---

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (NIS 2) přináší významné změny v oblasti regulace kybernetické bezpečnosti. 

Tato směrnice je implementována novým zákonem č. 264/2025 Sb., o kybernetické bezpečnosti, který oproti původnímu zákonu č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, stanovuje pouze jeden typ povinné osoby, kterým je tzv. „poskytovatel regulované služby“. Současně zákon v návaznosti na směrnici NIS 2, respektive její rozdělení subjektů na základní (Essential) a důležité (Important), zavádí pro poskytovatele regulované služby dva samostatné režimy povinností. Konkrétně se jedná o tzv. režim vyšších povinností a tzv. režim nižších povinností.

Tento materiál se věnuje pouze režimu nižších povinností, který je upraven prostřednictvím vyhlášky č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. Tato vyhláška upravuje obsah, způsob zavádění a provádění bezpečnostních opatření a dále pak stanovení významnosti dopadu kybernetického bezpečnostního incidentu. 

Vyhláška rozděluje bezpečnostní opatření do dvou skupin:

• Bezpečnostní opatření stanovená v § 3 odst. 2 – 6, § 4 – 6 a § 10 vyhlášky – jedná se o bezpečnostní opatření především organizačního charakteru, která musí být zaváděna a prováděna.
• Bezpečnostní opatření stanovená v § 7 – 9 a § 11 – 13 vyhlášky – jedná se o bezpečnostní opatření především technického charakteru, jejichž zavedení závisí na posouzení bezpečnostních potřeb konkrétní organizace.