Kdy začne platit NIS2?
Víte přesně, od kdy platí NIS2 a co to pro vaši firmu znamená v praxi? Termíny jsou konkrétní, lhůty běží a ignorování situace se nevyplácí. Přečtěte si, co přesně platí, od kdy a jak se na plnění povinností připravit včas.
Stručné shrnutí
NIS2 platí v České republice od listopadu 2025, kdy vstoupil v účinnost zákon 264/2025 Sb. Firmy s 50 a více zaměstnanci v regulovaných odvětvích mají od doručení rozhodnutí o registraci u NÚKIBu dvanáct měsíců na splnění všech povinností. Za nedodržení termínu hrozí pokuty až do výše 250 milionů korun a osobní odpovědnost jednatele. Čím dříve firma zahájí přípravu, tím klidněji celý proces zvládne.
Kdy začne platit NIS2 v České republice
NIS2 v České republice již platí. Nejde o budoucí povinnost ani o zákon, který se teprve chystá. Zákon 264/2025 Sb. nabyl účinnosti 1. listopadu 2025 a od tohoto data jsou firmy, které splňují zákonná kritéria, povinny jednat.
Mnohé firmy stále odkládají první kroky v přesvědčení, že mají čas. Ve skutečnosti lhůta pro splnění povinností začíná plynout od okamžiku doručení rozhodnutí o registraci u NÚKIBu, nikoli od data účinnosti zákona. To ale neznamená, že lze registraci neomezeně odkládat. NÚKIB může sám zahájit registraci z moci úřední, pokud firma svou povinnost nesplní dobrovolně.
Co platí od listopadu 2025
Účinnost zákona přinesla konkrétní povinnosti, které se netýkají jen velkých korporací nebo státních institucí. Poprvé v historii české legislativy jsou do pravidel kybernetické bezpečnosti zahrnuty i střední firmy v soukromém sektoru.
Zákon 264/2025 Sb. a vyhláška 410/2025 Sb.
Zákon 264/2025 Sb. je základním právním rámcem, který implementuje evropskou směrnici NIS2 do českého právního řádu. Stanovuje, kdo jsou povinné subjekty, jaké povinnosti mají a jaké sankce hrozí za jejich nesplnění.
Prováděcím předpisem k zákonu je vyhláška 410/2025 Sb., která jde do konkrétních detailů. Definuje bezpečnostní opatření, která musí firmy v nižším režimu zavést. Bez znalosti vyhlášky nelze povinnosti správně splnit.
Oba předpisy tvoří jeden celek a firmy je musí vnímat společně.
Co se pro firmy změnilo
Před přijetím zákona se pravidla kybernetické bezpečnosti vztahovala jen na úzkou skupinu subjektů kritické infrastruktury. Nová úprava výrazně rozšiřuje okruh povinných organizací a přináší povinnosti i pro firmy, které dosud žádné podobné požadavky neznaly.
Klíčové změny, které zákon přinesl, jsou tyto:
- Povinná registrace u NÚKIBu pro firmy splňující velikostní a odvětvové kritérium.
- Zavedení konkrétních bezpečnostních opatření podle vyhlášky 410/2025 Sb.
- Povinnost připravit a udržovat bezpečnostní dokumentaci.
- Povinné hlášení kybernetických incidentů ve stanovených lhůtách.
- Osobní odpovědnost jednatele za plnění zákonných povinností.
Pro velkou část středních firem jde o zcela nové povinnosti, s nimiž nemají žádnou předchozí zkušenost.
Jak dlouho mají firmy na splnění povinností
Zákon nepožaduje, aby firmy splnily vše okamžitě po registraci. Stanovuje lhůtu, která je na jednu stranu relativně velkorysá, na druhou stranu překvapivě rychle uplyne, pokud firma nezačne jednat brzy.
Dvanáct měsíců od registrace u NÚKIBu
Od okamžiku, kdy firma obdrží rozhodnutí o registraci od NÚKIBu, začíná plynout dvanáctiměsíční lhůta na splnění všech povinností. V průběhu této doby musí firma zmapovat svá aktiva, připravit kompletní dokumentaci a zavést bezpečnostní opatření.
Celý proces má přitom jasně stanovené termíny, které je potřeba dodržet:
Do 60 dnů od splnění podmínek musí firma provést samoidentifikaci a ohlásit svou službu přes Portál NÚKIBu. Pro firmy, které splňovaly podmínky již k 1. listopadu 2025, platila lhůta do 31. prosince 2025.
Do 30 dnů od doručení rozhodnutí o registraci je firma povinna nahlásit kontaktní údaje a doplňující informace o své regulované službě.
Do 12 měsíců od doručení rozhodnutí o registraci musí být zavedena veškerá bezpečnostní opatření, připravena dokumentace a nastaven systém hlášení incidentů podle vyhlášky 410/2025 Sb.
Co se stane, když termín nestihnete
Nedodržení lhůty není administrativní pochybení, které by NÚKIB přehlédl. Jde o porušení zákona s konkrétními důsledky.
| Nižší režim | Vyšší režim | |
|---|---|---|
| Maximální pokuta | 250 milionů Kč | 500 milionů Kč |
| Alternativní výpočet | 2 % ročního obratu | 2 % ročního obratu |
| Osobní odpovědnost jednatele | Ano | Ano |
| Zákaz výkonu funkce | Možný | Možný |
Sankce jsou nastaveny tak, aby byly citelné i pro větší firmy. A protože zákon výslovně zakotvuje osobní odpovědnost jednatele, nejde o problém, který lze přenést na IT oddělení nebo externího dodavatele.
Jak stihnout NIS2 včas
Zvládnout přípravu v zákonné lhůtě je reálné. Vyžaduje to ale jasný plán, správné nástroje a ochotu začít bez zbytečného odkládání. Firmy, které zahájí přípravu brzy, mají výrazně klidnější průběh celého procesu.
První kroky, které musíte udělat hned
Příprava na NIS2 začíná ověřením, zda firma pod zákon vůbec spadá. Pokud ano, je potřeba neprodleně zahájit registraci u NÚKIBu, protože od ní se odvíjí celá lhůta.
Paralelně s registrací je vhodné zahájit mapování aktiv. To znamená sestavit přehled systémů, dat, aplikací a dodavatelů, na kterých firma závisí při poskytování regulované služby. Bez tohoto přehledu nelze smysluplně připravit dokumentaci ani nastavit bezpečnostní opatření.
Dalším krokem je posouzení aktuálního stavu kybernetické bezpečnosti ve firmě a identifikace mezer oproti požadavkům vyhlášky 410/2025 Sb.
NIS2 dokumentace a bezpečnostní opatření: co zákon vyžaduje
Vyhláška 410/2025 Sb. definuje bezpečnostní opatření a k nim příslušnou dokumentaci. Firmy v nižším režimu musí připravit dokumenty, které pokrývají oblasti jako bezpečnostní politika, řízení rizik, evidence aktiv, řízení přístupů, plán reakce na incidenty nebo politika zálohování.
Každý dokument musí odrážet skutečný stav firmy, nikoli obecné šablony bez vazby na reálné procesy. NÚKIB při kontrole prověřuje právě to, zda dokumentace odpovídá skutečnosti.
Samotné zavedení bezpečnostních opatření, například vícefaktorového ověřování, školení zaměstnanců nebo systému hlášení incidentů, probíhá na straně firmy a dokumentace k tomu slouží jako podklad a průvodce.
Jak vám Compligen pomůže splnit NIS2 v termínu
Compligen je online průvodce, který firmu celým procesem přípravy dokumentace provede krok za krokem. Výsledkem je dvanáct hotových dokumentů v souladu s vyhláškou 410/2025 Sb. a metodikami NÚKIBu, které firma může rovnou použít jako podklad pro IT oddělení i případný audit.
Celý proces zvládnete online, bez nutnosti najímat externího konzultanta a bez měsíců čekání na výsledek. Průvodce nepředpokládá žádné odborné znalosti legislativy. Stačí odpovídat na otázky o vaší firmě a systém zbytek připraví za vás.
Závěr
NIS2 v České republice platí od listopadu 2025 a firmy s 50 a více zaměstnanci v regulovaných odvětvích musí jednat. Od doručení rozhodnutí o registraci u NÚKIBu běží dvanáct měsíců na splnění všech povinností a za jejich nedodržení hrozí vysoké pokuty i osobní odpovědnost jednatele. Nejlepší moment pro zahájení přípravy byl včera, druhý nejlepší je dnes.
Dokumentaci zvládnete online
Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.
12 dokumentů ke 13 opatřením vyhlášky.
Podívejte se, jak to fungujePřečtěte si také
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
- Kdo musí splnit NIS2?Týká se zákon o kybernetické bezpečnosti vaší firmy? Zjistěte, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí při nesplnění.
- Jak splnit NIS2 požadavky?Jak splnit požadavky NIS2 bez chaosu? Přečtěte si návod krok za krokem, jak připravit dokumentaci podle vyhlášky 410/2025 Sb.