NIS2 v praxi: Krok za krokem k souladu

Co je NIS2 a co přináší zákon č. 264/2025 Sb.

Směrnice EU 2022/2555, v byznysovém světě známá zkrátka jako NIS2, je do českého právního řádu oficiálně transponována zákonem č. 264/2025 Sb. o kybernetické bezpečnosti. Od 1. listopadu 2025 tento nový zákon plně nahrazuje původní předpis (č. 181/2014 Sb.).

Tato změna není pouze kosmetickou úpravou. Nová legislativa reaguje na razantní nárůst kyberútoků a zvyšující se evropskou závislost na digitální infrastruktuře. Zatímco dosavadní úprava se týkala jen několika stovek strategických subjektů (typicky elektráren, bank či ministerstev), do nové působnosti spadne v Česku odhadem více než šest tisíc firem a organizací.

Spadáte pod NIS2? Test v 5 krocích

Zjišťování případné regulace se řídí převážně takzvaným pravidlem odvětví a velikosti, definovaným v § 3 až 5 nového zákona. Otestujte svou společnost v následujících pěti krocích:

1. Působíte v jednom z 15 regulovaných odvětví? Zákon zasahuje nejen kritickou infrastrukturu, ale nově i běžný výrobní a zpracovatelský průmysl, potravinářství, chemii, digitální infrastrukturu, nakládání s odpady a výzkum.
2. Jste střední nebo velký podnik? Regulace se automaticky spouští, pokud vaše společnost zaměstnává alespoň 50 zaměstnanců, NEBO pokud roční obrat přesahuje 10 milionů eur. Hodnotí se přitom celá struktura (tzv. propojené a partnerské podniky).
3. Existují pro vás výjimky? Mikropodniky nebo podniky bez přímé návaznosti na kritické prvky jsou typicky ušetřeny, nicméně existují i specializované obory, kde regulace padá na všechny bez ohledu na velikost firmy.
4. Poskytujete přímo regulovanou službu? Samotná společnost do NIS2 vstoupí, pokud poskytovaná konkrétní služba spadá přímo pod vyhláškou definované „regulované služby“ (např. výroba a distribuce klíčového produktu, přeprava atd.).
5. Spadáte mezi zvláštní případy podle § 5? Jedná se o organizace označené za nezávisle identifikovatelné dodavatele s vysokým potenciálem zasažení kyberkrizí – o nich typicky stát (NÚKIB) může rozhodnout individuálně.

Dva režimy povinností – který je váš?

Podle přesně vymezených parametrů vaší poskytované služby vydá Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rozhodnutí, případně osvědčení. Skončíte přitom v jednom ze dvou režimů regulace (viz § 14).

Režim vyšších povinností: Cílí na takzvané kritické entity poskytující zvláště kritické a nejdůležitější služby (vybrané prvky energetiky, digitálních služeb atd.). Organizace pod ním musí naplňovat široké spektrum 14 organizačních a naprosté většiny technických bezpečnostních opatření včetně například řízení rizik nebo zajištění elementárního testování systému.

Režim nižších povinností: Určen pro organizace poskytující takzvané „důležité“ služby. Jedná se o typický režim pro drtivou většinu středních a výrobních firem. Opatření (celkem 13 specifických sad) znějí sice obsahově téměř podobně jako ve vyšším režimu, ale liší se hloubka a dokladování jejich implementace a reálný dosah – jedná se o zajišťování minimální kyberbezpečnosti a prevenci proti nejrozšířenějším vektorům hrozeb.

Bezpečnostní opatření – co konkrétně zavést

Co po vás tedy stát podle § 13 a 14 reálně chce? Všeobecně lze povinnosti rozdělit na organizační a technická bezpečnostní opatření.

• Organizační opatření: Musíte zavést a formálně ukotvit politiky řízení rizik. Stanovíte odpovědnosti na úrovni lidských zdrojů, musíte zajistit systémové a bezpečné řízení dodavatelského řetězce (vědět, jaké cloudové a podpůrné služby organizace využívá) a vytvořit ucelený systém řízení kybernetických incidentů vč. nastavení BCM (Business Continuity Management).
• Technická opatření: Jedná se o reálné IT nasazení. Zabezpečíte přenosové cesty napříč organizační sítí, ošetříte fyzickou bezpečnost datových center a koncových stanic. V povinné výbavě je taktéž zavedení systematického sběru logů systémů, detekce a řešení síťových událostí, uplatňování striktní kryptografie nebo dvoufaktorové (MFA) či jiné ověřovací správy identit.

Klíčové lhůty a termíny

Nový zákon o kybernetické bezpečnosti sází na striktní procesní harmonogram povinností:

• Ohlášení NÚKIB a zápis přes Portál Úřadu: Firma musí ohlásit poskytovanou službu nejpozději do 60 dnů od chvíle, kdy začne naplňovat podmínky zmíněného odvětví a velikosti (případně od účinnosti zákona, tj. po 1. 11. 2025).
• Zavedení bezpečnostních opatření do praxe: Musí být zrealizováno do 1 roku od uplynutí lhůty doručení rozhodnutí či od vydání osvědčení o zápisu do evidence.
• Rozběhnutí systému hlášení incidentů: Detekce a odpovídající ohlašovací systém musí být rovněž schopen fungování nejpozději do zmíněného jednoho roku od rozhodnutí.

Sankce za nesplnění a osobní odpovědnost vedení

Nová legislativa se snaží donutit top management k plné odpovědnosti za neplnění postupů. Pro firmy v režimu vyšších povinností činí maximální možná pokuta až 250 milionů Kč nebo 2 % z obratu z celosvětových aktivit (v závislosti na tom, co vyjde jako vyšší částka). U režimu nižších povinností může NÚKIB postihnout nedodání náležitostí až do výše 175 milionů Kč nebo 1,4 % obratu.

Výrazným varováním ze strany státu je podle § 58 možnost po provedeném auditu nařídit až dočasný zákaz výkonu funkce pro voleného i pověřeného člena vrcholného a statutárního orgánu (například zákaz působit jako jednatel), případně rozhodnout dokonce o dočasném pozastavení mezinárodních certifikací firmy.

Jak začít – první 3 praktické kroky

1. Svolejte odpovědný tým: Přinuťte management (CEO) vzít kybernetickou bezpečnost na vědomí, do NIS2 nevstupuje IT, ale celá firma.
2. Jmenujte manažera IB nebo CISO: Zpět do rohu od stolu nevede cesty, někomu musíte na stůl agendu formálně převést a vyjasnit očekávání.
3. Zahajte plnou analýzu aktiv a provádění rizik: Zmapujte interní procesy, dodavatele a systémy podle pravidel, které definuje například i norma pro rodinu ISMS (ISO 27001).

Kybernetická bezpečnost není jen legislativní přehazovaná, vyžaduje pochopení principů, logiky i vnímání reálných dopadů kyberprostoru na fungování společnosti jako celku. Se svými kompetencemi vám k tomu pomůže pochopení standardní manažerské analýzy kyberhrozeb u předních odborníků na novou podobu zákonné definice.