Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) nabyl účinnosti 1. listopadu 2025 a přivádí přibližně 6 000 dalších českých organizací pod povinnosti v oblasti kybernetické bezpečnosti, na které dohlíží NÚKIB. U e-mailu je laťka konkrétní: ochranné opatření NÚKIB vyžaduje, aby organizace zveřejnily záznamy SPF, podepisovaly svou poštu pomocí DKIM a provozovaly DMARC v režimu quarantine nebo reject. Většina českých domén to zatím nesplňuje.
Tento průvodce je určen českým organizacím, které nově spadají do působnosti zákona, a agenturám i poskytovatelům IT, kteří spravují jejich domény. Vysvětluje, co požadavek na e-mail říká, proč pouhý monitorovací DMARC záznam nestačí a jak se bezpečně dostat k vynucování, aniž byste narušili legitimní poštu.
p=none nestačíČeské předpisy o kybernetické bezpečnosti se dříve vztahovaly na poměrně malý okruh provozovatelů kritické infrastruktury a významných informačních systémů. To se změnilo se zákonem č. 264/2025 Sb., novým zákonem o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025 a převádí evropskou směrnici NIS2 do českého práva.
Praktický dopad je široký. NÚKIB odhaduje, že pod povinnosti v oblasti kybernetické bezpečnosti nyní spadá přibližně 6 000 českých organizací, mnohé z nich poprvé. Zákon je dělí do dvou skupin: na subjekty v režimu vyšších povinností, které nesou přísnější okruh povinností, a subjekty v režimu nižších povinností. Obě skupiny se musí zaregistrovat u NÚKIB a zavést odpovídající bezpečnostní opatření.
Samotný zákon DMARC nejmenuje. Stejně jako směrnice NIS2, kterou převádí, hovoří o bezpečnostních opatřeních přiměřených riziku, nikoli o konkrétních technologiích. Doslovná odpověď tedy zní, že slovo DMARC v zákoně nenajdete.
Praktická odpověď je jiná, protože česká regulace kybernetické bezpečnosti funguje na dvou úrovních. Zákon stanoví povinnosti a NÚKIB, úřad, který na jejich plnění dohlíží, vydává závazná opatření, která tyto povinnosti převádějí na konkrétní technické požadavky. U e-mailu jeho ochranné opatření technologie jmenuje: vyžaduje SPF, DKIM i DMARC, přičemž DMARC musí být v režimu vynucování, nikoli pouhého monitorování. Slovo DMARC tedy chybí v textu zákona, ne v pravidlech, jejichž plnění se od regulovaných organizací očekává.
Řečeno na rovinu, doména, která zveřejní DMARC záznam, ale ponechá jej na p=none, spoofing sice monitoruje, ale nebrání mu, a nenaplňuje smysl požadavku.
Ochranné opatření NÚKIB k zabezpečení e-mailu je konkrétní v tom, jak má vyhovující nastavení vypadat. U domén, které odesílají poštu, vyžaduje všechny tři standardní metody ověřování:
SPF (RFC 7208), který uvádí poštovní servery oprávněné odesílat za doménu.DKIM (RFC 6376), s veřejnou částí klíče zveřejněnou v DNS.DMARC (RFC 7489) s politikou nastavenou na quarantine nebo reject, uplatněnou na 100 % pošty domény, nikoli jen na vzorek.Opatření pamatuje i na domény, které poštu vůbec neodesílají: ty by měly mít zveřejněné záznamy SPF a DMARC, které odesílání blokují, aby je útočník nemohl zneužít. NÚKIB považuje DMARC v režimu vynucování za základ, nikoli za cíl do budoucna.
p=none nestačíDMARC záznam má tři možné politiky. Při p=none přijímající server s poštou, která neprojde ověřením, nic nedělá a vlastník domény jen dostává reporty. Při p=quarantine putuje neúspěšná pošta do složky spam. Při p=reject není doručena vůbec. Jen poslední dvě zabrání podvržené zprávě v doručení příjemci, a proto je opatření NÚKIB jmenuje výslovně.
Právě zde dnes většina českých domén zaostává. Podle průzkumu DMARCeye za 1. čtvrtletí 2026 (celý report je k dispozici pouze v angličtině) jsou domény .cz nejpermisivnější ze všech měřených domén nejvyšší úrovně: 68,7 % je na p=none a jen 10,2 % na p=reject. Doména na p=none má za sebou tu snadnou část, tedy zveřejnění záznamu, ale nezapnula ochranu, kvůli které záznam existuje.
Zákon dopadá na organizace ve vymezených odvětvích, které splní určité velikostní prahy, a dělí je do dvou režimů. Subjekty v režimu vyšších povinností, v odvětvích s vyšším rizikem, nesou přísnější okruh povinností. Subjekty v režimu nižších povinností nesou mírnější okruh. NÚKIB může navíc určit konkrétní organizace bez ohledu na obecná kritéria.
Pokud vaše organizace kritéria splňuje, prvním krokem je registrace: od okamžiku, kdy je splníte, máte 60 dnů na to zaregistrovat svou regulovanou službu přes portál NÚKIB. Poté běží přechodné období, než začnou platit plné bezpečnostní povinnosti.
Přesná odvětví, prahy i to, která opatření váží který režim, stanoví zákon a jeho prováděcí vyhlášky, takže spolehlivý způsob, jak zjistit své postavení, je porovnat je s vlastní organizací. Pokud do působnosti spadáte, ověřování e-mailu patří mezi konkrétnější a méně náročná opatření, která se vyplatí zvládnout včas.
Přesun domény z p=none na p=reject je proces, nikoli jediná změna v DNS. Uspěchání může poslat legitimní poštu do spamu. Celým procesem vás provede náš kompletní průvodce implementací DMARC; stručná verze má čtyři kroky:
p=quarantine a sledujte reporty. Když selhává už jen nevyžádaná pošta, jste připraveni na poslední krok.p=reject.Časově náročné je čtení DMARC reportů a odlišení legitimních odesílatelů od spoofingu. Přesně to dělá DMARCeye. Sbírá reporty, srozumitelně ukazuje, kdo odesílá za vaši doménu a co selhává, a vede vás k vynucování odesílatele po odesílateli. Je postavený českým týmem a dostupný v češtině a jeho bezplatný plán pokryje jednu doménu.
Chcete-li vidět, co vaše doména právě teď publikuje, začněte jejím současným záznamem DMARC:
Pro tisíce českých organizací, které nově spadají do působnosti, je nejschůdnější zvládat nový zákon po jednotlivých opatřeních, a ověřování e-mailu je silné místo, kde začít. Chrání kanál, na který útočníci běžně cílí, a NÚKIB už přesně popsal, jak má hotové nastavení vypadat. Dosáhnout ho zvládnete v řádu týdnů, ne měsíců, a brzký viditelný výsledek udá tempo i zbytku práce na souladu se zákonem.
DMARCeye existuje proto, aby tuto cestu zpřehlednil, v češtině, od prvního reportu až po doménu, která odmítá podvrženou poštu. Ukáže vám, kdo za vás odesílá, řekne, co opravit, a dovede vás na úroveň vynucování, kterou e-mailové opatření zákona vyžaduje.