Co je to NIS2?
Slýcháte zkratku NIS2 stále častěji, ale nejste si jistí, co přesně znamená a jestli se vás vůbec týká? Nejste sami. Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
Stručné shrnutí
NIS2 je evropská směrnice o kybernetické bezpečnosti, kterou Česká republika převedla do zákona 264/2025 Sb. Týká se firem s 50 a více zaměstnanci v regulovaných odvětvích, jako je výroba, IT, doprava nebo zdravotnictví. Tyto firmy musí zavést bezpečnostní opatření a připravit dokumentaci podle vyhlášky 410/2025 Sb. Za nesplnění povinností hrozí vysoké pokuty i osobní odpovědnost jednatele.
Co je NIS2 a zákon o kybernetické bezpečnosti
NIS2 je zkratka pro druhou verzi evropské směrnice o bezpečnosti sítí a informačních systémů. Jejím cílem je zvýšit odolnost firem a organizací vůči kybernetickým hrozbám, které jsou v posledních letech stále sofistikovanější a častější. Směrnice reaguje na skutečnost, že původní pravidla z roku 2016 již neodpovídají aktuálním rizikům.
Co říká nový zákon o kybernetické bezpečnosti
Česká republika směrnici NIS2 implementovala prostřednictvím zákona 264/2025 Sb., který vstoupil v platnost v listopadu 2025. Zákon stanovuje konkrétní povinnosti pro firmy v regulovaných odvětvích a je doplněn vyhláškou 410/2025 Sb., která podrobně popisuje jednotlivá bezpečnostní opatření a požadavky na dokumentaci.
Zákon přinesl výrazné rozšíření okruhu povinných subjektů. Zatímco dříve se pravidla kybernetické bezpečnosti vztahovala převážně na velké firmy a kritickou infrastrukturu, nová úprava zahrnuje také tisíce středních firem, které dosud žádné podobné povinnosti neměly.
Firmy mají od doručení rozhodnutí o registraci u NÚKIBu dvanáct měsíců na to, aby všechny povinnosti splnily. Čas tedy běží a odkládání situaci nevyřeší.
NIS2 nižší režim vs. vyšší režim: jaký je mezi nimi rozdíl?
Zákon rozlišuje dva režimy povinností podle velikosti firmy a míry dopadu jejích služeb na společnost.
| Nižší režim | Vyšší režim | |
|---|---|---|
| Velikost firmy | 50 až 249 zaměstnanců | 250 a více zaměstnanců |
| Rozsah povinností | Základní opatření dle vyhlášky | Rozšířené povinnosti včetně auditů |
| Hlášení incidentů | Povinné | Povinné, přísnější lhůty |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
Většina středních českých firem spadá do nižšího režimu. I ten ale přináší řadu konkrétních povinností, jejichž splnění vyžaduje systematický přístup a kompletní dokumentaci.
Koho se NIS2 týká
Než začnete řešit, co přesně musíte splnit, je potřeba zjistit, zda se zákon vztahuje právě na vaši firmu. Mnoho jednatelů se domnívá, že se jich NIS2 netýká, přestože jejich firma pod zákon jednoznačně spadá.
Jaké firmy a organizace musí splnit NIS2
Zákon se vztahuje na firmy, které zaměstnávají 50 a více pracovníků a zároveň působí v některém z regulovaných odvětví. Mezi tato odvětví patří výroba a průmysl, IT a technologické služby, doprava a logistika, zdravotnictví, energetika, potravinářství nebo vodárenství.
Pokud vaše firma dodává služby nebo produkty jiné povinné organizaci, může se povinnost vztahovat i na vás jako na součást dodavatelského řetězce. Přesné posouzení je vždy nutné provést individuálně s ohledem na konkrétní situaci firmy.
Odpovědnost jednatele za NIS2 a sankce za nesplnění
NIS2 není jen o pokutách pro firmu. Zákon výslovně zakotvuje osobní odpovědnost jednatele, který může dostat zákaz výkonu funkce v případě závažného porušení povinností.
Finanční sankce jsou také značné. Firmy v nižším režimu čelí pokutám až do výše 250 milionů korun, případně do výše dvou procent ročního obratu. Tyto částky nejsou teoretické. NÚKIB aktivně vykonává dozor a nesplnění povinností bere jako závažné pochybení.
Jaké povinnosti NIS2 přináší a co musí firma splnit
Zákon nestanovuje pouze obecné cíle. Vyhláška 410/2025 Sb. definuje třináct konkrétních bezpečnostních opatření, která musí firmy zavést, a k nim příslušnou dokumentaci.
NIS2 dokumentace: jaké dokumenty zákon vyžaduje
Dokumentace je základním výstupem celého procesu. Firma musí mít připraveno dvanáct dokumentů, které pokrývají všechna požadovaná opatření. Bez nich není možné prokázat soulad se zákonem při případné kontrole NÚKIBu.
Dokumentace slouží také jako podklad pro IT oddělení při zavádění opatření a jako přehled aktuálního stavu kybernetické bezpečnosti ve firmě. Samotná implementace opatření pak probíhá na straně firmy.
Bezpečnostní politika, řízení rizik a evidence aktiv
Každá firma musí mít zpracovanou bezpečnostní politiku, která definuje pravidla a odpovědnosti v oblasti kybernetické bezpečnosti. Součástí je také řízení rizik, tedy systematické mapování hrozeb a zranitelností, a evidence aktiv zahrnující přehled IT systémů, hardwaru, softwaru a klíčových dat.
Bez těchto podkladů není možné přijmout smysluplná bezpečnostní opatření. Jsou základem, od kterého se celá příprava odvíjí.
Řízení přístupů, MFA a školení zaměstnanců v kybernetické bezpečnosti
Zákon ukládá firmám povinnost řídit přístupy k systémům a datům. To v praxi znamená zavést vícefaktorové ověřování (MFA), nastavit správu uživatelských identit a zajistit, že k citlivým informacím mají přístup pouze oprávnění pracovníci.
Zároveň musí firmy pravidelně školit zaměstnance v oblasti kybernetické bezpečnosti. Lidský faktor je jednou z nejčastějších příčin bezpečnostních incidentů a zákon tuto oblast výslovně adresuje. Školení se musí týkat například rozpoznávání phishingových útoků nebo správy hesel.
Plán reakce na incident a zajištění kontinuity provozu
Každá firma musí mít připravený plán reakce na bezpečnostní incident, který popisuje, jak postupovat v případě kybernetického útoku nebo úniku dat. Součástí je také povinnost incidenty hlásit NÚKIBu ve stanovených lhůtách.
Zákon rovněž vyžaduje zajistit kontinuitu provozu a mít připraven plán obnovy pro případ výpadku klíčových systémů. To zahrnuje zálohovací politiku, testování obnovy dat i zajištění náhradních postupů pro kritické procesy.
Jak se připravit na NIS2 a jak zavést požadovaná opatření
Příprava na NIS2 není jednorázová akce. Jde o proces, který je potřeba projít systematicky a s jasným přehledem o tom, co firma musí splnit a v jakém pořadí.
Pokud si nejste jistí, kde s ochranou firmy začít, projděte si nejdříve prvky kybernetické bezpečnosti.
NIS2 checklist: příprava na audit krok za krokem
Základní kroky přípravy vypadají takto:
- Zjistit, zda firma spadá pod zákon a do jakého režimu.
- Zaregistrovat se u NÚKIBu.
- Zmapovat aktiva, systémy a dodavatele.
- Vyhodnotit rizika a aktuální stav kybernetické bezpečnosti.
- Připravit kompletní dokumentaci dle vyhlášky 410/2025 Sb.
- Zavést požadovaná technická a organizační opatření.
- Proškolit zaměstnance.
- Průběžně dokumentaci aktualizovat.
Jak probíhá kontrola NÚKIB?
NÚKIB vykonává dozor nad plněním povinností u firem v nižším i vyšším režimu. V případě podezření na porušení zákona může zahájit kontrolu, při které prověří zejména existenci a obsah povinné dokumentace, nastavení bezpečnostních opatření a způsob hlášení incidentů.
Nejčastější chybou firem je, že dokumentaci nemají vůbec nebo ji mají připravenou formálně bez vazby na skutečný stav bezpečnosti. Kontrola NÚKIBu odhalí obojí.
Kolik stojí splnění NIS2 a jaká řešení existují
Cena za splnění NIS2 se liší podle toho, jakou cestu firma zvolí. Rozdíly jsou přitom zásadní jak z hlediska nákladů, tak z hlediska času.
Cena NIS2: konzultant vs. compliance software
Externí konzultant je nejčastěji zmiňovanou možností. Cena se typicky pohybuje v rozmezí 80 000 až 200 000 korun a celý proces trvá několik měsíců. Pro řadu středních firem jde o výdaj, který výrazně zatíží rozpočet.
Alternativou je compliance software nebo online průvodce, který firmu celým procesem provede krok za krokem a výstupem je kompletní dokumentace. Náklady jsou výrazně nižší a celý proces lze zvládnout za zlomek času. Například COMPLIGEN vám zajistí kompletní dokumentaci již od 19 900 Kč.
Jak vybrat správné NIS2 řešení pro vaši firmu
Při výběru řešení je klíčové ověřit, zda výstupní dokumentace odpovídá požadavkům vyhlášky 410/2025 Sb. a metodikám NÚKIBu. Nestačí obecné šablony. Dokumentace musí odrážet skutečný stav kybernetické bezpečnosti ve vaší firmě a být připravena tak, aby obstála při kontrole.
Dobrým signálem je také to, zda řešení rozlišuje mezi nižším a vyšším režimem a zda je navrženo pro firmy bez nutnosti hlubokých technických znalostí.
Závěr
NIS2 je zákon, který od listopadu 2025 ukládá tisícům českých firem konkrétní povinnosti v oblasti kybernetické bezpečnosti. Týká se firem s 50 a více zaměstnanci v regulovaných odvětvích a přináší povinnost zavést bezpečnostní opatření a připravit dokumentaci podle vyhlášky 410/2025 Sb. Za nesplnění hrozí vysoké pokuty a osobní odpovědnost jednatele. Čas neúprosně běží a nejlepší moment pro začátek přípravy je právě teď.
Dokumentaci zvládnete online
Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.
12 dokumentů ke 13 opatřením vyhlášky.
Podívejte se, jak to fungujePřečtěte si také
- Kdo musí splnit NIS2?Týká se zákon o kybernetické bezpečnosti vaší firmy? Zjistěte, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí při nesplnění.
- Jak splnit NIS2 požadavky?Jak splnit požadavky NIS2 bez chaosu? Přečtěte si návod krok za krokem, jak připravit dokumentaci podle vyhlášky 410/2025 Sb.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.