Směrnice NIS2: praktický průvodce pro české firmy (2026)

Směrnice NIS2 nastavuje nová pravidla pro ochranu digitální infrastruktury v celé EU a jenom v Česku se týká tisíců firem. Článek přehledně shrnuje, koho se regulace týká, jaké povinnosti přináší a jak se na ně včas připravit. Od self-assessmentu přes audit až po technická opatření. Krok za krokem vám ukážeme, co vše je potřeba mít pod kontrolou.

NIS2 se zásadně dotýká kyberbezpečnosti firem na území Evropské unie – v České republice nejméně 6 000 soukromých i státních subjektů, přičemž za nedodržení stanovených povinností budou hrozit pokuty ve výši desítek milionů korun.

V našem praktickém průvodci vám přehledně vysvětlíme, koho se směrnice NIS2 týká, jaké konkrétní povinnosti přináší a především jak se na její příchod dobře připravit. Díky tomu se rychle zorientujete v nových požadavcích a vyhnete se potenciálním sankcím. 

Dozvíte se konkrétně:

• právní rámec směrnice NIS2,
• kdo spadá pod regulaci,
• jaké jsou povinnosti a sankce,
• jak probíhají kontroly
• a jak NIS2 implementovat.

Základní rámec směrnice NIS2 a její právní dopady

Směrnice NIS2 představuje zásadní legislativní změnu v oblasti kybernetické bezpečnosti napříč Evropskou unií. Jedná se o aktualizovanou verzi původní směrnice NIS (Network and Information Security) z roku 2016, která výrazně rozšiřovala oblast působnosti platné legislativy. 

Původní směrnice NIS1 chránila hlavně kritickou infrastrukturu. NIS2 rozšiřuje záběr – nově se vztahuje i na střední a velké firmy v řadě dalších sektorů.

V reakci na tyto změny byl v Česku přijat zcela nový zákon o kybernetické bezpečnosti, který nahrazuje dosavadní zákon č. 181/2014 Sb. Prezident ho podepsal v červnu 2025 a jeho účinnost se očekává v průběhu listopadu.

NIS2 je vedle nařízení DORA a směrnice CER dalším z legislativních nástrojů Evropské unie, které mají za cíl zvýšit digitální provozní odolnost a kybernetickou bezpečnost všech relevantních subjektů operujících v Evropské unii a chránit tak kritickou infrastrukturu.

Směrnice reaguje na rostoucí hrozby v digitálním prostředí, potřebu zlepšit kybernetickou bezpečnost a zajistit fungování i kontinuitu poskytování základních služeb.

Koho se týká směrnice NIS2

Porozumění tomu, zda se vaše organizace musí řídit směrnicí NIS2, je prvním krokem v přípravě na novou regulaci. Pojďme si tedy detailně rozebrat, podle jakých kritérií poznáte, jestli se vás NIS2 týká.

Směrnice NIS2 se primárně zaměřuje na střední a velké podniky, které jsou definovány podle dvou základních kritérií. Aby organizace spadala pod NIS2, musí současně splňovat následující podmínky:

• poskytovat alespoň jednu službu uvedenou v přílohách směrnice,
• být středním nebo velkým podnikem.

Co přesně znamená být středním nebo velkým podnikem? Podle definice Evropské komise (Doporučení Komise 2003/361) se jedná o organizace, které:

• zaměstnávají 50 a více zaměstnanců,
• a dosahují ročního obratu či bilanční sumy alespoň 10 milionů EUR (přibližně 250 milionů Kč).

Při posuzování velikosti je navíc potřeba věnovat zvláštní pozornost tzv. partnerským nebo propojeným podnikům. V takových případech se totiž pro účely NIS2 přičítá velikost těchto propojených organizací k velikosti posuzované organizace.

Přehled subjektů dle přílohy vyhlášky

Směrnice NIS2 rozděluje regulované subjekty do dvou kategorií – podle míry jejich významu. Toto rozdělení má praktické důsledky. Každá kategorie podléhá odlišné míře dohledu, povinnostem i výši případných sankcí. Je proto zásadní vědět, kam vaše organizace spadá – a podle toho také plánovat další kroky:

• subjekty zásadního významu (essential entities) – spadají do režimu vyšších povinností,
• subjekty důležité (important entities) – spadají do režimu nižších povinností.

Mezi subjekty zásadního významu patří především:

• energetika (elektřina, teplo, chlazení, ropa, plyn, vodík),
• doprava (letecká, železniční, vodní, silniční),
• bankovnictví a infrastruktura finančních trhů,
• zdravotnictví a výroba farmaceutických prostředků,
• pitná voda a odpadní vody,
• digitální infrastruktura a služby,
• veřejná správa,
• vesmírný průmysl.

Mezi důležité subjekty pak patří:

• potravinářský průmysl,
• základní farmaceutické produkty,
• výroba počítačů a elektroniky,
• výroba strojního zařízení a motorových vozidel,
• chemický průmysl,
• poštovní a kurýrní služby,
• nakládání s odpady,
• digitální poskytovatelé (internetová tržiště, vyhledávače, sociální sítě),
• výzkum.

Povinnosti v oblasti řízení kybernetických rizik

NIS2 přináší jasné požadavky na to, jak mají organizace přistupovat ke kybernetickým rizikům. Pomáhá jim tak lépe chránit data, zajišťovat provozní kontinuitu a posilovat důvěru klientů.

V praxi to znamená tři hlavní kroky:

1. Identifikace a analýza rizik

Základem řízení kybernetických rizik je jejich důkladná identifikace a hodnocení. V souladu s NIS2 je potřeba:

• vytvořit a udržovat systém řízení bezpečnosti informací (ISMS) včetně potřebné dokumentace a bezpečnostních politik,
• identifikovat primární aktiva (kritická data a informace) a podpůrná aktiva (technologie, služby, systémy, aplikace),
• určit garanty jednotlivých aktiv, kteří budou zodpovědní za jejich bezpečnost po celou dobu životního cyklu,
• systematicky analyzovat a hodnotit rizika všech aktiv z hlediska důvěrnosti, dostupnosti a integrity.

2. Plánování a zvládání rizik

Rizika však nestačí pouze identifikovat – musíte mít také jasný plán, jak s nimi naložit. NIS2 totiž vyžaduje:

• vytvoření plánu zvládání rizik s konkrétními opatřeními,
• pravidelné hodnocení účinnosti bezpečnostních opatření,
• dokumentaci postupů pro řešení zranitelností,
• zavedení procesu pro pravidelné revize a aktualizace plánu.

3. Zajištění provozní odolnosti a zálohování

Třetí klíčovou oblastí je zajištění kontinuity provozu a schopnosti rychlé obnovy v případě incidentu. NIS2 specificky požaduje:

• vypracování a pravidelné testování plánů kontinuity provozu (Business Continuity Plans),
• vytvoření a testování plánů obnovy po havárii (Disaster Recovery Plans),
• zavedení systematického procesu zálohování kritických dat a systémů,
• pravidelné testování obnovy ze záloh.

Sankce za nesplnění povinností

Výše pokut za porušení požadavků směrnice NIS2 závisí na tom, do jaké kategorie regulace organizace spadá.

• Pro subjekty v režimu vyšších povinností (essential entities) směrnice stanoví horní hranici 10 mil. EUR nebo 2 % celosvětového obratu, 
• pro subjekty v režimu nižších povinností (important entities) 7 mil. EUR nebo 1,4 % obratu.

Směrnice tak nastavuje jasný a odrazující sankční rámec, který navíc zohledňuje ekonomickou sílu jednotlivých subjektů a má motivovat ke včasnému a důslednému plnění bezpečnostních opatření. Kromě finančních sankcí zákon zavádí také:

• pozastavení platnosti certifikace, ke kterému může dojít, pokud NÚKIB poskytovateli regulované služby uloží povinnost odstranit nedostatky zjištěné při kontrole a poskytovatel tuto povinnost nesplní,
• dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě, ke kterému může dojít při opakovaném nebo závažném porušení povinností.

Oba tyto nefinanční postihy platí do odstranění zjištěných nedostatků, nejméně však 6 měsíců. Důležité je poznamenat, že při ukládání všech sankcí se musí brát v potaz například povaha porušení, jeho závažnost, vzniklé či hrozící škody, zdali porušení vzniklo úmyslně či nedbalostně nebo jaká je míra spolupráce regulované organizace.

Kontrolu nad dodržováním nového kybernetického zákona bude mít na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Kontroly mohou být plánované, podle ročního kontrolního plánu, ale také mimořádné – například na základě nějakého incidentu nebo oznámení.

Role NÚKIB a kontrolní mechanismy

NÚKIB disponuje širokou škálou kontrolních nástrojů, kterými může prověřovat vaši připravenost v oblasti kybernetické bezpečnosti. Je důležité s tím počítat už při plánování implementace. Kontroly mohou být pravidelné i mimořádné a jejich výsledky mají přímý dopad na případná nápravná opatření nebo sankce. Mezi kontrolní nástroje patří především:

• kontroly na místě (fyzická kontrola přímo v prostorách firmy),
• bezpečnostní audity prováděné externími auditory,
• skeny zranitelností systémů,
• žádosti o poskytnutí informací a dokumentace,
• dálkové elektronické kontroly,
• kontroly přístupu k systémům, datům a auditním záznamům.

6 kroků k implementaci NIS2 ve vaší firmě

Povinnosti plynoucí ze směrnice NIS2 a nového zákona o kybernetické bezpečnosti sice budou účinné až v průběhu roku 2025, ale s přípravou není na co čekat. 

Implementace může pro mnoho organizací znamenat časově i finančně náročný proces. Zejména pro ty, které do regulace doposud nespadaly. Včasná příprava a následná akce vám pomůže předejít stresu i zbytečným nákladům.

1. Zjistěte, jestli NIS2 platí i pro vás

Než se pustíte do konkrétních opatření, je důležité zjistit, zda se na vás regulace vůbec vztahuje a kdo za kyberbezpečnost ve vaší firmě ponese odpovědnost.

Nezapomeňte, že regulované subjekty se musí nahlásit samy – stát je totiž sám od sebe nekontaktuje. Lhůta pro nahlášení poběží od data účinnosti nového zákona o kybernetické bezpečnosti (listopad 2025). Kdo se nestihne nahlásit, riskuje pokutu.

Co je potřeba udělat:

• Ověřte, zda patříte mezi „povinné osoby“ (seznam oborů najdete v příloze zákona).
• Zkontrolujte velikost firmy – pokud máte nad 50 lidí a obrat přes 10 mil. €, spadáte pod zákon.
• Jmenujte někoho z vedení, kdo za kyberbezpečnost ve firmě oficiálně převezme odpovědnost. Nestačí spoléhat na to, že  „IT oddělení to nějak vyřeší“.

Tipy pro vás:

• Využijte nástroj od NÚKIB – odpovíte na pár otázek a zjistíte, jak na tom jste.
• Pokud si nejste jistí, poraďte se s právníkem nebo si nechte zpracovat posouzení.

2. Udělejte si jasno v tom, co chráníte

Bez základního přehledu o systémech, datech a dodavatelích není prakticky možné efektivně řídit rizika. Cílem je poznat, co ve firmě vůbec potřebujete zabezpečit.

Co je potřeba udělat:

• Sepište si přehled hlavních systémů, aplikací, dat a služeb, které firma používá.
• Zjistěte, kde jsou uložená důležitá data, kdo k nim má přístup a jaké následky by měla ztráta dat nebo napadení systému útočníkem.
• Nezapomeňte na dodavatele – pokud vám někdo spravuje IT, cloud nebo web, je to rovněž součást vašich potenciálních rizik.

Tipy pro vás:

• Pro začátek si vystačíte s tabulkou v Excelu nebo Google Sheets.
• Zkuste nástroje jako Lansweeper nebo Open-AudIT pro rychlé zmapování IT majetku.
• Označte si kritické dodavatele a zkontrolujte, jestli mají nějaká bezpečnostní opatření (nebo aspoň smlouvu).

3. Zhodnoťte aktuální stav firmy včetně toho, co chybí

Zjistěte, jaký je aktuální stav vaší firmy a co všechno chybí, aby byla v souladu s požadavky NIS2. Nemusí jít o detailní analýzu – stačí jednoduchý, praktický přehled.

Co je potřeba udělat:

• Porovnejte, co už máte zavedeno s tím, co zákon vyžaduje (např. řízení rizik, plán na řešení incidentů, vícefaktorové přihlašování, školení zaměstnanců…).
• Zaměřte se na potenciální selhání, která by znamenala ten největší problém.
• Vytvořte si jednoduchý plán – co musíte doplnit, do kdy a s jakými náklady.

Tipy pro vás:

• Pokud už máte zavedený systém podle ISO 27001, máte z větší části hotovo.
• Zkuste využít volně dostupný návod od ENISA (EU agentury) nebo konzultanta..
• Nelpěte na „ideálním stavu“ – hlavním cílem je splnit nároky.

4. Soustřeďte se na to, co opravdu chybí

Nastavte základní technická i organizační opatření a proškolte lidi. Zaměřte se na reálnou funkčnost, ne jen na dokumentaci do šanonu.

Co je potřeba udělat:

• Zajistěte základní technická opatření: silná hesla + vícefázové přihlašování, aktualizace systémů, antivir, dohled nad logy (záznamy o činnosti v síti).
• Připravte si plán, co dělat při incidentu – kdo co hlásí, komu a kdy.
• Proškolte lidi – i to, že někdo nepozná podvodný e-mail, může být důvodem pro inspekci.

Tipy pro vás:

• Pro MFA můžete využít nástroje jako Microsoft Authenticator, Google Authenticator nebo Duo Security.
• Bezpečnostní školení nemusí být nuda – existují i krátká interaktivní videa nebo e-learningy (např. KnowBe4, český Safetica Awareness, atd.)
• Nezapomeňte na dokumentaci – co není napsané, jako by neexistovalo.

5. Ověřte, že vše funguje

Bez ověření efektivity nemá smysl žádný plán. Vyzkoušejte si, jak zvládáte krizové situace a jestli bezpečnostní opatření opravdu fungují.

Co je potřeba udělat:

• Zkuste si nanečisto simulovat útok nebo incident – například výpadek systému nebo únik dat. Umíte vhodně reagovat?
• Udělejte si interní kontrolu nebo si nechte zpracovat externí audit.
• Připravte si přehled, co už funguje a co ještě ne – ideálně i s číselnými ukazateli.

Tipy pro vás:

• Není nutné hned dělat velký penetrační test – začněte workshopem nebo testem reakce na incident.
• Sledujte jednoduché ukazatele: kolik zjištěných problémů zůstává nevyřešených, jak rychle reagujete na incidenty apod.

6. Udržujte vše v chodu

Kyberbezpečnost není jednorázový úkol. Je potřeba pravidelně kontrolovat, co se změnilo, aktualizovat pravidla a pokračovat ve vzdělávání týmu.

Co je potřeba udělat:

• Každé čtvrtletí si projděte, jestli se něco nezměnilo – nový systém, nový dodavatel, nové riziko.
• Politiky a pravidla jednou ročně projděte a aktualizujte.
• Dělejte pravidelně školení a sledujte nové hrozby.

Tipy pro vás:

• Pokud to už začíná být moc složité na papíře, zvažte nástroj pro správu bezpečnosti.
• Nečekejte, až se něco stane – investice do prevence je vždy levnější, než řešení průšvihu.

Začněte malým krokem – ale hned

Implementace NIS2 nemusí být něčím, co vás bude strašit ve snech. Pokud se do toho pustíte systematicky, dá se většina věcí zvládnout i s omezenými zdroji. Klíčem je:

• vědět, že se vás to týká,
• mít někoho, kdo to „vede“
• a začít postupně s tím, co je nejdůležitější.

Rychlý checklist pro vás:

• vím, zda se naší firmy (ne)týká NIS2,
• mám přehled o systémech a klíčových datech,
• vím, co nám chybí a mám plán,
• máme základní bezpečnostní opatření,
• jsme schopni reagovat na incident.

Chcete mít v problematice NIS2 jasno a neztratit se v pravidlech a požadavcích? Pomůžeme vám s technologickou stránkou – od auditních nástrojů po nastavení konkrétních opatření a integraci bezpečnostních řešení – kontaktujte nás.