Pro firmy

NIS2 povinnosti: koho se týkají a co musíte udělat

Co je směrnice NIS2, koho se týká v ČR, jaké povinnosti ukládá a jaké hrozí sankce. Průvodce bez právního žargonu. Zdroj: NÚKIB.

Redakce Digitální Ochrana Aktualizováno

Směrnice NIS2 výrazně mění pravidla kybernetické bezpečnosti v Evropské unii – a tím i v České republice. Pokud podnikáte v regulovaném sektoru nebo dodáváte velké organizaci, NIS2 se vás s vysokou pravděpodobností dotkne. Tento průvodce vysvětluje, co NIS2 znamená v praxi, koho se týká a co konkrétně musíte udělat.

Upozornění: Tento článek je informativní přehled a nepředstavuje právní poradenství. Pro závazný výklad vaší situace doporučujeme konzultaci s právníkem specializovaným na kybernetické právo nebo přímý kontakt s NÚKIB.

Od NIS1 k NIS2: proč změna

Původní směrnice NIS z roku 2016 stanovila první celoevropský rámec pro bezpečnost sítí a informačních systémů. Po pěti letech praxe se však ukázaly zásadní nedostatky: příliš úzký rozsah povinných subjektů, nekonzistentní implementace v různých členských státech a nedostatečně odstrašující sankce.

NIS2, platná od roku 2023, tyto problémy řeší: výrazně rozšiřuje okruh povinných subjektů, zavádí přísnější požadavky na bezpečnostní opatření a hlášení incidentů a zvyšuje stropy pro pokuty. V České republice byla transponována zákonem o kybernetické bezpečnosti, za jehož implementaci zodpovídá NÚKIB.

Koho se NIS2 v ČR týká

Zákon rozděluje povinné subjekty do dvou kategorií s různou mírou požadavků:

Základní subjekty (Essential Entities)

Velké organizace v kritických sektorech: energetika (elektřina, plyn, ropa), doprava (letecká, železniční, vodní, silniční), bankovnictví, infrastruktura finančního trhu, zdravotnictví (nemocnice, výrobci léčiv), pitná voda a odpadní vody, digitální infrastruktura (cloudové služby, datová centra, DNS, TLD), správa ICT služeb a veřejná správa.

Na tyto subjekty se vztahují přísnější požadavky a vyšší sankce.

Důležité subjekty (Important Entities)

Středně velké organizace ve „druhé vrstvě” sektorů: poštovní a kurýrní služby, nakládání s odpady, výroba kritických produktů (chemikálie, potraviny, zdravotnické pomůcky, elektronika, strojírenství), digitální poskytovatelé (online tržiště, vyhledávače, platformy sociálních sítí).

Velikostní kritéria

Zpravidla platí: organizace s méně než 50 zaměstnanci a ročním obratem pod 10 milionů eur jsou vyjmuty bez ohledu na sektor. Výjimky existují pro specifické typy subjektů (poskytovatelé elektronických komunikací, certifikační autority aj.) – pro ty platí povinnosti bez ohledu na velikost.

Hlavní povinnosti podle NIS2

1. Bezpečnostní opatření a řízení rizik

Povinné subjekty musí zavést a udržovat přiměřená technická, provozní a organizační opatření na základě analýzy rizik. NIS2 explicitně jmenuje minimální oblasti pokrytí:

  • Politiky analýzy rizik a bezpečnosti informačních systémů.
  • Zvládání incidentů (detekce, reakce, obnova).
  • Kontinuita provozu a krizové řízení (zálohy, obnova po havárii).
  • Bezpečnost dodavatelského řetězce.
  • Bezpečné pořizování, vývoj a údržba systémů.
  • Politiky a postupy hodnocení účinnosti opatření.
  • Základní kybernetická hygiena a vzdělávání zaměstnanců.
  • Kryptografie a šifrování (kde je to vhodné).
  • Bezpečnost lidských zdrojů a řízení přístupu.
  • Využívání vícefaktorové autentizace (MFA).

2. Hlášení incidentů

NIS2 zavádí přísné lhůty pro hlášení bezpečnostních incidentů příslušnému orgánu (v ČR NÚKIB / CSIRT.CZ):

  • Do 24 hodin od zjištění: prvotní varování (early warning) – základní informace o incidentu.
  • Do 72 hodin: úvodní zpráva o incidentu včetně první klasifikace závažnosti.
  • Do 1 měsíce: závěrečná zpráva s analýzou příčin, dopadem a přijatými opatřeními.

Hlásit je třeba incidenty, které mají nebo mohou mít závažný dopad na poskytování služby – výpadek, únik dat, kompromitace systémů.

3. Odpovědnost vedení

NIS2 explicitně stanoví odpovědnost statutárního vedení za kybernetickou bezpečnost. Vrcholoví manažeři musí schválit bezpečnostní opatření a dohlížet na jejich plnění. V případě závažného porušení povinností mohou být fyzické osoby na řídicích pozicích dočasně vyloučeny z výkonu funkce.

4. Bezpečnost dodavatelského řetězce

Povinné subjekty musí řešit bezpečnostní rizika vyplývající z dodavatelů a subdodavatelů. To zahrnuje hodnocení bezpečnostní úrovně klíčových dodavatelů a smluvní zakotvení bezpečnostních požadavků.

5. Registrace u NÚKIB

Povinné subjekty se musí identifikovat a zaregistrovat u NÚKIB. Registrační povinnost trvá průběžně – změny je nutné hlásit.

Sankce za porušení

NIS2 zavádí výrazně přísnější sankční rámec než původní NIS1:

Kategorie subjektuMaximální pokuta
Základní subjekty10 milionů eur nebo 2 % celosvětového obratu (vyšší z obou)
Důležité subjekty7 milionů eur nebo 1,4 % celosvětového obratu (vyšší z obou)

Vedle finančních pokut lze ukládat i nepeněžní opatření: dočasné pozastavení certifikátů, nápravná opatření nebo (u základních subjektů) dočasné vyloučení vedoucích osob z výkonu funkce.

Jak začít s přípravou

Pokud si nejste jisti, zda se NIS2 na vaši organizaci vztahuje, první kroky jsou:

  1. Zjistěte, do jakého sektoru vaše organizace patří – seznam sektorů a prahových hodnot obsahuje zákon o kybernetické bezpečnosti a metodické pokyny NÚKIB.
  2. Kontaktujte NÚKIB – orgán vydal metodické materiály a nabízí konzultace pro povinné subjekty.
  3. Proveďte analýzu mezer (gap analysis) – srovnejte vaše současné bezpečnostní opatření s požadavky NIS2.
  4. Zapojte právní a bezpečnostní poradce – NIS2 je komplexní regulace a individuální výklad závisí na konkrétní situaci organizace.

Obecný přehled kybernetické bezpečnosti pro firmy všech velikostí najdete v článku Kybernetická bezpečnost pro firmy: průvodce pro rok 2026.

Co teď udělat?

  • Ověřte, zda váš sektor a velikost zakládají povinnost – prostudujte si přílohy zákona o kybernetické bezpečnosti nebo se obraťte na NÚKIB.
  • Registrujte se u NÚKIB, pokud jste povinným subjektem a dosud jste tak neučinili.
  • Spusťte interní analýzu rizik – zmapujte, jaká data a systémy provozujete a jaká jsou klíčová bezpečnostní rizika.
  • Zapojte vedení – schvalování bezpečnostní politiky musí jít přes statutární orgány, ne jen přes IT oddělení.
  • Nastavte procesy hlášení incidentů – určete, kdo v organizaci incidenty detekuje, hlásí NÚKIB a koordinuje reakci.

Často kladené otázky: NIS2 povinnosti

Co je NIS2 a proč vznikla?

NIS2 (Network and Information Security Directive 2) je revidovaná evropská směrnice o bezpečnosti sítí a informačních systémů. Nahrazuje původní NIS z roku 2016, která se ukázala jako nedostatečná: příliš úzký rozsah, nekonzistentní implementace v členských státech a nízké sankce. NIS2 výrazně rozšiřuje počet povinných subjektů a zpřísňuje požadavky na bezpečnostní opatření, hlášení incidentů a odpovědnost vedení.

Kdo v ČR spadá pod NIS2?

NIS2 se v ČR vztahuje na střední a větší subjekty (nad 50 zaměstnanců nebo obrat nad 10 milionů eur) v kritických sektorech: energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, správa ICT služeb, veřejná správa a vesmírný sektor. V tzv. důležitých sektorech (potravinářství, chemický průmysl, výroba, poštovní služby aj.) platí mírnější požadavky. Přesný výčet a výjimky stanoví zákon o kybernetické bezpečnosti.

Musí se povinné subjekty registrovat u NÚKIB?

Ano, povinné subjekty se musí identifikovat a registrovat u NÚKIB. Orgán zveřejňuje aktuální pokyny k registraci na svých webových stránkách. Nesplnění registrační povinnosti je samo o sobě přestupkem.

Jaké jsou lhůty pro hlášení incidentů?

NIS2 zavádí třístupňové hlášení: do 24 hodin prvotní varování (early warning), do 72 hodin úvodní zpráva o incidentu a do jednoho měsíce závěrečná zpráva. Lhůty se počítají od okamžiku, kdy organizace incident zjistí. NÚKIB přijímá hlášení přes svůj portál.

Nenechte se na internetu napálit

Praktické návody, nezávislé testy a jasná srovnání — vše česky a bez marketingového balastu.

Číst návody Vyzkoušet nástroje