Nižší vs vyšší režim NIS2: jaký je rozdíl a kam spadáte

Zákon 264/2025 Sb. rozlišuje dva režimy povinností: nižší a vyšší. Režim určuje, kolik musíte splnit a jak přísně. Většina středních firem spadá do nižšího – ale je dobré vědět, v čem se liší.

Jak se určí režim

Rozhoduje kombinace velikosti firmy a typu služby.

Nižší režim – typicky:

• Firmy s 50–250 zaměstnanci
• Důležité subjekty (important entities) dle NIS2
• Většina regulovaných středních firem

Vyšší režim – typicky:

• Firmy nad 250 zaměstnanců
• Základní subjekty (essential entities) dle NIS2
• Kritická infrastruktura (energetika, doprava, zdravotnictví – velcí hráči)
• Některé specifické služby bez ohledu na velikost (DNS, kvalifikované služby důvěry)

Rozhodnutí od NÚKIBu uvádí, do jakého režimu spadáte. Pokud tam není explicitně „vyšší režim", jste v nižším.

Srovnání požadavků

Co nižší režim nevyžaduje

Formální řízení rizik

Největší rozdíl. Vyšší režim vyžaduje strukturovanou analýzu rizik – identifikaci hrozeb, hodnocení pravděpodobnosti a dopadu, risk treatment plán.

Nižší režim tohle přeskakuje. Nemusíte dělat formální risk assessment. Stačí comply-or-explain přístup ke 12 opatřením vyhlášky.

To neznamená, že rizika neexistují. Znamená to, že zákon po vás nechce formální metodiku na jejich posouzení.

Preventivní kontroly NÚKIBu

Firmy ve vyšším režimu může NÚKIB kontrolovat preventivně – přijít a ověřit stav bezpečnosti bez konkrétního podnětu.

V nižším režimu NÚKIB zasahuje ex-post – tedy až když se něco stane nebo když zjistí konkrétní problém. To je zásadní rozdíl v regulatorním tlaku.

Přísnější hlášení incidentů

Vyšší režim vyžaduje první oznámení do 24 hodin od zjištění incidentu. Nižší režim má standardní lhůtu 72 hodin.

V praxi: 72 hodin je rozumnější pro firmu bez dedikovaného bezpečnostního týmu.

Co nižší režim vyžaduje stejně

Nemyslete si, že nižší režim je jednoduchý. Pořád musíte:

• Pokrýt 12 bezpečnostních opatření (§3–§13 vyhlášky 410/2025)
• Připravit 5 klíčových dokumentů (přehled dokumentů)
• Hlásit závažné incidenty NÚKIBu do 72 hodin
• Řídit dodavatele (registr + 14 smluvních bodů)
• Školit zaměstnance (25 témat z Přílohy 3)
• Aktualizovat dokumentaci minimálně jednou ročně
• Fungovat na principu comply-or-explain

Nižší režim je mírnější, ale ne triviální.

Přechod mezi režimy

Režim se může změnit:

• Firma roste nad 250 zaměstnanců → přechod do vyššího režimu
• NÚKIB přehodnotí klasifikaci služby
• Změna legislativy

Pokud dobře zvládnete nižší režim, máte solidní základ pro případný přechod do vyššího. Většina dokumentace a opatření se přenáší – přibudou formální řízení rizik a přísnější audit.

Jak poznat svůj režim

1. Podívejte se na rozhodnutí od NÚKIBu. Režim by tam měl být uveden.
2. Nejste si jistí? Zeptejte se NÚKIBu. Kontakty najdete na nukib.gov.cz.
3. Orientační pravidlo: 50–250 zaměstnanců + nepatříte mezi kritickou infrastrukturu = pravděpodobně nižší režim.

Často kladené otázky

Můžu si režim vybrat?

Ne. Režim určuje NÚKIB na základě zákonných kritérií. Není to volba firmy.

Máme 260 zaměstnanců. Jsme automaticky ve vyšším režimu?

Ne automaticky. Záleží i na typu služby a její kritičnosti. Rozhoduje NÚKIB. Ale s 260 zaměstnanci je vyšší režim pravděpodobný.

Je nižší režim „levnější"?

Ano – méně požadavků = méně práce = méně nákladů. Absence formálního řízení rizik a preventivních kontrol NÚKIBu je zásadní úleva. Ale „levnější" neznamená „zadarmo" – přehled nákladů.

Platí pro nižší režim comply-or-explain?

Ano. U opatření §7–§9 a §11–§13 vyhlášky můžete buď splnit, nebo zdůvodnit proč nesplňujete a popsat alternativní opatření. Zdůvodnění musí být v Příloze 1.

Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026.