rizicích. Kybernetická bezpečnost se stává odpovědností vrcholového managementu a vyžaduje strategické řízení rizik, jasné role a prokazatelné procesy.