Portál NÚKIB: co vyplnit, kdo to podepíše a proč to dál neodkládat

Proč teď? Lhůta uplynula – ale pořád je lepší podat než čekat

Nový zákon o kybernetické bezpečnosti je účinný od 1. listopadu 2025. Pro firmy, které spadají do regulace, to znamenalo jednu konkrétní první povinnost: ohlásit regulovanou službu přes Portál NÚKIB. Lhůta pro mnohé už uplynula. Přesto – podat pozdě je pořád lepší než nepodat vůbec.

NÚKIB deklaruje, že jeho primárním cílem není trestat, ale dostat subjekty do souladu. Zároveň ale stejně otevřeně říká, že délka prodlení má přímý vliv na výši případné sankce. Zákonný strop je až 250 milionů Kč nebo 2 % čistého celosvětového ročního obratu.

Pokud tedy stále řešíte, jak registraci provést, co doplnit po registraci nebo co dělat, když jste to dosud nestihli – tady je praktický rozcestník.

Jak provést registraci: 4 kroky od přihlášení po odeslání

Samotný formulář není složitý. Komplikace přichází dřív – v interní přípravě, která musí proběhnout ještě před prvním kliknutím na Portálu.

Než začnete, ověřte tři věci: že skutečně naplňujete kritéria regulované služby (NÚKIB k tomu nabízí vlastní kalkulačku), jakou konkrétní službu ohlašujete a kdo úkon provede navenek za vaši organizaci.

1. Krok 1 – Přihlášení do Portálu.
   Portál NÚKIB pracuje s elektronickou identitou – typicky bankovní identita, Mobilní klíč eGovernmentu nebo mojeID. Pověřený zástupce po přihlášení může vykonávat stejné úkony jako statutární orgán.
   
   
2. Krok 2 – Ověřte, kdo jedná za organizaci.
   Pokud podání neprovádí statutár osobně, musí být řádně pověřený zástupce. Pověření se řeší přes samostatný formulář – výstupem je PDF, které se odesílá datovou schránkou regulované společnosti do datové schránky NÚKIB. U zahraničního statutárního orgánu počítejte s tím, že proces pověření nějaký čas trvá.
   
   
3. Krok 3 – Vyplňte formulář Ohlášení regulované služby.
   Ve formuláři identifikujete organizaci a ohlašovanou regulovanou službu. NÚKIB zároveň umožňuje nahlásit kontaktní a doplňující údaje podle § 11 přímo v rámci tohoto kroku – není nutné dělat vše ve dvou oddělených kolech, pokud máte data připravená.
   
   
4. Krok 4 – Odešlete a sledujte navazující povinnosti.
   Po registraci přichází rozhodnutí o registraci a od jeho doručení běží 30denní lhůta pro nahlášení doplňujících údajů podle § 11 – pokud jste je nevyplnili už v kroku 3. Registrací to tedy teprve začíná.

Co jsou doplňující údaje a kdo je musí dodat

Největší zmatek v praxi nepřináší samotné ohlášení, ale vyplňování doplňujících údajů. Ne proto, že by pravidla byla nepochopitelná – ale proto, že potřebná data obvykle leží na různých místech organizace. Právní struktura a vymezení regulovaných služeb je věc právního oddělení, IP adresy a domény řeší IT, a odpovědné osoby jsou někde mezi IT a managementem. Bez interní koordinace to zkrátka nejde.

NÚKIB výslovně uvádí, že ve formuláři se vyplňují kontaktní údaje konkrétních fyzických osob u jednotlivých regulovaných služeb a požadované technické údaje k těmto službám. Nic nad rámec formuláře hlásit nemusíte.

U kontaktních osob platí: smyslem není formální kolonka, ale funkční kontakt při incidentu nebo urgentní komunikaci. Nevyplňujte obecný mailbox typu security@..., ale jméno, funkci, telefon a e-mail konkrétní fyzické osoby. Rozumné minimum jsou dvě osoby – typicky někdo z bezpečnosti nebo IT a někdo schopný organizačního rozhodnutí.

U technických údajů se hlásí veřejné IP adresy nebo rozsahy a domény výlučně využívané danou organizací – bez ohledu na to, kdo je vlastní nebo platí. Nehlásí se neveřejné lokální rozsahy (10.x.x.x, 172.16–31.x.x, 192.168.x.x). U domén uvádíte nejvyšší řád přímo vázaný na organizaci, například nukib.gov.cz. Cílem NÚKIB není dostat popis celé vaší infrastruktury – ale identifikovat údaje vztahující se konkrétně k regulované službě.

Právě tady se ukazuje, proč je klíčové mít předem zpracované posouzení dopadu a rozsahu regulace. Bez něj se technické údaje k regulované službě určují velmi obtížně.

💡 Potřebujete posouzení dopadu zpracovat? Připravíme ho pro vás – ozvěte se nám.

Zapomenutá past: MSP/MSSP ve skupině je pořád regulovaná služba

Tohle je podle mých zkušeností jedna z nejčastějších chyb u holdingů a mezinárodních skupin. Firma si poctivě projde externí zákaznické služby, ale úplně zapomene na to, že centrální IT nebo security tým poskytuje řízené služby jiným entitám ve skupině.

NÚKIB je v podpůrném materiálu pro odvětví Digitální infrastruktura a služby velmi přímočarý. Pokud je služba poskytována jiné entitě s právní subjektivitou, jde o poskytování regulované služby – a to i v rámci holdingu. U MSSP to ještě výslovně zopakuje: interní bezpečnostní tým sám o sobě MSSP není, ale pokud poskytuje bezpečnostní služby jiným entitám s právní subjektivitou v rámci koncernu, už se o regulovanou službu jedná.

Přeloženo do firemní češtiny: jestli centrála spravuje další společnosti ve skupině pod jinými IČO, není to „jen interní servis". Může to být regulovaný MSP nebo MSSP model.

Pod MSP nebo MSSP může spadat například centrální IT support, správa Microsoft 365, UEM/endpoint management, ale také IAM, endpoint security, VPN/firewall management nebo monitoring a incident handling. Zvlášť IAM stojí za pozornost – NÚKIB ho v podpůrném materiálu řadí výslovně mezi příklady MSSP. Pokud centrálně spravujete identity, MFA, role a oprávnění pro další společnosti ve skupině, je to přesně oblast, kterou bych nenechával „bokem k pozdějšímu posouzení".

Registrace proběhla – co dál? Průběžné povinnosti na Portálu

Portál NÚKIB není jednorázová vstupní brána. Je to průběžná compliance povinnost.

Pokud jste registrovaní, ale doplňující údaje jste nevyplnili nebo jsou neúplné, napravte to co nejdříve přes formulář Hlášení údajů k regulované službě. Podání může provést statutární orgán nebo pověřený zástupce.

A nezapomeňte na pravidlo pro změny: jakékoli údaje, které nejsou referenčními údaji ze základních registrů, je třeba hlásit nejpozději do 14 dnů od změny. Vyměnili jste odpovědnou osobu? Změnily se IP adresy? Na Portál patří do dvou týdnů.

Shrnutí: co udělat hned teď

Pokud jste registraci ještě neprovedli, udělejte dvě věci paralelně. Připravte ohlášení regulované služby – bez dalšího odkladu. A zároveň si interně otevřete krátký workshop nad tím, jaké služby skutečně poskytujete v rámci skupiny a zda nejste MSP/MSSP i tam, kde jste si to dosud nepojmenovali.

🚨 Nejhorší možná strategie je „počkejme ještě měsíc, ono se to nějak vyvrbí". Nevyvrbí. Jen se z krátkého skluzu stane zbytečně vysvětlovaný problém.

NÚKIB dnes dává prostor k nápravě. Ale zároveň zcela otevřeně říká, že s časem roste i problém.