Nový zákon o kybernetické bezpečnosti a DMARC: co NÚKIB vyžaduje u e-mailu
Nový zákon o kybernetické bezpečnosti (264/2025) dopadá na tisíce firem. NÚKIB u e-mailu vyžaduje DMARC v režimu quarantine nebo reject. Co to znamená.
Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) nabyl účinnosti 1. listopadu 2025 a přivádí přibližně 6 000 dalších českých organizací pod povinnosti v oblasti kybernetické bezpečnosti, na které dohlíží NÚKIB. U e-mailu je laťka konkrétní: ochranné opatření NÚKIB vyžaduje, aby organizace zveřejnily záznamy SPF, podepisovaly svou poštu pomocí DKIM a provozovaly DMARC v režimu quarantine nebo reject. Většina českých domén to zatím nesplňuje.
Tento průvodce je určen českým organizacím, které nově spadají do působnosti zákona, a agenturám i poskytovatelům IT, kteří spravují jejich domény. Vysvětluje, co požadavek na e-mail říká, proč pouhý monitorovací DMARC záznam nestačí a jak se bezpečně dostat k vynucování, aniž byste narušili legitimní poštu.
Co najdete v tomto průvodci
- Co se změnilo 1. listopadu 2025?
- Vyžaduje zákon DMARC?
- Co vyžaduje e-mailové opatření NÚKIB
- Proč záznam s
p=nonenestačí - Koho se nový zákon týká?
- Jak se bezpečně dostat k vynucování
- Praktické shrnutí
Co se změnilo 1. listopadu 2025?
České předpisy o kybernetické bezpečnosti se dříve vztahovaly na poměrně malý okruh provozovatelů kritické infrastruktury a významných informačních systémů. To se změnilo se zákonem č. 264/2025 Sb., novým zákonem o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025 a převádí evropskou směrnici NIS2 do českého práva.
Praktický dopad je široký. NÚKIB odhaduje, že pod povinnosti v oblasti kybernetické bezpečnosti nyní spadá přibližně 6 000 českých organizací, mnohé z nich poprvé. Zákon je dělí do dvou skupin: na subjekty v režimu vyšších povinností, které nesou přísnější okruh povinností, a subjekty v režimu nižších povinností. Obě skupiny se musí zaregistrovat u NÚKIB a zavést odpovídající bezpečnostní opatření.
Vyžaduje zákon DMARC?
Samotný zákon DMARC nejmenuje. Stejně jako směrnice NIS2, kterou převádí, hovoří o bezpečnostních opatřeních přiměřených riziku, nikoli o konkrétních technologiích. Doslovná odpověď tedy zní, že slovo DMARC v zákoně nenajdete.
Praktická odpověď je jiná, protože česká regulace kybernetické bezpečnosti funguje na dvou úrovních. Zákon stanoví povinnosti a NÚKIB, úřad, který na jejich plnění dohlíží, vydává závazná opatření, která tyto povinnosti převádějí na konkrétní technické požadavky. U e-mailu jeho ochranné opatření technologie jmenuje: vyžaduje SPF, DKIM i DMARC, přičemž DMARC musí být v režimu vynucování, nikoli pouhého monitorování. Slovo DMARC tedy chybí v textu zákona, ne v pravidlech, jejichž plnění se od regulovaných organizací očekává.
Řečeno na rovinu, doména, která zveřejní DMARC záznam, ale ponechá jej na p=none, spoofing sice monitoruje, ale nebrání mu, a nenaplňuje smysl požadavku.
Co vyžaduje e-mailové opatření NÚKIB
Ochranné opatření NÚKIB k zabezpečení e-mailu je konkrétní v tom, jak má vyhovující nastavení vypadat. U domén, které odesílají poštu, vyžaduje všechny tři standardní metody ověřování:
- Záznam
SPF(RFC 7208), který uvádí poštovní servery oprávněné odesílat za doménu. - Podepisování odchozích zpráv pomocí
DKIM(RFC 6376), s veřejnou částí klíče zveřejněnou v DNS. - Záznam
DMARC(RFC 7489) s politikou nastavenou naquarantineneboreject, uplatněnou na 100 % pošty domény, nikoli jen na vzorek.
Opatření pamatuje i na domény, které poštu vůbec neodesílají: ty by měly mít zveřejněné záznamy SPF a DMARC, které odesílání blokují, aby je útočník nemohl zneužít. NÚKIB považuje DMARC v režimu vynucování za základ, nikoli za cíl do budoucna.
Proč záznam s p=none nestačí
DMARC záznam má tři možné politiky. Při p=none přijímající server s poštou, která neprojde ověřením, nic nedělá a vlastník domény jen dostává reporty. Při p=quarantine putuje neúspěšná pošta do složky spam. Při p=reject není doručena vůbec. Jen poslední dvě zabrání podvržené zprávě v doručení příjemci, a proto je opatření NÚKIB jmenuje výslovně.
Právě zde dnes většina českých domén zaostává. Podle průzkumu DMARCeye za 1. čtvrtletí 2026 (celý report je k dispozici pouze v angličtině) jsou domény .cz nejpermisivnější ze všech měřených domén nejvyšší úrovně: 68,7 % je na p=none a jen 10,2 % na p=reject. Doména na p=none má za sebou tu snadnou část, tedy zveřejnění záznamu, ale nezapnula ochranu, kvůli které záznam existuje.
Koho se nový zákon týká?
Zákon dopadá na organizace ve vymezených odvětvích, které splní určité velikostní prahy, a dělí je do dvou režimů. Subjekty v režimu vyšších povinností, v odvětvích s vyšším rizikem, nesou přísnější okruh povinností. Subjekty v režimu nižších povinností nesou mírnější okruh. NÚKIB může navíc určit konkrétní organizace bez ohledu na obecná kritéria.
Pokud vaše organizace kritéria splňuje, prvním krokem je registrace: od okamžiku, kdy je splníte, máte 60 dnů na to zaregistrovat svou regulovanou službu přes portál NÚKIB. Poté běží přechodné období, než začnou platit plné bezpečnostní povinnosti.
Přesná odvětví, prahy i to, která opatření váží který režim, stanoví zákon a jeho prováděcí vyhlášky, takže spolehlivý způsob, jak zjistit své postavení, je porovnat je s vlastní organizací. Pokud do působnosti spadáte, ověřování e-mailu patří mezi konkrétnější a méně náročná opatření, která se vyplatí zvládnout včas.
Jak se bezpečně dostat k vynucování
Přesun domény z p=none na p=reject je proces, nikoli jediná změna v DNS. Uspěchání může poslat legitimní poštu do spamu. Celým procesem vás provede náš kompletní průvodce implementací DMARC; stručná verze má čtyři kroky:
- Najděte každou službu, která odesílá poštu za vaši doménu. Marketingové nástroje, fakturační systémy, helpdeskový software i interní servery odesílají vaším jménem a každý z nich se musí ověřit.
- Ověřte každou z nich pro SPF nebo DKIM, aby jejich pošta prošla kontrolou DMARC.
- Přejděte na
p=quarantinea sledujte reporty. Když selhává už jen nevyžádaná pošta, jste připraveni na poslední krok. - Přejděte na
p=reject.
Časově náročné je čtení DMARC reportů a odlišení legitimních odesílatelů od spoofingu. Přesně to dělá DMARCeye. Sbírá reporty, srozumitelně ukazuje, kdo odesílá za vaši doménu a co selhává, a vede vás k vynucování odesílatele po odesílateli. Je postavený českým týmem a dostupný v češtině a jeho bezplatný plán pokryje jednu doménu.
Chcete-li vidět, co vaše doména právě teď publikuje, začněte jejím současným záznamem DMARC:
Praktické shrnutí
Pro tisíce českých organizací, které nově spadají do působnosti, je nejschůdnější zvládat nový zákon po jednotlivých opatřeních, a ověřování e-mailu je silné místo, kde začít. Chrání kanál, na který útočníci běžně cílí, a NÚKIB už přesně popsal, jak má hotové nastavení vypadat. Dosáhnout ho zvládnete v řádu týdnů, ne měsíců, a brzký viditelný výsledek udá tempo i zbytku práce na souladu se zákonem.
DMARCeye existuje proto, aby tuto cestu zpřehlednil, v češtině, od prvního reportu až po doménu, která odmítá podvrženou poštu. Ukáže vám, kdo za vás odesílá, řekne, co opravit, a dovede vás na úroveň vynucování, kterou e-mailové opatření zákona vyžaduje.