6

Co je to režim VYŠŠÍCH povinností?

/ Články, ZoKB / Napsal

Co je to režim VYŠŠÍCH povinností?

Organizacni opatreni vyssi rezim System rizeni bezpecnosti informaci Povinnosti pro vrcholove vedeni Bezpecnostni role Rizeni bezpecnostni politiky a bezpecnostni dokumentace Rizeni aktiv 2

Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) mění přístup ke kybernetické bezpečnosti v České republice. Jednou z klíčových oblastí je rozdělení regulovaných subjektů do dvou režimů – režimu nižších povinností a režimu vyšších povinností.

Tento článek se zaměřuje na režim vyšších povinností, který se týká organizací s největším dopadem na společnost, ekonomiku a bezpečnost státu.

 

Proč existuje režim vyšších povinností?

Režim vyšších povinností je určen pro subjekty, jejichž:

  • narušení provozu by mohlo mít závažné nebo systémové dopady,

  • výpadek by mohl ohrozit životy, zdraví, ekonomickou stabilitu nebo důvěru veřejnosti,

  • služby jsou klíčové pro chod společnosti.

Zákon vychází z principu, že čím větší riziko, tím vyšší odpovědnost.

 

Co je režim vyšších povinností?

Režim vyšších povinností představuje nejpřísnější bezpečnostní režim podle kybernetického zákona. Organizace v tomto režimu musí:

  • systematicky řídit kybernetická rizika,

  • zavést rozsáhlá technická a organizační opatření,

  • mít jasně definované role, procesy a odpovědnosti,

  • aktivně spolupracovat s dohledovým orgánem (NÚKIB).

Nejde o jednorázovou povinnost, ale o dlouhodobý a kontinuální proces.

 

Koho se režim vyšších povinností týká?

Režim vyšších povinností se vztahuje na vybrané poskytovatele regulovaných služeb, jejichž činnost je považována za vysoce významnou.

Typicky jde například o:

  • provozovatele kritické infrastruktury,

  • subjekty ve strategických odvětvích (energie, doprava, zdravotnictví, finance),

  • velké poskytovatele digitálních a cloudových služeb,

  • organizace s vysokým počtem uživatelů nebo citlivých dat.

⚠️ Zařazení do režimu vyšších povinností není dobrovolné a vyplývá z posouzení charakteru služby podle zákona.

 

Jaké povinnosti mají subjekty v režimu vyšších povinností?

🔐 Komplexní řízení kybernetické bezpečnosti

📄 Rozsáhlá dokumentace

🚨 Řízení a hlášení incidentů

  • povinnost rychlého a strukturovaného hlášení incidentů,

  • spolupráce s NÚKIB,

  • připravené scénáře reakce a obnovy.

👥 Odpovědnost vrcholného vedení

  • vedení nese přímou odpovědnost za kybernetickou bezpečnost,

  • povinnost pravidelného školení vrcholového vedení,

  • jasné vymezení kompetencí a odpovědných osob.

🔁 Pravidelná kontrola a zlepšování

 

 

Jaký je rozdíl oproti režimu nižších povinností?

Zjednodušeně řečeno:

  • režim nižších povinností klade důraz na základní bezpečnostní minimum,

  • režim vyšších povinností vyžaduje systematický a komplexní přístup s vyšší mírou kontroly.

Rozdíl není jen v množství zavedených opatření, ale především v hloubce řízení rizik a odpovědnosti vedení.

 

Co hrozí při nesplnění povinností?

Nesplnění povinností v režimu vyšších povinností může vést k:

  • vysokým finančním sankcím,

  • reputačním škodám,

  • ohrožení provozu organizace.

Kybernetická bezpečnost se tak stává strategickým tématem řízení organizace, nikoli pouze technickou záležitostí IT oddělení.

 

Jak se na režim vyšších povinností připravit?

Klíčové kroky:

  1. Identifikovat, zda poskytujete regulovanou službu.

  2. Ověřit, že spadáte do režimu vyšších povinností. Viz EduKyb KONZULTACE

  3. Zavést odpovídající bezpečnostní opatření. Viz školení na režim NIŽŠÍCH či VYŠŠÍCH povinností

  4. Nastavit procesy, role a dokumentaci.

  5. Proškolit vrcholné vedení a klíčové osoby. Viz školení pro VRCHOLNÉ VEDENÍ

  6. Pravidelně stav bezpečnosti vyhodnocovat.