Do působnosti zákona obecně spadají střední a velké podniky poskytující regulované služby v odvětvích jako energetika, doprava, zdravotnictví, digitální infrastruktura, finanční trh, veřejná správa, vodárenství, potravinářství a další. Menší organizace mohou být regulovány, pokud jsou pro svůj sektor systémově významné nebo jsou jediným poskytovatelem dané služby v ČR. Zákon se dále výrazně promítá do dodavatelského řetězce. Regulované organizace jsou ze zákona povinny řídit kybernetická rizika svých klíčových dodavatelů a promítnout tyto požadavky do smluvních vztahů. Dodavatelé regulovaných subjektů tak v praxi musí být na tyto požadavky připraveni. Zákon rozlišuje dva režimy plnění povinností:

Sebeidentifikace a GAP analýza Prvním krokem je ověřit, zda vaše organizace poskytuje regulovanou službu ve smyslu ZKB, a pokud ano, do jakého režimu spadáte. Navazuje rozdílová analýza, která mapuje aktuální stav kybernetické bezpečnosti a identifikuje neshody vůči požadavkům zákona a prováděcích vyhlášek NÚKIB. Výsledkem je realistický plán implementace ISMS.
Ohlášení na Portálu NÚKIB Organizace, na které zákon dopadá, mají 60 dní na ohlášení regulované služby přes Portál NÚKIB. Po doručení rozhodnutí o registraci pak 30 dní na nahlášení kontaktních a doplňujících údajů. Od tohoto momentu běží roční lhůta na zavedení bezpečnostních opatření.

Stanovení rozsahu ISMS Definování organizačních, systémových a fyzických hranic tzv. stanoveného rozsahu – souboru aktiv přímo souvisejících s poskytováním regulované služby. Navržení prohlášení o rozsahu ISMS.

Dokumentace a politiky Vytvoření implementačního týmu, definice rolí a odpovědností, prohlášení o politice ISMS. Vedení organizace musí bezpečnostní politiku schválit a aktivně se podílet na řízení kybernetických rizik – to je jednou z výslovných povinností nového ZKB.

Identifikace a ocenění aktiv Provedení inventury primárních i podpůrných aktiv – hmotných i nehmotných – a jejich ohodnocení z hlediska důvěrnosti, integrity a dostupnosti.

Analýza rizik Analýza rizik je základním dokumentem, na kterém stojí celý systém. Hodnotí pravděpodobnost a dopad identifikovaných hrozeb a je podkladem pro všechna navazující opatření. Bez kvalitně zpracované analýzy rizik není ISMS funkční.

Plán zvládání rizik, návrh protiopatření a řízení kontinuity: Dokument navazující na analýzu rizik – popisuje cílový stav, způsob jeho dosažení, termíny a finanční nároky. Management musí plán schválit včetně přidělení zdrojů. Součástí je i nastavení řízení kontinuity činností – plánů pro případ výpadku nebo závažného incidentu.

Nastavení hlášení incidentů Povinnost hlásit kybernetické incidenty začíná nejpozději se zahájením plnění bezpečnostních opatření. Vyšší režim hlásí všechny incidenty splňující zákonnou definici přímo NÚKIB, nižší režim hlásí Národnímu CERT pouze incidenty s významným dopadem na poskytování regulované služby. Prvotní oznámení musí v obou případech proběhnout do 24 hodin od zjištění.

Hodnocení dodavatelského řetězce Zákon výslovně ukládá organizacím řídit kybernetická rizika svých dodavatelů. Klíčové smlouvy musí obsahovat auditovatelnost plnění, povinnost hlásit bezpečnostní události a součinnost při incidentech.

Zvyšování povědomí a školení Lidský faktor zůstává jedním z největších rizik. Definujeme plány školení a komunikace pro různé cílové skupiny – od zaměstnanců po management.

Monitorování, měření a interní audit Nastavení frekvence a metod monitorování, reportování výsledků, plánování a provádění interních auditů s důrazem na nezávislost a nestrannost.

Prohlášení o aplikovatelnosti a certifikace Krok za krokem doložit, které části ISMS jsou zavedeny a jakým způsobem. Certifikace dle ISO 27001:2022 není zákonem vyžadována, ale výrazně zvyšuje důvěryhodnost vůči zákazníkům, partnerům i dohledovým orgánům.