NIS2 pro nižší režim: kompletní průvodce pro české firmy v roce 2026
Od 1. listopadu 2025 platí v Česku nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.). Zasáhne tisíce firem, které dosud kyberbezpečnost řešit nemusely.
Máte 50 až 250 zaměstnanců a přišlo vám rozhodnutí od NÚKIBu? Spadáte pravděpodobně do nižšího režimu povinností. Tady je co to znamená, co musíte udělat a kolik na to máte času.
Kdo spadá do nižšího režimu
Zákon 264/2025 Sb. rozlišuje dva režimy: vyšší a nižší. Většina středních firem spadá do nižšího.
Do nižšího režimu typicky patříte, pokud:
- Máte 50 až 250 zaměstnanců
- Podnikáte v regulovaném odvětví (výroba, logistika, digitální služby, zdravotnictví, energetika a další)
- Obdrželi jste rozhodnutí o registraci od NÚKIBu
Rozhodnutí přijde poštou. Obsahuje číslo jednací, datum a název vaší regulované služby. Nepřišlo vám? Registrujte se sami – NÚKIB aktivně vyhledává firmy, které se nezaregistrovaly (§6 odst. 1 zákona). Lhůta je 60 dnů od okamžiku, kdy zjistíte, že splňujete kritéria.
Kolik firem se to týká
Podle údajů NÚKIBu z února 2026 se zaregistrovalo přes 4 800 organizací. Odhad celkového počtu subjektů je 6 000 až 10 000. Stovky firem se dosud nezaregistrovaly.
NÚKIB k tomu říká: „Budeme průběžně vyhledávat a oslovovat." Čím déle firma překračuje lhůtu, tím horší pozici má v případném přestupkovém řízení.
13 bezpečnostních opatření
Zákon v §14 odst. 2 vyjmenovává 13 oblastí, které musíte pokrýt. Pro nižší režim požadavky upřesňuje vyhláška 410/2025 Sb.
| # | Opatření | Vyhláška § | Co to znamená v praxi |
|---|---|---|---|
| 1 | Systém řízení bezpečnosti | §3-6 | Bezpečnostní politika, přehled opatření, pověřená osoba |
| 2 | Řízení dodavatelů | §7 | Seznam dodavatelů, smlouvy, hodnocení rizik |
| 3 | Řízení přístupu | §8 | Kdo má kam přístup, hesla, dvoufaktor |
| 4 | Řízení rizik | – | Nižší režim toto nevyžaduje (výjimka!) |
| 5 | Bezpečnost lidských zdrojů | §9 | Školení zaměstnanců, pravidla chování |
| 6 | Řízení aktiv | §10 | Evidence systémů, serverů, dat |
| 7 | Bezpečnost sítí | §11 | Segmentace sítě, firewall, šifrování |
| 8 | Řízení provozu | §11 | Logování, monitoring, antivir |
| 9 | Kontinuita činností | §12 | Zálohy, plán obnovy |
| 10 | Řízení incidentů | §13 | Hlášení k NÚKIBu, eskalační postup |
| 11 | Audit | §14 | Přezkoumání a schválení dokumentace |
| 12 | Kryptografie | §11 | Šifrovací pravidla, správa klíčů |
| 13 | Řízení přístupu k IS | §8 | Administrátorské účty, servisní účty |
Důležité: zákon funguje na principu comply-or-explain. To znamená, že u každého opatření buď popíšete jak ho plníte, nebo zdůvodníte proč se vás netýká a jaká alternativní opatření máte. Obojí musí být zdokumentováno v přehledu bezpečnostních opatření (Příloha 1).
Jaké dokumenty musíte mít
Vyhláška 410/2025 Sb. nestanovuje přesné formáty ani šablony. Stanovuje co musí být zdokumentováno. Podpůrné materiály NÚKIB z března 2026 upřesňují 10 politik a 9 dokumentů. V praxi potřebujete minimálně těchto 12 dokumentů:
1. Bezpečnostní politika
Zastřešující dokument pokrývající všech 13 opatření. Popisuje jak vaše firma řeší bezpečnost – od přístupů přes zálohy po školení. Nemusí být dlouhý. Musí být konkrétní.
2. Přehled bezpečnostních opatření
Tabulka (Příloha 1 vyhlášky) se 6 sloupci: opatření, stav zavedení, popis, termín, priorita, odpovědná osoba. Pro každé ze 13 opatření uvedete jestli je zavedeno, v procesu, nebo nezavedeno – a proč.
Uchovává se minimálně 4 roky. Aktualizuje se minimálně jednou ročně.
3. Metodika posuzování incidentů
Jak poznáte, že se něco stalo. Jak rozhodnete, jestli je to závažné. Komu to nahlásíte a jak rychle.
Zákon vyžaduje oznámení NÚKIBu do 72 hodin od zjištění závažného incidentu (§16 odst. 1). Závěrečná zpráva do 30 dnů.
4. Registr dodavatelů
Seznam dodavatelů s přístupem k vašim systémům nebo datům. U každého: jaký přístup má, jaké bezpečnostní záruky poskytuje, co říká smlouva.
Vyhláška v Příloze 2 vyjmenovává 14 bodů, které by měly být ve smlouvách s dodavateli.
5. Implementační plán
Co nesplňujete a co s tím uděláte. Konkrétní kroky, termíny, odpovědné osoby, priority. Zákon vyžaduje plán, ne okamžité splnění všeho.
Kolik máte času
Klíčový termín: 12 měsíců od registrace u NÚKIBu (§13 odst. 4 zákona).
Pozor – lhůta běží od data doručení rozhodnutí, ne od účinnosti zákona. Každá firma má tedy jiný deadline.
| Událost | Lhůta |
|---|---|
| Registrace u NÚKIBu | 60 dnů od zjištění, že spadáte pod zákon |
| Předání kontaktních údajů | 30 dnů od registrace |
| Implementace všech opatření | 12 měsíců od registrace |
| Zavedení hlášení incidentů | 12 měsíců od registrace |
| Oznámení závažného incidentu | 72 hodin od zjištění |
| Závěrečná zpráva o incidentu | 30 dnů od vyřešení |
Pokud jste rozhodnutí obdrželi v lednu 2026, váš deadline je leden 2027. Nemusíte mít vše hotové hned – musíte mít plán a prokazatelně na něm pracovat.
Co hrozí za nesplnění
Zákon stanoví maximální sankce. V praxi bude NÚKIB posuzovat individuálně – záleží na závažnosti, délce prodlení a snaze o nápravu.
| Porušení | Maximální sankce |
|---|---|
| Nesplnění opatření | 175 000 000 Kč nebo 1,4 % celosvětového obratu |
| Neposkytnutí kontaktních údajů | 50 000 000 Kč |
| Nenahlášení protiopatření | 35 000 000 Kč |
Kromě pokut může NÚKIB zakázat konkrétní osobě výkon funkce (jednatel, ředitel) až na 6 měsíců za opakované nebo závažné porušení.
To neznamená, že vám hrozí stamilionová pokuta za chybějící dokument. Znamená to, že ignorování zákona má reálné důsledky. Firma, která má dokumentaci a prokazatelně pracuje na implementaci, je v zásadně jiné pozici než firma, která nedělá nic.
Jak na to: 3 cesty k dokumentaci
Konzultant
80 000 až 200 000+ Kč. Týdny až měsíce práce. Osobní schůzky, závislost na dostupnosti. Výhodou je odbornost a přizpůsobení na míru. Nevýhodou cena a čas.
Šablony
5 000 až 15 000 Kč. Generické dokumenty, které nesedí na vaši firmu. Musíte je sami upravit – a vědět jak. Žádné vyhodnocení, žádný kontext.
Online průvodce (Compligen)
Odpovíte na otázky o své firmě. Aplikace vyhodnotí 25 povinností, identifikuje mezery a vygeneruje 12 dokumentů na míru. Online, za pár hodin.
Časté otázky
Spadá moje firma pod zákon?
Pokud jste obdrželi rozhodnutí od NÚKIBu, spadáte. Pokud si nejste jistí, můžete se obrátit přímo na NÚKIB nebo projít průvodce, který vám pomůže odpověď zjistit.
Musím mít CISO nebo bezpečnostní tým?
Ne. Zákon vyžaduje jednu pověřenou osobu zodpovědnou za kybernetickou bezpečnost. Může to být i jednatel. Nemusíte nikoho najímat.
Co když nestihnu deadline?
Zákon počítá s postupnou implementací – proto existuje implementační plán. Důležité je mít plán a prokazatelně na něm pracovat. Firma, která se aktivně snaží, je v lepší pozici než firma, která nedělá nic.
Nahradí mi dokumentace konzultanta?
Dokumentace pokrývá formální požadavky vyhlášky. U složitějších organizací doporučujeme nechat ji zrevidovat odborníkem – ale jako základ je kompletní a na míru vaší firmě.
Musím řešit řízení rizik?
Ne – nižší režim nevyžaduje formální řízení rizik (opatření d). To je výhrada vyššího režimu. Musíte ale pokrýt zbývajících 12 opatření.
Jak často musím dokumentaci aktualizovat?
Přehled bezpečnostních opatření minimálně jednou ročně. Bezpečnostní politiku a metodiku incidentů také minimálně ročně, a vždy po významné změně v organizaci (reorganizace, incident, nový systém).
Shrnutí
| Co | Detail |
|---|---|
| Zákon | č. 264/2025 Sb. o kybernetické bezpečnosti |
| Vyhláška | č. 410/2025 Sb. (nižší režim) |
| Kdo | Firmy 50-250 zaměstnanců v regulovaných odvětvích |
| Co splnit | 12 z 13 bezpečnostních opatření (bez řízení rizik) |
| Dokumenty | Bezpečnostní politika, přehled opatření, metodika incidentů, registr dodavatelů, implementační plán |
| Deadline | 12 měsíců od registrace u NÚKIBu |
| Princip | Comply-or-explain (splnit nebo zdůvodnit) |
Tento článek vychází ze zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026. Pro aktuální informace sledujte web NÚKIBu.