Stručně: Paragraf 71 zákona č. 264/2025 Sb. stanovuje přechodná pravidla pro subjekty, které již podléhaly regulaci podle starého zákona o kybernetické bezpečnosti (zákon č. 181/2014 Sb.), a nyní spadají pod novou právní úpravu, přičemž upřesňuje, jaké povinnosti plní v přechodném období.
§ 71 Přechodná ustanovení
(1) Správci informačních systémů základní služby, správci informačních a komunikačních systémů kritické informační infrastruktury, správci významných informačních systémů nebo poskytovatelé digitální služby podle § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, jimiž poskytované služby splňují podmínky pro registraci regulované služby podle § 4 odst. 1, plní pro služby a informační systémy regulované podle dosavadních právních předpisů v rozsahu, ve kterém jsou tyto služby a aktiva regulovány tímto zákonem, alespoň
a) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, v případě, že je podle tohoto zákona poskytovatelem regulované služby v režimu vyšších povinností, nebo
b) povinnosti spojené se zaváděním a prováděním bezpečnostních opatření, hlášením kybernetických bezpečnostních incidentů a plněním opatření Úřadu podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, v rozsahu povinností uložených tímto zákonem poskytovatelům regulovaných služeb v režimu nižších povinností v případě, že je podle tohoto zákona poskytovatelem regulované služby v režimu nižších povinností,
a to počínaje dnem nabytí účinnosti tohoto zákona až do doby uplynutí lhůt pro zahájení plnění povinností podle tohoto zákona, s výjimkou způsobu hlášení kybernetických bezpečnostních incidentů, které jsou tito poskytovatelé regulované služby povinni realizovat podle tohoto zákona již ode dne doručení rozhodnutí o registraci regulované služby.
(2) V řízeních týkajících se splnění povinnosti uložené přede dnem nabytí účinnosti tohoto zákona zákonem č. 181/2014 Sb., ve znění pozdějších předpisů, nebo na jeho základě, se postupuje podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů.
(3) Varování vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, se považují za varování vydaná podle tohoto zákona.
(4) Reaktivní opatření a ochranná opatření vydaná přede dnem nabytí účinnosti tohoto zákona podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, se považují za reaktivní protiopatření vydaná podle tohoto zákona.
(5) Veřejnoprávní smlouvy uzavřené podle zákona č. 181/2014 Sb., ve znění pozdějších předpisů, pozbývají platnosti uplynutím 1 roku ode dne nabytí účinnosti tohoto zákona.
(6) V případě, že poskytovatel Národního CERT není v den nabytí účinnosti tohoto zákona držitelem platného osvědčení podnikatele pro přístup k utajovaným informacím pro stupeň utajení Důvěrné podle zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, je bez zbytečného odkladu povinen o takové osvědčení požádat a tuto skutečnost Úřadu doložit. Osvědčení podle věty první musí provozovatel Národního CERT předložit Úřadu bez zbytečného odkladu, nejpozději do 1 roku ode dne nabytí účinnosti tohoto zákona.
Paragraf 71 zákona č. 264/2025 Sb. stanovuje přechodná pravidla pro subjekty, které již podléhaly regulaci podle starého zákona o kybernetické bezpečnosti (zákon č. 181/2014 Sb.), a nyní spadají pod novou právní úpravu, přičemž upřesňuje, jaké povinnosti plní v přechodném období.
Co to znamená v praxi
Subjekty, které byly regulovány podle starého zákona a nyní spadají pod nový zákon, musí ode dne účinnosti nového zákona plnit povinnosti týkající se bezpečnostních opatření a hlášení kybernetických bezpečnostních incidentů podle starého zákona, a to v rozsahu, v jakém jsou tyto služby a aktiva regulovány novým zákonem.
Toto plnění povinností podle starého zákona trvá až do doby, než uplynou lhůty pro zahájení plnění povinností podle nového zákona.
Způsob hlášení kybernetických bezpečnostních incidentů se však mění okamžitě – tyto incidenty se hlásí podle nového zákona již ode dne doručení rozhodnutí o registraci regulované služby.
Řízení zahájená před účinností nového zákona, která se týkají plnění povinností podle starého zákona, se dokončí podle starého zákona.
Varování, reaktivní a ochranná opatření vydaná podle starého zákona zůstávají v platnosti a považují se za vydaná podle nového zákona.
Na co si dát pozor
Přestože většina povinností se v přechodném období řídí starým zákonem, způsob hlášení kybernetických bezpečnostních incidentů se mění okamžitě po doručení rozhodnutí o registraci regulované služby podle nového zákona.
Veřejnoprávní smlouvy uzavřené podle starého zákona pozbývají platnosti po uplynutí jednoho roku ode dne účinnosti nového zákona.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.