Co je regulovaná služba a proč rozhoduje o tom, jestli spadáte pod NIS2
Víte, co je regulovaná služba a proč právě ona rozhoduje o tom, zda vaše firma spadá pod NIS2? Tento pojem je klíčem k pochopení celého zákona o kybernetické bezpečnosti. Přečtěte si, co regulovaná služba znamená, které služby pod ni spadají a co z toho pro vaši firmu plyne.
Stručné shrnutí
Regulovaná služba je služba, jejíž poskytování zákon o kybernetické bezpečnosti spojuje s konkrétními povinnostmi. Právě podle ní se určuje, zda je firma povinným subjektem a do jakého režimu spadá. Regulované služby se nacházejí v odvětvích jako energetika, doprava, zdravotnictví, výroba nebo digitální služby. Pokud firma takovou službu poskytuje a splňuje velikostní kritérium, musí splnit povinnosti dané zákonem 264/2025 Sb.
Co je regulovaná služba podle NIS2
Pojem regulovaná služba je jedním z nejdůležitějších v celém zákoně o kybernetické bezpečnosti. Bez jeho pochopení nelze správně určit, zda se vás zákon týká. Souvislost s režimy povinností jsme rozebrali v článku o režimech povinností podle NIS2.
Definice regulované služby jednoduše
Regulovaná služba je služba, jejíž narušení by mělo dopad na fungování společnosti, ekonomiky nebo bezpečnosti státu. Zákon proto její poskytování spojuje s konkrétními bezpečnostními povinnostmi.
Nejde o jakoukoli činnost firmy, ale o konkrétní službu vymezenou zákonem a navazujícími předpisy. Firma může poskytovat více činností, přičemž regulovaná je jen některá z nich. Právě tato služba je tím, co zakládá povinnosti podle NIS2.
Proč na regulované službě záleží
Regulovaná služba je vstupní branou k celému zákonu. Pokud ji firma poskytuje a zároveň splňuje velikostní kritérium, stává se povinným subjektem.
Od regulované služby se odvíjí i to, do jakého režimu firma spadá a jaké povinnosti musí splnit. Celá příprava dokumentace a bezpečnostních opatření se navíc vztahuje právě k této službě, nikoli k firmě jako celku.
Které služby jsou regulované
Aby firma věděla, zda regulovanou službu poskytuje, musí znát odvětví a typy služeb, které zákon zahrnuje. Okruh je široký a pokrývá řadu oblastí běžného hospodářství.
Přehled regulovaných odvětví a služeb
Regulované služby se nacházejí v odvětvích, jejichž fungování je pro společnost zásadní.
Mezi hlavní patří:
- energetika včetně výroby a distribuce
- doprava a logistika
- zdravotnictví a poskytování zdravotní péče
- výroba a průmysl
- informační technologie a digitální služby
- bankovnictví a finanční infrastruktura
- vodárenství a odpadové hospodářství
- veřejná správa
Každé z těchto odvětví zahrnuje konkrétní služby, jejichž narušení by mělo závažné dopady. Přesné vymezení stanovuje zákon a navazující předpisy.
Příklady regulovaných služeb z praxe
V praxi může jít například o provoz nemocničního informačního systému, distribuci elektřiny, provozování datového centra nebo poskytování cloudových služeb. Regulovanou službou je také správa domén nejvyšší úrovně nebo vydávání elektronických podpisů a časových razítek.
Stejně tak sem patří výroba ve strategických oborech nebo provoz online tržiště, kde nakupují třetí strany. Společným jmenovatelem je, že přerušení takové služby by zasáhlo větší okruh lidí nebo firem.
Jak poznáte, že poskytujete regulovanou službu
Posouzení, zda firma poskytuje regulovanou službu, je prvním krokem k určení povinností. Není to vždy zřejmé na první pohled, proto je dobré vědět, na co se zaměřit.
Na co se zaměřit při posouzení
Při posouzení je klíčové zaměřit se na konkrétní službu, kterou firma poskytuje, a porovnat ji s vymezením v zákoně. Důležité je nezaměňovat hlavní podnikání firmy s tím, zda některá z jejích služeb spadá do regulované oblasti.
Pomoci může samoidentifikace na Portálu NÚKIBu. Tento nástroj firmě na základě několika otázek napoví, zda regulovanou službu poskytuje a zda je povinným subjektem. Posouzení je vždy vhodné provést pečlivě, protože od něj se odvíjí všechny další povinnosti.
Jak souvisí regulovaná služba s režimem povinností
Jakmile firma zjistí, že regulovanou službu poskytuje, určuje se její režim povinností. Ten závisí na velikosti firmy a významu poskytované služby.
| Nižší režim | Vyšší režim | |
|---|---|---|
| Počet zaměstnanců | 50 až 249 | 250 a více |
| Rozsah opatření | Základní | Rozšířený |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
| Hlášení incidentů | Národní CERT | Přímo NÚKIBu |
Regulovaná služba je tedy východiskem, podle kterého se firma zařadí a zjistí rozsah svých povinností.
Co pro vás regulovaná služba znamená v praxi
Poskytování regulované služby není jen formální označení. Pojí se s ním konkrétní povinnosti, které musí firma splnit a průběžně udržovat.
Povinnosti spojené s regulovanou službou
Pokud firma poskytuje regulovanou službu a je povinným subjektem, musí se zaregistrovat u NÚKIBu a následně zavést bezpečnostní opatření vztahující se k této službě. U firem v nižším režimu jde o opatření daná vyhláškou 410/2025 Sb.
Součástí povinností je příprava dokumentace, mezi kterou patří bezpečnostní politika, řízení rizik, evidence aktiv nebo plán reakce na incidenty. Firma musí také zajistit hlášení kybernetických incidentů, které v nižším režimu směřuje Národnímu CERT a ve vyšším režimu přímo NÚKIBu.
Veškerá opatření i dokumentace se přitom vztahují právě k regulované službě. Proto je její správné určení nezbytným prvním krokem. Pokud vaše firma spadá do nižšího režimu, přípravu dokumentace vám usnadní online průvodce Compligen, který vás celým procesem provede krok za krokem.
Závěr
Regulovaná služba je služba, jejíž narušení by mělo dopad na chod společnosti, a právě ona rozhoduje o tom, zda firma spadá pod NIS2. Pokud ji firma poskytuje a splňuje velikostní kritérium, stává se povinným subjektem a musí splnit povinnosti dané zákonem 264/2025 Sb. Od regulované služby se odvíjí zařazení do režimu i rozsah bezpečnostních opatření a dokumentace. Prvním krokem je proto posoudit, zda takovou službu poskytujete, ideálně přes samoidentifikaci na Portálu NÚKIBu. Firmám v nižším režimu pak s přípravou dokumentace pomůže Compligen.
Přečtěte si také
- Režimy povinností podle NIS2: do kterého spadá vaše firma?Spadá vaše firma pod nižší, nebo vyšší režim NIS2? Zjistěte, jaká kritéria rozhodují, co všechno musíte splnit a jak vám s dokumentací pomůže Compligen.
- Režim nižších povinností NIS2: co to znamená a co musíte splnit?Spadá vaše firma do režimu nižších povinností podle NIS2? Zjistěte, jakých 13 bezpečnostních opatření musíte splnit a jak vám online průvodce Compligen usnadní celou přípravu.
- Režim vyšších povinností NIS2: co to znamená a co musíte splnit?Spadá vaše firma do režimu vyšších povinností podle NIS2 a nevíte, co přesně vás čeká? Vyšší režim přináší nejrozsáhlejší soubor povinností, který zákon o kybernetické bezpečnosti zná. Přečtěte si, koho se týká, podle čeho se zařazuje a co konkrétně musíte splnit.