6

Co je to režim NIŽŠÍCH povinností?

/ Články, ZoKB / Napsal

Co je to režim NIŽŠÍCH povinností?

Organizacni opatreni vyssi rezim System rizeni bezpecnosti informaci Povinnosti pro vrcholove vedeni Bezpecnostni role Rizeni bezpecnostni politiky a bezpecnostni dokumentace Rizeni aktiv 2

Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) přináší zásadní změny pro organizace, které poskytují tzv. regulované služby. Jednou z klíčových novinek je rozdělení povinností podle míry rizika – a právě zde se objevuje pojem režim nižších povinností.

Co tento režim znamená, koho se týká a jaké povinnosti z něj vyplývají?

 

Proč vznikl režim nižších povinností?

Cílem nového kybernetického zákona je:

  • zvýšit odolnost organizací proti kybernetickým hrozbám,

  • nezatěžovat zbytečně subjekty, jejichž činnost nepředstavuje vysoké riziko,

  • nastavit přiměřená bezpečnostní opatření podle významu a dopadu služby.

Rozsah povinností se liší. Právě proto zákon zavádí dva základní režimy:

  • režim vyšších povinností,

  • režim nižších povinností.

 

Co je režim nižších povinností?

Režim nižších povinností je mírnější bezpečnostní režim určený pro organizace, které:

  • poskytují regulovanou službu,

  • ale jejich narušení by nemělo zásadní dopad na stát, ekonomiku nebo bezpečnost obyvatel,

  • typicky jde o menší organizace nebo služby s omezeným rozsahem.

Tyto subjekty nejsou vyňaty ze zákona, ale mají méně povinností než subjekty v režimu vyšších povinností.

 

Koho se režim nižších povinností týká?

Režim se vztahuje na vybrané poskytovatele regulovaných služeb, kteří:

  • spadají pod zákon,

  • ale podle kritérií NÚKIB nejsou považováni za vysoce kritické.

Typicky může jít například o:

  • menší poskytovatele digitálních služeb,

  • některé IT služby,

  • organizace, jejichž výpadek by měl omezený dopad.

⚠️ Zařazení do režimu neurčuje organizace sama, ale vyplývá z charakteru služby a zákonných kritérií.

 

Jaké povinnosti mají subjekty v režimu nižších povinností?

I když jde o „nižší“ režim, povinnosti rozhodně nejsou zanedbatelné. Organizace musí zejména:

✔️ Zavést základní bezpečnostní opatření

✔️ Řešit kybernetické bezpečnostní incidenty

  • mít nastavený proces pro jejich identifikaci,

  • reagovat na incidenty,

  • plnit oznamovací povinnosti.

✔️ Zajistit odpovědnost vedení

  • vedení organizace nese odpovědnost za kybernetickou bezpečnost,

  • vrcholové vedení se musí prokazatelně seznámit se svými povinnostmi.

✔️ Dokumentovat vybrané procesy

  • základní bezpečnostní dokumentace,

  • přehled odpovědností a rolí.

 

Co režim nižších povinností NEZNAMENÁ?

Častá chyba organizací je domněnka, že:

„Jsme v režimu nižších povinností, tak se nás kybernetická bezpečnost vlastně moc netýká.“

OPAK JE PRAVDOU

Režim nižších povinností:

  • ❌ neznamená, že nejsou žádné povinnosti,

  • ❌ neznamená, že není nutné školit vedení,

  • ❌ neznamená, že nehrozí sankce.

Zákon počítá s kontrolami i s postihy v případě nesplnění povinností – bez ohledu na režim.

 

Jak se na režim nižších povinností připravit?

Základními kroky jsou:

  1. Zjistit, zda jste regulovaným subjektem podle zákona.

  2. Vyhodnotit, do jakého režimu spadáte. Viz EduKyb KONZULTACE

  3. Nastavit přiměřená bezpečnostní opatření. Viz školení na režim NIŽŠÍCH či VYŠŠÍCH povinností

  4. Proškolit vrcholné vedení v rozsahu požadovaném zákonem. Viz školení pro VRCHOLNÉ VEDENÍ

  5. Pravidelně opatření udržovat a aktualizovat.

 

Shrnutí

Režim nižších povinností je kompromisem mezi bezpečností a přiměřenou administrativní zátěží. Organizacím dává prostor splnit zákonné požadavky efektivně a bez zbytečné byrokracie, ale zároveň je zavazuje k odpovědnému přístupu ke kybernetické bezpečnosti.