Kdo musí splnit NIS2?
Týká se zákon o kybernetické bezpečnosti také vaší firmy? Přečtěte si, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí těm, kteří povinnosti ignorují.
Stručné shrnutí
NIS2 se vztahuje na firmy s 50 a více zaměstnanci působící v regulovaných odvětvích, jako je výroba, IT, doprava nebo zdravotnictví. Zákon 264/2025 Sb. platí v České republice od listopadu 2025 a zavádí konkrétní povinnosti v oblasti kybernetické bezpečnosti. Firmy musí splnit požadavky na dokumentaci a bezpečnostní opatření podle vyhlášky 410/2025 Sb. Za nesplnění hrozí vysoké pokuty i osobní odpovědnost jednatele.
Koho se týká NIS2
Zákon o kybernetické bezpečnosti nepřišel s vágními doporučeními. Stanovuje jasná pravidla a přesné podmínky, podle kterých se určuje, kdo povinnosti plnit musí. Klíčovými kritérii jsou velikost firmy a odvětví, ve kterém působí.
Velikostní kritérium: od kolika zaměstnanců zákon platí
Základní podmínkou je velikost organizace. NIS2 se povinně vztahuje na firmy s 50 a více zaměstnanci. Firmy s 50 až 249 zaměstnanci spadají do takzvaného nižšího režimu, zatímco organizace s 250 a více zaměstnanci patří do vyššího režimu s přísnějšími požadavky.
Počet zaměstnanců se přitom posuzuje v kombinaci s ročním obratem nebo bilanční sumou. Pokud firma splňuje pouze jedno ze dvou kritérií, zákon se na ni vztahovat nemusí. Proto je potřeba situaci vždy posoudit individuálně.
Výjimečně může zákon dopadat i na menší organizace, pokud jejich služby mají zásadní společenský dopad nebo pokud patří do zvláštní kategorie podle paragrafu 18.
Odvětvové kritérium: přehled oborů spadajících pod NIS2
Velikost firmy nestačí. Druhým klíčovým faktorem je odvětví, ve kterém firma podniká. Zákon se zaměřuje na organizace poskytující služby, jejichž výpadek by měl závažné dopady na ekonomiku nebo fungování společnosti.
Mezi regulovaná odvětví patří zejména:
- výroba a průmysl
- informační technologie a digitální služby
- doprava a logistika
- zdravotnictví a farmacie
- energetika
- potravinářství
- vodárenství a odpadové hospodářství
- bankovnictví a finanční infrastruktura
- veřejná správa
Pokud vaše firma působí v některém z těchto odvětví a zároveň splňuje velikostní kritérium, s velkou pravděpodobností pod zákon spadáte.
Zvláštní kategorie a výjimky
Zákon pamatuje i na organizace, které nesplňují standardní velikostní kritéria, ale jejich role je natolik kritická, že je nelze vynechat. Jde například o poskytovatele služeb DNS, správce domén nejvyšší úrovně nebo firmy vydávající elektronické podpisy a časová razítka.
Na druhé straně existují také výjimky. Některé subjekty, například určité části veřejné správy nebo organizace s velmi specifickým zaměřením, mohou být z povinností částečně nebo zcela vyjmuty. Přesné posouzení závisí na konkrétní situaci každé firmy.
Jak zjistit, jestli se NIS2 týká vaší firmy
Samotné zjištění, zda firma pod zákon spadá, je prvním a nejdůležitějším krokem. Mnoho jednatelů se mylně domnívá, že se jich zákon netýká, přestože jejich firma splňuje obě kritéria.
Praktická pravidla pro jednatele a firemní vlastníky
Základní otázky, které si každý jednatel musí položit, jsou dvě. Zaprvé, zda firma zaměstnává 50 a více lidí. Zadruhé, zda působí v některém z regulovaných odvětví.
Pokud je odpověď na obě otázky kladná, zákon se na firmu s vysokou pravděpodobností vztahuje. Doporučeným postupem je ověřit si povinnost registrace přímo na Portálu NÚKIBu, kde jsou k dispozici nástroje pro posouzení povinnosti i samotná registrace.
Níže je zjednodušené srovnání obou režimů:
| Nižší režim | Vyšší režim | |
|---|---|---|
| Počet zaměstnanců | 50 až 249 | 250 a více |
| Rozsah povinností | Základní opatření dle vyhlášky | Rozšířené povinnosti |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
| Sankce | Až 250 milionů Kč | Až 500 milionů Kč |
Důležité je nezaměňovat registraci s plněním povinností. Registrace je pouze prvním krokem, po kterém začíná běžet lhůta dvanácti měsíců na splnění všech požadavků zákona.
Dodavatelský řetězec: kdy vás zákon zasáhne nepřímo
NIS2 se nevztahuje pouze na přímé poskytovatele regulovaných služeb. Pokud vaše firma dodává produkty nebo služby organizaci, která pod zákon spadá, může být požadavek na kybernetickou bezpečnost přenesen i na vás jako součást jejího dodavatelského řetězce.
Povinné subjekty jsou totiž ze zákona odpovědné za bezpečnost svých dodavatelů. To v praxi znamená, že vám může přijít požadavek na doložení bezpečnostní dokumentace nebo splnění konkrétních standardů, i když sami pod zákon formálně nespadáte.
Tato situace se týká zejména IT dodavatelů, poskytovatelů cloudových služeb, správců infrastruktury nebo firem zajišťujících facility management pro větší organizace.
Jak se mohou firmy připravit na NIS2
Zjistit, že firma pod zákon spadá, je teprve začátek. Skutečná práce spočívá v tom, co přijde potom. Příprava zahrnuje zmapování stavu bezpečnosti, přípravu dokumentace a zavedení konkrétních opatření.
První kroky po zjištění povinnosti
Po potvrzení povinnosti je potřeba jednat systematicky. Prvním krokem je registrace u NÚKIBu, po které začíná plynout dvanáctiměsíční lhůta na splnění všech povinností.
Souběžně s registrací je vhodné zahájit mapování aktiv, tedy zjistit, jaké systémy, data a procesy firma používá a které jsou pro poskytování regulované služby klíčové. Bez tohoto přehledu nelze smysluplně připravit dokumentaci ani zavést bezpečnostní opatření.
Firmy v nižším režimu musí připravit 12 dokumentů pokrývajících všech 13 bezpečnostních opatření podle vyhlášky 410/2025 Sb. Jde například o bezpečnostní politiku, plán reakce na incidenty, pravidla řízení přístupů nebo politiku zálohování.
Jak se zaregistrovat u NÚKIBu
Registrace probíhá elektronicky prostřednictvím Portálu NÚKIBu. K registraci je potřeba mít připravené základní údaje o firmě, informace o regulované službě a rozhodnutí o registraci, které NÚKIB zasílá do datové schránky.
Po obdržení rozhodnutí firma dostává přidělené číslo jednací a od tohoto okamžiku běží lhůta pro splnění všech povinností. NÚKIB v průběhu této lhůty nevykonává aktivní kontroly, ale po jejím uplynutí může kdykoli zahájit dozorové řízení.
Největší chybou, které se firmy dopouštějí, je odkládání registrace v domnění, že tím odloží i povinnosti. Opak je pravdou. Čím dříve firma zahájí přípravu, tím více času má na zvládnutí celého procesu bez zbytečného stresu.
Závěr
NIS2 musí splnit každá firma s 50 a více zaměstnanci, která působí v regulovaném odvětví. Zákon se nevztahuje na všechny, ale tisíce českých firem pod něj spadají, aniž by o tom věděly. Prvním krokem je ověřit si povinnost registrace, druhým zahájit přípravu dokumentace a zavedení bezpečnostních opatření. Čas od doručení rozhodnutí o registraci u NÚKIBu běží a dvanáct měsíců uplyne rychleji, než se zdá.
Dokumentaci zvládnete online
Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.
12 dokumentů ke 13 opatřením vyhlášky.
Podívejte se, jak to fungujePřečtěte si také
- Kdy začne platit NIS2?NIS2 v Česku platí od listopadu 2025. Zjistěte, od kdy běží lhůty, co musí firma stihnout a jak se na povinnosti připravit včas.
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
- Jak splnit NIS2 požadavky?Jak splnit požadavky NIS2 bez chaosu? Přečtěte si návod krok za krokem, jak připravit dokumentaci podle vyhlášky 410/2025 Sb.