Hromadně se šíří mylná informace, že malé obce (obce I. a II. typu) nespadají do povinností podle nového zákona o kybernetické bezpečnosti (NZKB). Obce sice nejsou přímo vyjmenovány ve vyhlášce o regulovaných službách (vyhláška č. 408/2025 Sb.) jako poskytovatelé regulované služby, ale i tak je čekají nové povinnosti. Klíčovou roli v tom hraje zákon o informačních systémech veřejné správy (zákon č. 365/2000 Sb.).
Podle tohoto ustanovení musí i menší obce, které spravují informační systémy veřejné správy, zavést bezpečnostní opatření pro nižší povinnosti, tedy postupovat podobně jako regulovaní poskytovatelé podle nového zákona o kybernetické bezpečnosti. Do oblasti dohledu na kybernetickou bezpečnost se kromě Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) zapojuje také Digitální informační agentura (DIA), která má metodické a kontrolní pravomoci.
I když je počet povinností v režimu nižších povinností nižší než u větších úřadů, pro menší obce a jejich systémy spisové služby představují nová pravidla významnou administrativní i odbornou zátěž. Nejasnosti panují ohledně konkrétního rozsahu požadovaných opatření a DIA postupně připravuje podrobnější informace.
Manuál pro nižší povinnosti podle NZKB vydal na svých stránkách NÚKIB.