NIS2 sankce a pokuty: co hrozí za nesplnění v roce 2026

Zákon 264/2025 Sb. stanoví pokuty v řádu stovek milionů korun. To zní děsivě. Pojďme se podívat, co to reálně znamená pro střední firmu v nižším režimu.

Maximální sankce

Důležité slovo: maximální. Zákon stanoví stropy. Skutečná výše pokuty závisí na okolnostech.

Jak NÚKIB reálně postupuje

NÚKIB není finanční úřad. Nepřijde s pokutou jako první. Z veřejných vyjádření NÚKIBu (únor 2026) vyplývá jasný postup:

1. Nejdřív komunikace. NÚKIB aktivně oslovuje firmy, které se nezaregistrovaly. Dává prostor pro nápravu.

2. Správní řízení o registraci. Pokud firma nereaguje, NÚKIB zahájí řízení, které firmu do registru zařadí.

3. Teprve pak přestupkové řízení. Sankce přicházejí až po vyčerpání předchozích kroků.

NÚKIB k tomu říká: „Čím déle organizace překračuje lhůtu, tím horší pro ni situace v přestupkovém řízení." Jinými slovy – rychlost reakce se počítá.

Co ovlivňuje výši pokuty

Zákon v §57 stanoví kritéria, která NÚKIB zvažuje:

• Závažnost porušení – ignorování celého zákona vs chybějící jeden dokument
• Délka porušení – měsíc vs rok
• Snaha o nápravu – firma, která aktivně pracuje na implementaci, je v jiné pozici
• Předchozí porušení – první provinění vs opakované
• Spolupráce s NÚKIBem – komunikace a součinnost pomáhají
• Dopad na službu – došlo k reálné škodě?

Firma, která má dokumentaci rozpracovanou a prokazatelně pracuje na implementačním plánu, nebude dostat stejnou pokutu jako firma, která nedělá vůbec nic.

Odpovědnost jednatele

Tohle je téma, které jednatele zajímá nejvíc. Zákon umožňuje NÚKIBu:

• Zakázat konkrétní osobě výkon funkce (jednatel, ředitel, člen představenstva) až na 6 měsíců
• Podmínka: opakované nebo závažné porušení povinností
• Musí jít o osobu, která porušení způsobila nebo k němu přispěla

Nejde o automatický trest. Jde o krajní opatření pro případy, kdy vedení firmy systematicky ignoruje zákon.

Co to znamená v praxi

Jednatel, který:

• Určil pověřenou osobu
• Absolvoval školení (§4 vyhlášky)
• Zajistil zdroje na implementaci
• Pravidelně se seznamuje se stavem bezpečnosti

…se ocitne v zásadně jiné pozici než jednatel, který o zákonu ví a nedělá nic.

Srovnání s GDPR

Firmy, které prošly GDPR, mají referenční bod. Pár rozdílů:

NÚKIB zatím působí vstřícněji než ÚOOÚ. Ale to neznamená, že lze zákon ignorovat. Znamená to, že spolupráce se vyplatí.

Co udělat, abyste se nedostali do problémů

Zákon nepožaduje dokonalost. Požaduje systém a dokumentaci.

1. Zaregistrujte se. Pokud jste to neudělali, udělejte to teď. Lhůta je 60 dnů od zjištění.

2. Připravte dokumentaci. Bezpečnostní politika, přehled opatření, implementační plán. Nemusí být dokonalé – musí existovat.

3. Pracujte na implementaci. Implementační plán ukazuje, že víte co nesplňujete a jak to napravíte. To je přesně to, co NÚKIB chce vidět.

4. Komunikujte. Pokud vás NÚKIB osloví, reagujte. Spolupráce zásadně ovlivňuje postup regulátora.

Nejhorší strategie je čekat a doufat, že si vás nikdo nevšimne. NÚKIB má přes 4 800 registrovaných firem a aktivně hledá ty, které chybí. S dokumentací od Compligenu máte základ hotový za pár hodin.

Často kladené otázky

Může mi NÚKIB dát pokutu 175 milionů?

Teoreticky ano. Prakticky je to strop pro nejzávažnější případy. Střední firma v nižším režimu, která se snaží a spolupracuje, se k tomuto číslu nedostane.

Hrozí mi pokuta, i když mám implementační plán?

Implementační plán ukazuje, že na věci pracujete. NÚKIB zohledňuje snahu o nápravu. Plán vás neochrání před pokutou za flagrantní porušení, ale výrazně zmírňuje pozici.

Kdo konkrétně zodpovídá – firma nebo jednatel?

Pokuty se ukládají firmě (právnické osobě). Zákaz výkonu funkce se ukládá konkrétní fyzické osobě ve vedení. Obojí může platit současně.

Co když nestihnu deadline 12 měsíců?

Kontaktujte NÚKIB. Vysvětlete situaci. Ukažte, že máte plán a pracujete na něm. Proaktivní komunikace je vždy lepší než ticho.

Informace v článku vycházejí ze zákona č. 264/2025 Sb. ve znění účinném k březnu 2026. Nenahrazují právní poradenství.