⚡ Státní dotace na kurz Kybernetické bezpečnosti — zjistěte, zda máte nárok.
Domů Blog Novinky NIS2 vstoupila v platnost: co to znamená pro české firmy a IT oddělení?
Martin Buchta
KyberAkademie
|
28. dubna 2026
4 min čtení

NIS2 vstoupila v platnost: co to znamená pro české firmy a IT oddělení?

Zákon 264/2025 mění povinnosti stovek organizací. Zjistěte, zda se vás týká, co musíte udělat a jaké sankce hrozí za neplnění.

Směrnice NIS2 (Network and Information Security) vstoupila v platnost v prosinci 2022 a členské státy EU ji musely implementovat do října 2024. Česká republika ji promítla do zákona č. 264/2025 Sb., který rozšiřuje okruh povinných subjektů a zpřísňuje požadavky na kybernetickou bezpečnost.1

Kdo se nově musí řídit NIS2?

Zákon se nově vztahuje na podstatně širší skupinu organizací než předchozí zákon o kybernetické bezpečnosti. Rozlišuje dvě hlavní kategorie — přičemž základní subjekty mají přísnější povinnosti než subjekty důležité.

Základní subjekty

Jde o organizace v kriticky důležitých sektorech. Jejich výpadek by mohl mít závažný dopad na společnost nebo bezpečnost státu. Patří sem energetika, doprava, zdravotnictví nebo bankovnictví.

Důležité subjekty

Firmy v méně kritických, ale regulovaných odvětvích — poštovní služby, nakládání s odpady, výroba nebo poskytovatelé digitálních služeb. Povinnosti jsou mírnější, ale sankce stále citelné.

Jak zjistit, do které kategorie patříte?

Obecné pravidlo: pokud má vaše firma více než 50 zaměstnanců nebo roční obrat přesahuje 10 milionů EUR a působíte v jednom ze sledovaných sektorů, NIS2 se na vás pravděpodobně vztahuje.

Poznámka k implementaci

Každý členský stát mohl do jisté míry přizpůsobit rozsah a detaily při transpozici do národního práva. Pro ČR platí zákon č. 264/2025 Sb.

Podrobnější přehled povinností najdete v praktickém NIS2 checklistu, který jsme připravili jako samostatný průvodce. Pokud vás zajímá vzdělávání zaměstnanců, podívejte se na náš rekvalifikační Kyberkurz.

Tip: NÚKIB provozuje online nástroj pro ověření, zda se na vaši organizaci NIS2 vztahuje. Najdete ho na nukib.cz v sekci Kybernetická bezpečnost.2

Co po vás zákon vyžaduje?

Požadavky lze rozdělit do pěti hlavních oblastí. Každá z nich vyžaduje jiný přístup a jiné interní zdroje:

  1. Řízení rizik — pravidelné hodnocení a dokumentace bezpečnostních rizik
  2. Bezpečnostní opatření — technická a organizační opatření odpovídající úrovni rizika
  3. Hlášení incidentů — povinnost hlásit závažné kybernetické incidenty NÚKIBu do 24 hodin
  4. Bezpečnost dodavatelského řetězce — hodnocení bezpečnosti dodavatelů a partnerů
  5. Vzdělávání — pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti

Každé opatření lze dále rozčlenit podle způsobu implementace:

  • Technická opatření
    • Šifrování dat v klidu i při přenosu
    • Správa identit a přístupových práv (IAM)
    • Monitorování a detekce incidentů (SIEM/SOC)
      • Interní SOC — vhodný pro velké organizace
      • Outsourcovaný SOC — efektivnější pro střední firmy
  • Organizační opatření
    • Bezpečnostní politiky a směrnice
    • Plán reakce na incidenty (IRP)
    • Pravidelné audity a penetrační testy

„Firmy, které si myslí, že se jich NIS2 netýká, se velmi mýlí. Rozsah povinných subjektů je v Česku několikanásobně větší, než byl pod předchozím zákonem.“

— NÚKIB, Zpráva o stavu kyberbezpečnosti 2024


Infografika: Přehled povinností dle NIS2
Přehled povinností základních a důležitých subjektů dle NIS2 — zdroj: NÚKIB 2024

Jaké sankce hrozí za neplnění?

Zákon stanovuje výrazně přísnější sankce než dřívější legislativa. Základní subjekty mohou dostat pokutu až do výše 10 milionů EUR nebo 2 % celkového světového obratu3, podle toho, která částka je vyšší. Pro důležité subjekty platí nižší strop — 7 milionů EUR nebo 1,4 % obratu.


NIS2 Checklist pro firmy — ke stažení zdarma
PDF · 8 stran · aktualizováno 03/2025

Stáhnout

Co dělat jako první krok?

Doporučujeme začít zmapováním situace. Zjistěte, zda se na vás zákon vztahuje, proveďte základní gap analýzu a sestavte plán nápravy. Pokud nemáte interní kapacity, přečtěte si náš průvodce NIS2 auditem nebo kontaktujte odborníky.

Doporučený kurz
Akreditovaný kurz kybernetické bezpečnosti — Kyberkurz

200 hodin výuky od lektorů z praxe. Ideální pro ty, kdo chtějí nastartovat kariéru v kyberbezpečnosti nebo splnit povinnosti NIS2 v oblasti vzdělávání zaměstnanců.

0 Kč
s dotací od ÚP

Detail kurzu →

Služby BOIT
NIS2 audit a gap analýza pro vaši firmu

BOIT Cyber Security provádí audity souladu s NIS2, identifikuje mezery ve vašich procesech a navrhuje konkrétní kroky nápravy. Nezávazná konzultace zdarma.

Zjistit více →

  1. Zákon č. 264/2025 Sb. o kybernetické bezpečnosti. Sbírka zákonů ČR, 2025. Dostupné na: sbírka.cz
  2. NÚKIB: Nástroj pro určení povinností dle NIS2. Národní úřad pro kybernetickou a informační bezpečnost, 2024. Dostupné na: nukib.cz
  3. Evropský parlament: Směrnice NIS2 (EU) 2022/2555. Úřední věstník EU, prosinec 2022. Dostupné na: eur-lex.europa.eu
Štítky: Compliance Legislativa NIS2 NÚKIB
Další čtení

Mohlo by vás zajímat