Ostrava +420 596 114 195 Praha + 420 724 716 619

Datum článku: 30. října 2025

NIS 2: Co potřebujete vědět o nové regulaci kybernetické bezpečnosti

NIS 2 je směrnicí Evropské unie, která značně mění pravidla v oblasti kybernetické bezpečnosti. Pro řadu společností v České republice to znamená nové povinnosti, přísnější dohled a také vyšší sankce. Pojďme si shrnout, co to pro vás v praxi znamená.

Co je NIS 2 a kdy začne platit?

Cílem směrnice je zvýšit úroveň kybernetické bezpečnosti u poskytovatelů služeb, které jsou pro společnost a ekonomiku klíčové. V Česku se pravidla NIS 2 promítnou do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Zákon byl ve Sbírce zákonů vyhlášen 4. srpna 2025 a účinnosti nabývá 1. listopadu 2025

Od tohoto data budou mít společnosti 60 dní na ohlášení své regulované služby prostřednictvím Portálu NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Samotná implementace bezpečnostních opatření má delší lhůtu – organizace dostanou rok na to, aby vše uvedly do souladu s požadavky zákona. To znamená, že skutečný „deadline“ připadá na konec října 2026.

Koho se NIS 2 týká?

Nová úprava se vztahuje na poskytovatele tzv. regulovaných služeb. Nestačí tedy působit v regulovaném odvětví (například energetika, zdravotnictví, doprava nebo digitální služby) – klíčové je, jakou službu společnost skutečně poskytuje.

Druhým kritériem je velikost. Zjednodušeně platí, že:

  • Mikro a malé podniky (do 50 zaměstnanců) do režimu nespadají.
  • Střední a velké podniky (nad 50 zaměstnanců, resp. s vyšším obratem či bilanční sumou) již povinnosti mít budou, a to pokud zároveň splní „kritéria služby“ výše.

Speciální pravidla platí i pro subjekty veřejné správy a pro některé strategické služby. Pokud společnost není jista, zda na ni regulace dopadá, může využít některou online kalkulačku (např. na portálu NÚKIB), která společnosti se samoidentifikací pomůže. 

Jaké povinnosti společnosti čekají?

Pokud společnost zjistí, že pod NIS 2 spadá, bude muset splnit zejména tyto povinnosti:

  1. Ohlásit se na Portálu NÚKIB a dodat kontaktní údaje odpovědných osob,
  2. Stanovit rozsah řízení kybernetické bezpečnosti – tedy určit, která aktiva a služby jsou pro společnost klíčová,
  3. Zavést bezpečnostní opatření – podle toho, zda společnost spadá do vyššího nebo nižšího režimu regulace,
  4. Hlásit kybernetické incidenty – v nižším režimu jen významné, ve vyšším všechny, a to buď CERTu, nebo přímo NÚKIB,
  5. Prověřovat dodavatele, pokud společnost poskytuje strategicky významné služby.

Na co se připravit už nyní?

Pokud je pravděpodobné, že na společnost povinnosti z NIS 2 dopadnou, měla by se začít připravovat už dnes:

  • projít si služby a dodavatele,
  • určit osoby odpovědné za kybernetickou bezpečnost, a
  • do smluv s klíčovými partnery začleňovat ustanovení o bezpečnostních opatřeních. 

Není třeba se obávat, že budete muset vše zvládnout najednou. Nový zákon počítá s postupnou implementací a hlavní je mít jasný plán.

S nesplněním povinností jsou samozřejmě spojeny sankce. Věříme však, že Vaše společnost bude mít vše v pořádku, proto Vám jimi nebudeme strašit. 

Shrnutí

NIS 2 znamená významný posun v kybernetické bezpečnosti – více povinných subjektů, přísnější pravidla a vyšší sankce. Pokud patříte mezi střední nebo velké podniky v regulovaných odvětvích, je téměř jisté, že vás nová pravidla zasáhnou. Začněte se proto připravovat už nyní, abyste měli dostatek času na splnění všech povinností.

Máte zájem o schůzku či online konzultaci?

Kontakty Domluvit schůzku