Kybernetická rizika se v EU stala otázkou majetkové bezpečnosti, která se nevyhýbá ani movitým jednotlivcům s mezinárodní stopou. S účinností nového zákona o kybernetické bezpečnosti byla firmám, rodinným strukturám i investičním strukturám vnucena povinnost komunikovat přes Portál NÚKIB. Kdo to podcení, ocitá se ve stejném problému jako investor, který přehlédne změny v daňové rezidenci – dopady přijdou rychle a stojí víc, než se čeká.
Portál je novým místem, kde se rozhoduje o tom, zda bude digitální infrastruktura klienta považována za zabezpečenou. Povinnosti se rozšířily i na organizace, které dříve spadaly mimo dohled, a sankce za neplnění jsou nastaveny tak, aby odradily od nepozornosti. Právě zde je potřeba jasného vedení, protože bez průvodce se digitální regulace snadno stává pastí, která ohrožuje kontinuitu podnikání i ochranu majetku.
Jak velké je riziko pro majetek?
Portál NÚKIB byl od 1. listopadu 2025 ustanoven jako hlavní kanál pro veškerou komunikaci mezi regulovanými subjekty a státem. Očekává se, že do konce roku bude skrze něj ohlášeno několik desítek tisíc regulovaných služeb. Povinnost se týká nejen velkých firem, ale také subjektů, které mají sídlo v Česku, provozují online služby nebo spravují aktiva s technologickou komponentou. V praxi je tak dotčena řada holdingů, rodinných kanceláří, investičních struktur a firem vlastněných expaty.
Nejde přitom o formální krok, který lze odbýt během pár minut. Ohlášení se vyžaduje prostřednictvím silné elektronické identifikace a musí být provedeno osobou oprávněnou jednat za organizaci. Následně vzniká povinnost reagovat na výzvy úřadu a plnit veškeré incident reporting. Pokud organizace ohlašování odloží, reálně riskuje přetížení systému ke konci roku a následné sankce. V regulacích kybernetické bezpečnosti bývá reakční čas rozhodující – neohlášení incidentu včas může znamenat finanční postih, zkrácení lhůt nebo povinnost nápravného auditu.
Pro investory, kteří vlastní společnosti pouze „na dálku“ a spoléhají na lokální management, vzniká nové slabé místo. Pokud odpovědná osoba zapomene udělat ohlášení, nebo jej nestihne v přetíženém závěru roku, odpovědnost dopadá na samotnou organizaci bez ohledu na její velikost či obor.
Klíčovým krokem je ověření, zda podnikání nebo majetková struktura spadá do regulace. Dopad se často objeví tam, kde jej klient nečeká – například u menší firmy spravující data zaměstnanců pro zahraniční mateřskou společnost. Pokud existuje byť jen nízká pravděpodobnost, že subjekt poskytuje službu, kterou zákon považuje za regulovanou, má být provedeno ohlášení bez odkladu.
Druhým krokem je vytvoření interní odpovědnosti. V mezinárodních strukturách se osvědčilo, aby byl určen jeden člověk přímo odpovědný za komunikaci na Portálu NÚKIB. Pokud je tato role delegována na externí subjekt, musí mít jasné zmocnění a přístup ke všem potřebným dokumentům. Realistickým scénářem je situace, kdy dojde k incidentu – kybernetický útok, phishing, technický výpadek – a organizace má například jen 24 nebo 48 hodin na ohlášení. Bez připravených procesů hrozí, že incident nebude vůbec zaznamenán, což je samo o sobě porušením povinnosti.
Klient by měl počítat s časem potřebným na ověření identity, registraci, vyplnění ohlášení a následné schválení. U rodinných firem se obvykle řeší otázka, kdo má mít přístup – zda vlastník, jednatel nebo pověřený specialista. Nejde o detail: nesprávně nastavené role mohou způsobit, že kritické oznámení nebude doručeno správné osobě.
Aisa International vede klienty krok za krokem. V praxi jde o analýzu dopadu regulace na konkrétní investiční nebo podnikatelskou strukturu, provedení ohlášení a nastavení procesů, aby se předešlo sankcím. Byrokracie se tím nezjednoduší, ale přímé finanční riziko se výrazně sníží.
Na straně státu je očekáván vysoký nápor. Úřad sám doporučuje nenechávat ohlášení na konec prosince. Pokud bude systém přetížen, bude vznikat zpoždění, které může vést ke vzniku povinnosti bez toho, aby ji subjekt reálně mohl splnit. Přístup „počkejme, jak to dopadne“ zde přestává být bezpečný.
