Směrnice NIS2 (Network and Information Security) vstoupila v platnost v prosinci 2022 a členské státy EU ji musely implementovat do října 2024. Česká republika ji promítla do zákona č. 264/2025 Sb., který rozšiřuje okruh povinných subjektů a zpřísňuje požadavky na kybernetickou bezpečnost.1 Obsah článku Kdo se musí řídit NIS2? Základní subjekty Důležité subjekty Co po vás zákon vyžaduje? Jaké sankce hrozí za neplnění? Co dělat jako první krok? Kdo se nově musí řídit NIS2? Zákon se nově vztahuje na podstatně širší skupinu organizací než předchozí zákon o kybernetické bezpečnosti. Rozlišuje dvě hlavní kategorie — přičemž základní subjekty mají přísnější povinnosti než subjekty důležité. Základní subjekty Jde o organizace v kriticky důležitých sektorech. Jejich výpadek by mohl mít závažný dopad na společnost nebo bezpečnost státu. Patří sem energetika, doprava, zdravotnictví nebo bankovnictví. Důležité subjekty Firmy v méně kritických, ale regulovaných odvětvích — poštovní služby, nakládání s odpady, výroba nebo poskytovatelé digitálních služeb. Povinnosti jsou mírnější, ale sankce stále citelné. Jak zjistit, do které kategorie patříte? Obecné pravidlo: pokud má vaše firma více než 50 zaměstnanců nebo roční obrat přesahuje 10 milionů EUR a působíte v jednom ze sledovaných sektorů, NIS2 se na vás pravděpodobně vztahuje. Poznámka k implementaci Každý členský stát mohl do jisté míry přizpůsobit rozsah a detaily při transpozici do národního práva. Pro ČR platí zákon č. 264/2025 Sb. Podrobnější přehled povinností najdete v praktickém NIS2 checklistu, který jsme připravili jako samostatný průvodce. Pokud vás zajímá vzdělávání zaměstnanců, podívejte se na náš rekvalifikační Kyberkurz. Tip: NÚKIB provozuje online nástroj pro ověření, zda se na vaši organizaci NIS2 vztahuje. Najdete ho na nukib.cz v sekci Kybernetická bezpečnost.2 Co po vás zákon vyžaduje? Požadavky lze rozdělit do pěti hlavních oblastí. Každá z nich vyžaduje jiný přístup a jiné interní zdroje: Řízení rizik — pravidelné hodnocení a dokumentace bezpečnostních rizik Bezpečnostní opatření — technická a organizační opatření odpovídající úrovni rizika Hlášení incidentů — povinnost hlásit závažné kybernetické incidenty NÚKIBu do 24 hodin Bezpečnost dodavatelského řetězce — hodnocení bezpečnosti dodavatelů a partnerů Vzdělávání — pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti Každé opatření lze dále rozčlenit podle způsobu implementace: Technická opatření Šifrování dat v klidu i při přenosu Správa identit a přístupových práv (IAM) Monitorování a detekce incidentů (SIEM/SOC) Interní SOC — vhodný pro velké organizace Outsourcovaný SOC — efektivnější pro střední firmy Organizační opatření Bezpečnostní politiky a směrnice Plán reakce na incidenty (IRP) Pravidelné audity a penetrační testy „Firmy, které si myslí, že se jich NIS2 netýká, se velmi mýlí. Rozsah povinných subjektů je v Česku několikanásobně větší, než byl pod předchozím zákonem." — NÚKIB, Zpráva o stavu kyberbezpečnosti 2024 Infografika: Přehled povinností dle NIS2 Přehled povinností základních a důležitých subjektů dle NIS2 — zdroj: NÚKIB 2024 Jaké sankce hrozí za neplnění? Zákon stanovuje výrazně přísnější sankce než dřívější legislativa. Základní subjekty mohou dostat pokutu až do výše 10 milionů EUR nebo 2 % celkového světového obratu3, podle toho, která částka je vyšší. Pro důležité subjekty platí nižší strop — 7 milionů EUR nebo 1,4 % obratu. NIS2 Checklist pro firmy — ke stažení zdarma PDF · 8 stran · aktualizováno 03/2025 Stáhnout Co dělat jako první krok? Doporučujeme začít zmapováním situace. Zjistěte, zda se na vás zákon vztahuje, proveďte základní gap analýzu a sestavte plán nápravy. Pokud nemáte interní kapacity, přečtěte si náš průvodce NIS2 auditem nebo kontaktujte odborníky. Doporučený kurz Akreditovaný kurz kybernetické bezpečnosti — Kyberkurz 200 hodin výuky od lektorů z praxe. Ideální pro ty, kdo chtějí nastartovat kariéru v kyberbezpečnosti nebo splnit povinnosti NIS2 v oblasti vzdělávání zaměstnanců. 0 Kč s dotací od ÚP Detail kurzu → Služby BOIT NIS2 audit a gap analýza pro vaši firmu BOIT Cyber Security provádí audity souladu s NIS2, identifikuje mezery ve vašich procesech a navrhuje konkrétní kroky nápravy. Nezávazná konzultace zdarma. Zjistit více → Použité zdroje Zákon č. 264/2025 Sb. o kybernetické bezpečnosti. Sbírka zákonů ČR, 2025. Dostupné na: sbírka.cz NÚKIB: Nástroj pro určení povinností dle NIS2. Národní úřad pro kybernetickou a informační bezpečnost, 2024. Dostupné na: nukib.cz Evropský parlament: Směrnice NIS2 (EU) 2022/2555. Úřední věstník EU, prosinec 2022. Dostupné na: eur-lex.europa.eu
