NIS2 FAQ: 20 nejčastějších otázek českých firem

Zákon o kybernetické bezpečnosti (264/2025 Sb.) platí od listopadu 2025. Tady jsou odpovědi na otázky, které dostáváme nejčastěji.

Základy

1. Co je NIS2?

Evropská směrnice (EU 2022/2555), která zpřísňuje pravidla kybernetické bezpečnosti v celé EU. V Česku ji implementuje zákon č. 264/2025 Sb. a prováděcí vyhláška č. 410/2025 Sb.

2. Týká se mě to?

Pravděpodobně ano, pokud splňujete dvě podmínky: 50 a více zaměstnanců (nebo obrat nad 10 mil. EUR) a podnikáte v regulovaném odvětví (výroba, energie, doprava, zdravotnictví, digitální služby, vodohospodářství, chemie, pošta, odpadové hospodářství a další). Kompletní test najdete v kontrolním seznamu.

3. Co je nižší režim?

Zákon rozlišuje dva režimy: vyšší a nižší. Většina středních firem (50–250 zaměstnanců) spadá do nižšího režimu, který má mírnější požadavky. Konkrétní opatření definuje vyhláška 410/2025 Sb. Podrobnosti v průvodci nižším režimem.

4. Máme 48 zaměstnanců. Spadáme pod zákon?

Pokud váš roční obrat nepřesahuje 10 mil. EUR, pravděpodobně ne. Výjimkou jsou poskytovatelé specifických služeb (DNS, cloud, služby důvěry) – ti spadají bez ohledu na velikost.

5. Jsme dceřiná firma. Počítají se zaměstnanci celé skupiny?

Závisí na tom, jestli vaše česká entita samostatně provozuje regulovanou službu. Pokud ano, počítají se zaměstnanci české entity. Při nejasnostech kontaktujte NÚKIB.

Registrace

6. Musím se registrovat u NÚKIBu?

Ano, pokud spadáte pod zákon. Lhůta je 60 dnů od zjištění, že splňujete kritéria (§6 odst. 1). NÚKIB aktivně vyhledává firmy, které se nezaregistrovaly.

7. Už mi přišlo rozhodnutí od NÚKIBu. Co teď?

Rozhodnutí znamená, že jste oficiálně v registru. Do 30 dnů předejte kontaktní údaje. Do 12 měsíců implementujte bezpečnostní opatření. Začněte přípravou dokumentace.

8. Rozhodnutí mi nepřišlo, ale myslím si, že spadám. Co dělat?

Registrujte se sami. Nečekejte na NÚKIB. Čím déle odkládáte, tím horší pozici máte v případném řízení.

Povinnosti

9. Kolik mám času na splnění?

12 měsíců od registrace u NÚKIBu (§13 odst. 4). Lhůta běží od data doručení rozhodnutí – každá firma má jiný deadline. Podrobný přehled lhůt najdete v kompletním průvodci.

10. Co konkrétně musím splnit?

Vyhláška 410/2025 Sb. definuje 12 bezpečnostních opatření (ze zákona jich je 13, ale řízení rizik se na nižší režim nevztahuje). Pokrývají: řízení bezpečnosti, dodavatele, přístupy, ověřování identity, sítě, zálohy, incidenty, logování, šifrování a další. Detailní rozbor v článku o vyhlášce 410/2025.

11. Musím mít CISO?

Ne. Zákon vyžaduje jednu pověřenou osobu zodpovědnou za kyberbezpečnost (§4 vyhlášky). Může to být jednatel, IT manažer, nebo kdokoli s přehledem. Musí absolvovat odborné školení nebo prokázat znalost.

12. Jaké dokumenty potřebuju?

Minimálně pět: bezpečnostní politika, přehled opatření (Příloha 1), metodika incidentů, registr dodavatelů, implementační plán. Kompletní přehled v článku o dokumentaci.

Náklady a implementace

13. Kolik to bude stát?

Závisí na cestě. Konzultant: 80 000–200 000+ Kč. Šablony: 5 000–15 000 Kč. Online průvodce (Compligen): od 0 Kč v testovacím provozu. Detailní srovnání v článku o nákladech.

14. Zvládnu to sám?

Pokud máte interního IT odborníka a čas na prostudování vyhlášky, ano. Počítejte s 40–80 hodinami práce. Pro většinu firem je efektivnější použít průvodce nebo konzultanta.

15. Musím mít dvoufaktorové ověření (MFA)?

Vyhláška ho stanoví jako cílový stav (§8). Přechodně stačí kryptografické klíče nebo přísná hesla (min. 12 znaků pro uživatele, 17 pro administrátory). Ale MFA je směr, kam musíte směřovat.

16. Stačí antivir a firewall?

Jako součást širšího systému ano. Ale NIS2 vyžaduje víc: segmentaci sítě, logování, řízení přístupu, zálohy, školení, dokumentaci. Antivir a firewall jsou dva body z dvanácti.

Sankce a odpovědnost

17. Jaká je maximální pokuta?

175 milionů Kč nebo 1,4 % celosvětového obratu – podle toho, co je vyšší. To je teoretické maximum pro nejzávažnější případy. Podrobnosti v článku o sankcích.

18. Může dostat pokutu přímo jednatel?

Pokuty se ukládají firmě. Ale NÚKIB může jednateli zakázat výkon funkce až na 6 měsíců za opakované nebo závažné porušení. Osobní odpovědnost vedení je v NIS2 výrazně silnější než v GDPR.

19. Co když nestihnu deadline?

Kontaktujte NÚKIB. Mějte alespoň implementační plán a dokumentaci rozpracovanou. Firma, která aktivně pracuje na splnění a komunikuje, je v nesrovnatelně lepší pozici než firma, která mlčí.

Praktické

20. Jak souvisí NIS2 a GDPR?

Jsou to dvě různé regulace s různým zaměřením. GDPR chrání osobní údaje, NIS2 chrání služby a systémy. Překrývají se v oblastech řízení přístupu a dodavatelů. Detailní srovnání v článku NIS2 vs GDPR.

Potřebujete pomoct?

Compligen vám pomůže připravit dokumentaci pro nižší režim. Odpovíte na otázky o vaší firmě, průvodce vyhodnotí povinnosti a vygeneruje dokumenty na míru.

Vyzkoušet průvodce zdarma →

Odpovědi v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026. Mají informační charakter a nenahrazují odborné poradenství.