Samoidentifikace, které někdo říká trochu vznešeně „sebeurčení“, je už z názvu proces, který by měla firma podstoupit z vlastní iniciativy. Jeho cílem je zjistit, jestli musí řešit kybernetickou bezpečnost v určitém rozsahu povinně. Nebo jen nepovinně, pro svoje vlastní dobro.
Zní to složitě? Nebojte. Je to vlastně takový dotazník, který si vyplníte sami. Pojďme se podívat, jak na to krok za krokem.
Krok 1: Jste dost velcí?
První filtr je velikost vaší firmy. Zákon se totiž primárně zaměřuje na střední a velké podniky. Pokud jste mikropodnik nebo malá firma, s největší pravděpodobností si můžete oddychnout.
Jak se to pozná? Podle doporučení Evropské komise:
- Střední podnik: Máte méně než 250 zaměstnanců a roční obrat nebo bilanční sumu roční rozvahy do 50 milionů eur.
- Velký podnik: Jste nad těmito čísly.
Když překročíte zaměstnance, jste automaticky střední nebo velká firma bez ohledu na finance (to ale ještě neznamená, že spadáte pod NZKB, mrkněte na krok 2 níže). U finančních ukazatelů si můžete vybírat, překročení jednoho ze dvou není problém.
Zaměstnanci se počítají podle tzv. ročních pracovních jednotek (RPJ). Vezme se zaměstnanec pracující celý rok na full-time, to je 1 RPJ. A pak se dopočítává u zaměstnanců s nižším úvazkem nebo pracujících pro firmu jen část roku poměrně.
Jednou z častých otázek je „Když překročím, tak odkdy musím pravidla podle zákona začít plnit“? Tady je naštěstí celkem vstřícné „pravidlo dvou let.“ Když v roce 2025 překročíte poprvé třeba počet 50 zaměstnanců, ještě v roce 2026 nemusíte nic řešit. Pokud se tak ale stane znovu i v roce 2026, tak už se po konci roku musíte sebeidentifikovat a nahlásit NÚKIB. Totéž platí pro obrat a bilanční sumu, kde to závisí na účetní závěrce. Pokud se pohybujete na limitu, doporučujeme to vždy hlídat a připravovat se předem.
Máme tady ale pár chytáků.
Propojené firmy
První chyták jsou propojené firmy. Máte mateřskou společnost v zahraničí? Jste součástí většího holdingu? Pak možná musíte všechny společnosti počítat dohromady. Může se snadno stát, že vaše česká pobočka o dvaceti lidech je ve skutečnosti součástí velké skupiny a zákon se na vás vztahuje jako na velký podnik. Zákon sice obsahuje pár důležitých výjimek (například když jsou vaše technická aktiva zcela technicky oddělená), ale obecně platí: dívejte se aspoň v úvodu na celou skupinu.
Záleží na podílech. Pokud má na vaší firmě někdo podíl méně než 25 %, tak spojení s ním neřešíte. Pokud je podíl 25 až 50 %, přičítáte si poměrnou část zaměstnanců a obratu mateřské společnosti k vašim číslům. A pokud je podíl nad 50 %, tak už přičítáte celou mateřskou společnost. Asi nemusíme dodávat, že takto to funguje i naopak, když vy někoho vlastníte.
Další ukazatele
Velikost firmy není vše – je potřeba se skutečně dívat do vyhlášky o regulovaných službách. V některých případech je třeba vzít v úvahu i další ukazatele. U energetiky výkon vašeho zařízení, u nemocnic počet lůžek, u výrobních firem zaměření dle CZ NACE. I jako střední nebo velká firma se teoreticky můžete regulaci vyhnout nebo spadnout do nižšího režimu díky nesplnění těchto ukazatelů.
Jste malá firma? Někdy se zákonu nevyhnete
Jako malá firma si nemůžete bohužel oddychnout, pokud se pohybujete v oblasti elektronických komunikací, poskytujete veřejnou komunikační síť anebo službu vytvářející důvěru. Potom musíte řešit regulaci i jako mikropodnik nebo malý podnik. Vyhláška obsahuje i pár dalších výjimek, kdy je podnik tak důležitý, že se na velikost nehledí. Například pokud jste zdravotnická záchranná služba nebo podnikáte v oblasti přenosu energie.
Kdy se nám můžete ozvat?
Je možné, že se zvládnete zařadit do škatulky dle velikosti sami. Pokud jste ale na hraně mezi dvěma velikostmi podniků, máte složitější korporátní strukturu nebo musíte řešit další ukazatele, určitě vám s posouzením velikosti podniku rádi pomůžeme.
Krok 2: Co vlastně děláte? Hledejte se ve vyhlášce o regulovaných službách
Pokud jste prošli prvním krokem a zjistili, že jste dost „velcí" nebo splňujete některou z jiných podmínek, přichází na řadu otázka, co přesně vaše firma dělá. Občas můžete slyšet nesprávnou radu, že krok 1 stačí a pokud jste velcí, máte smůlu. To ale není pravda, musíte poskytovat některou ze služeb, které zákon považuje za důležité.
Kde je najdete? V příloze vyhlášky o regulovaných službách. Tento dokument je pro vás klíčový. Definuje celou řadu odvětví a služeb, kterých se regulace týká.
Patří sem například:
- Digitální infrastruktura a služby (poskytovatelé cloudů, služeb vytvářejících důvěru, provozovatelé datových center a elektronických komunikací)
- Výrobní průmysl (ale jen určité sektory, např. výroba počítačů, aut a strojů)
- Potravinářství (výroba a zpracování potravin)
- Energetika (výroba elektřiny, provoz sítí)
- Doprava (letecká, železniční, silniční)
- Zdravotnictví (poskytovatelé péče, výrobci léků)
- Finanční trh (banky, provozovatelé obchodních systémů)
- A spousty dalších…
Mrkněte na grafiku níže a odpovězte si, jestli některou z uvedených služeb poskytujete. A ve spojení se svojí velikostí dle kroku 1 a případně dalšími podmínkami uvedenými u dané oblasti posuďte, jestli se v ní vidíte nebo ne.
NÚKIB vaši žádost posoudí a vydá rozhodnutí o registraci regulované služby. Od doručení tohoto rozhodnutí se stáváte oficiálně "povinnou osobou" a začínají vám běžet lhůty pro splnění všech povinností, které zákon ukládá – od zavedení bezpečnostních opatření po hlášení incidentů.
Krok 4: Nenašli jste se? Ještě se zamyslete
Nechceme vůbec rozporovat váš postup v prvních třech krocích – jelikož jde ale o složitou regulaci a mnohé firmy se věnují více oblastem, dává smysl nechat si svoje vlastní posouzení zkontrolovat. Ať už kolegou ve firmě nebo odborníkem.
Ke kontrole si můžete vzít i výpis o vaší firmě z rejstříku ekonomických činností. Tam zjistíte, jaké zaměření u vás eviduje stát. Zvlášť jako výrobní firma se hodí připomenout si, jestli nemáte licenci od Energetického regulačního úřadu nebo další veřejné licence. Občas se setkáme s tím, že se zvlášť u větších výrobních podniků až na poslední chvíli zjistí, že „my přece máme ty soláry“ nebo „my přece pro město provozujeme čističku odpadních vod“.
Shrnutí na závěr
Samoidentifikace není nic, čeho byste se měli bát. Je to spíš domácí úkol, který si musíte poctivě udělat.
- Spočítejte si lidi a peníze. A nezapomeňte u toho na další firmy, které mají na vás (nebo vy na nich) aspoň 25% podíl.
- Projděte si seznam služeb. A myslete na všechno, co děláte.
- Pokud se vás to týká, registrujte se. Nečekejte, až vás někdo osloví.
Pokud budete chtít se samoidentifikací poradit, můžete se nám ozvat na napistenam@elegal.cz nebo přes formulář na webu.
5. 12. 2025
Sdílet
Tweet
LinkedIn
