NIS2 vs GDPR: 7 klíčových rozdílů, které musíte znát
Většina českých firem zná GDPR. Od roku 2018 řeší ochranu osobních údajů, mají pověřence, zpracovávají souhlasy. Teď přichází NIS2 a první reakce bývá: „Další GDPR?"
Ne tak docela. Tady je 7 věcí, ve kterých se zásadně liší.
1. Co chrání
GDPR chrání osobní údaje – jméno, email, rodné číslo, cokoliv co identifikuje konkrétního člověka.
NIS2 chrání služby a systémy – servery, sítě, aplikace, data, na kterých závisí vaše podnikání. Ne proto, že obsahují osobní údaje, ale proto, že jejich výpadek ohrozí fungování firmy nebo celého sektoru.
Firma může mít perfektní GDPR a nulovou kyberbezpečnost. Nebo naopak. Jsou to dvě různé věci.
2. Koho se to týká
GDPR se týká prakticky každé firmy, která zpracovává osobní údaje. Od živnostníka po nadnárodní korporaci.
NIS2 (zákon 264/2025 Sb.) cílí na střední a velké podniky v regulovaných odvětvích. Hranice: 50+ zaměstnanců nebo obrat nad 10 mil. EUR. Musíte podnikat v jednom z 11 regulovaných sektorů (výroba, energie, doprava, zdravotnictví, digitální služby a další).
Malý e-shop s 5 zaměstnanci řeší GDPR. NIS2 ho netrápí. Výrobní firma se 120 lidmi řeší oboje.
3. Kdo reguluje
GDPR: Úřad pro ochranu osobních údajů (ÚOOÚ). Reaktivní přístup – typicky řeší stížnosti.
NIS2: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Proaktivní přístup – aktivně vyhledává firmy, které se nezaregistrovaly, oslovuje je, edukuje. Přes 4 800 firem už je v registru.
NÚKIB zatím působí vstřícněji. Komunikuje otevřeně, dává prostor pro nápravu. Ale má nástroje na vymáhání – a zákon mu ukládá je používat.
4. Sankce
| GDPR | NIS2 (nižší režim) | |
|---|---|---|
| Maximální pokuta | 20 mil. EUR / 4 % obratu | 175 mil. Kč / 1,4 % obratu |
| Osobní odpovědnost vedení | Nepřímo | Přímo – zákaz výkonu funkce až 6 měsíců |
| Styl vymáhání | Reaktivní | Proaktivní |
NIS2 má nižší strop pro pokuty, ale přidává něco, co GDPR nemá: osobní odpovědnost jednatele. NÚKIB může konkrétní osobě ve vedení zakázat výkon funkce. Podrobnosti v článku o sankcích.
5. Co musíte dokumentovat
GDPR vyžaduje záznamy o zpracování osobních údajů, DPIA (posouzení vlivů), smlouvy se zpracovateli, interní politiku ochrany dat.
NIS2 vyžaduje bezpečnostní dokumentaci:
- Bezpečnostní politiku
- Přehled bezpečnostních opatření (12 oblastí)
- Metodiku posuzování incidentů
- Registr dodavatelů
- Implementační plán
Překryv existuje – řízení dodavatelů a řízení přístupu řeší obě regulace. Ale NIS2 jde výrazně dál v technických opatřeních (segmentace sítě, zálohy, MFA, logování).
6. Hlášení incidentů
GDPR: Porušení zabezpečení osobních údajů hlásíte ÚOOÚ do 72 hodin. Jen pokud jde o osobní údaje.
NIS2: Závažný kybernetický incident hlásíte NÚKIBu do 72 hodin + závěrečnou zprávu do 30 dnů. Týká se to jakéhokoli incidentu s významným dopadem na vaši službu – ne jen úniků osobních údajů.
Ransomware, který zašifruje vaše servery a žádné osobní údaje neuniknou? U GDPR nemáte co hlásit. U NIS2 ano – služba nefunguje.
7. Přístup k implementaci
GDPR je spíš právní disciplína. Řeší ho právníci a pověřenci. Zaměřuje se na procesy, souhlasy, práva subjektů.
NIS2 je technická + organizační disciplína. Řeší ho IT, bezpečnostní manažeři a vedení. Zaměřuje se na systémy, sítě, přístupy, zálohy, detekci hrozeb.
Pokud GDPR řešil váš právník, NIS2 bude řešit váš IT člověk – ideálně ve spolupráci s vedením.
Co mají společného
Přes všechny rozdíly sdílejí tři věci:
- Dokumentace je základ. Obě regulace vyžadují, abyste měli zdokumentováno co děláte a proč.
- Risk-based přístup. Obě pracují s hodnocením rizik – GDPR pro osobní údaje, NIS2 pro služby.
- Řízení dodavatelů. Obě vyžadují kontrolu nad tím, kdo má přístup k čemu – GDPR přes smlouvy se zpracovateli, NIS2 přes registr dodavatelů a 14 smluvních bodů.
Můžu využít to, co mám z GDPR?
Částečně ano:
- Řízení přístupu – pokud máte politiku přístupu k osobním údajům, rozšiřte ji na všechna aktiva
- Smlouvy s dodavateli – GDPR zpracovatelské smlouvy pokrývají část požadavků NIS2 (ale ne všech 14 bodů)
- Evidence zpracování – princip je stejný, jen se mění předmět
- Incident response – pokud máte postup pro GDPR breach, máte základ pro NIS2 metodiku
Ale NIS2 přidává technické požadavky, které v GDPR nejsou: segmentace sítě, MFA, logování, zálohy, skenování zranitelností, šifrování. Tady je potřeba nová práce.
Shrnutí
| Aspekt | GDPR | NIS2 |
|---|---|---|
| Chrání | Osobní údaje | Služby a systémy |
| Scope | Každá firma | 50+ zaměstnanců, regulované sektory |
| Regulátor | ÚOOÚ | NÚKIB |
| Přístup | Právní | Technický + organizační |
| Hlášení | 72h (únik dat) | 72h (jakýkoli závažný incident) |
| Odpovědnost vedení | Nepřímá | Přímá (zákaz funkce) |
| Dokumentace | Záznamy zpracování | 12 dokumentů dle vyhlášky 410/2025 Sb. |
NIS2 není „další GDPR". Je to jiná regulace, s jiným zaměřením, jiným regulátorem a jiným přístupem k vymáhání. Vyžaduje jinou expertízu a jinou dokumentaci. Ale pokud jste GDPR zvládli, máte zkušenost s regulatorním compliance – a to se počítá.
Zjistěte co musíte splnit pro NIS2 →
Informace v článku mají informační charakter a nenahrazují právní poradenství.