NIS2 směrnice 2026: povinnosti českých firem a sankce NÚKIB

Směrnice EU 2022/2555, známá jako NIS2 (Network and Information Security 2), je nejvýznamnější regulací kybernetické bezpečnosti v historii Evropské unie. Nahradila původní směrnici NIS z roku 2016 a dramaticky rozšířila počet dotčených subjektů, povinnosti, kontrolu i sankce. Pro Česko platí prostřednictvím zákona č. 264/2024 Sb. o kybernetické bezpečnosti, který nabyl účinnosti 1. ledna 2025(s postupnou účinností některých ustanovení do 1. července 2025).

Dozorovým orgánem pro NIS2 v Česku zůstává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Termín pro povinnou registraci dotčených subjektů do registru NÚKIB skončil 30. září 2025. Pokud jste tuto registraci zmeškali, automaticky tím nepřestáváte být povinným subjektem — naopak, jste v prodlení a NÚKIB může zahájit správní řízení.

Co je NIS2 a proč se týká Česka

Původní směrnice NIS z roku 2016 byla první pokus EU systematicky regulovat kybernetickou bezpečnost provozovatelů kritické infrastruktury. V praxi ale měla několik zásadních slabin: dopadala jen na velmi omezený okruh subjektů (typicky operátory základních služeb), členské státy ji transponovaly velmi nerovnoměrně, sankce byly nízké a kontrolní orgány neměly dostatečné pravomoci. Důsledek? Když v roce 2020 udeřila pandemie a později války na Ukrajině a v Izraeli, evropské firmy a kritická infrastruktura čelily exploziím ransomware útoků, špionáže a sabotáží — a ukázalo se, že NIS prvního zenu zkrátka nefunguje.

NIS2 reaguje na tyto slabiny radikálně.Rozšiřuje okruh dotčených subjektů z odhadovaných 2 500 firem v celé EU (NIS1) na cca 160 000 firem(NIS2). Zavádí jednotná pravidla, která musí všechny členské státy implementovat prakticky bez výjimek. Sankce zvedá na úroveň GDPR (2 % globálního obratu nebo 10 mil. EUR — vyšší z toho). A poskytuje kontrolním orgánům jako NÚKIB pravomoci provádět neohlášené audity, ukládat pokuty, pozastavovat činnost a osobně postihovat členy managementu.

Česko transponovalo NIS2 zákonem č. 264/2024 Sb. o kybernetické bezpečnosti (dále jen „ZKB“), který nahradil předchozí zákon č. 181/2014 Sb. ZKB vstoupil v účinnost 1. ledna 2025 s některými přechodnými ustanoveními platnými do 1. července 2025. Klíčové novinky oproti staré úpravě:

• Nový systém kategorizace — dvě kategorie subjektů (klíčové a důležité) místo dřívějších čtyř (správci/provozovatelé KII, VIS, ZVS).
• Rozšířené sektory — k tradičním (energie, doprava, banky) přibyly výroba potravin, chemie, automotive, digitální platformy, výzkum a další.
• Povinná registracev registru NÚKIB pro všechny dotčené subjekty (termín 30. 9. 2025 proběhl).
• Personální odpovědnost vedení — členové statutárních orgánů mohou být osobně sankcionovaní za nesplnění.
• Detailní povinnosti v 10 oblastech kybernetické bezpečnosti, včetně závazku k vzdělávání, MFA a šifrování.

Kdo musí NIS2 splnit — essential vs. important

Nejčastější otázka, kterou compliance officeři dostávají od šéfů: „Týká se nás to vůbec?“ NIS2 dělí povinné subjekty do dvou kategorií podle kombinace dvou kritérií: velikost firmy a sektor působnosti.

Essential entities (klíčové subjekty)

Klíčové subjekty jsou organizace, jejichž výpadek by způsobil nejvážnější dopady na společnost, ekonomiku nebo bezpečnost státu. Spadáte do této kategorie, pokud splňujete oba tyto podmínky:

• Velikost: minimálně 250 zaměstnanců NEBO roční obrat alespoň 50 mil. EUR (v Kč cca 1,25 mld.) nebo celková rozvaha přes 43 mil. EUR.
• Sektor: působnost v jednom z 11 níže uvedených essential sektorů.

Important entities (důležité subjekty)

Důležité subjekty jsou organizace s nižším systémovým dopadem, ale stále významným z hlediska kybernetické bezpečnosti. Spadáte sem, pokud:

• Velikost: 50 až 249 zaměstnanců NEBO obrat 10 až 50 mil. EUR(cca 250 mil. až 1,25 mld. Kč).
• Sektor: působnost v některém z 8 important sektorů (viz tabulka níže).

Sektory regulované NIS2

ZKB navazuje na přílohu I a II směrnice NIS2 a definuje 11 essential a 8 important sektorů. Pro většinu českých firem je klíčové umět najít sebe ve správné kategorii.

Sektory essential (klíčové)

Sektory important (důležité)

Povinnosti v praxi — co přesně musíte splnit

Klíčový předpis je § 5–18 zákona č. 264/2024 Sb. a navazující vyhláška o kybernetické bezpečnosti. Konkrétní opatření vycházejí z článku 21 NIS2 a definují 10 oblastí, v nichž musí povinný subjekt zavést a udržovat opatření.

1. Řízení kybernetických rizik

Základní povinnost: provádět pravidelnou analýzu rizik, identifikovat aktiva, hodnotit hrozby a zranitelnosti, navrhovat protiopatření. Výstupem je dokument „Bezpečnostní politika“ nebo „Politika řízení rizik“, který schvaluje statutární orgán firmy. Aktualizace minimálně jednou ročně nebo při významné změně v infrastruktuře.

2. Plán řešení incidentů a kontinuity

Musíte mít zpracovaný incident response plan (IRP), který popisuje: kdo je odpovědný, jak se incident eskaluje, kdy se hlásí NÚKIB, jak se komunikuje s veřejností, jak se obnovuje provoz. K tomu business continuity plan (BCP) a disaster recovery plan (DRP) — minimálně s testy jednou ročně.

3. Bezpečnost dodavatelského řetězce

Toto je velká novinka NIS2. Musíte mapovat dodavatele, kteří mají přístup k vašim systémům, vyhodnocovat jejich rizika a kontraktuálně je zavázat k splnění minimálních bezpečnostních standardů. Detail je v podkapitole níže.

4. Bezpečnost vývoje a provozu IT

Patří sem: secure software development lifecycle (SSDLC), security testing před uvedením do produkce, patch management, vulnerability management, hardening konfigurací, segmentace sítě.

5. Kryptografie a šifrování

Šifrování dat v klidu (at-rest) i v přenosu (in-transit). Pro citlivá data — osobní údaje, finanční záznamy, obchodní tajemství — musí být šifrování standardem. Doporučené algoritmy: AES-256, RSA-4096, TLS 1.3. Klíče musí být řízeny v key management systému.

6. Řízení přístupu a identity

Multi-factor authentication (MFA) je povinné pro privilegované účty, vzdálený přístup a kritické systémy. Princip least privilege, pravidelný audit přístupových práv, automatická deaktivace účtů odchozích zaměstnanců (joiner-mover-leaver proces).

7. Zálohy a obnova dat

Pravidelné zálohy (denně nebo dle RPO), izolované zálohy odolné proti ransomware (offline nebo immutable), pravidelné testování obnovy. NÚKIB doporučuje pravidlo 3-2-1: 3 kopie, 2 různá média, 1 offsite.

8. Kybernetická hygiena a vzdělávání

Pravidelné školení všech zaměstnanců (minimálně jednou ročně), rozšířené školení pro IT a management. Témata: phishing, sociální inženýrství, BYOD, bezpečné heslo, klasifikace dat.

9. Bezpečnost koncových zařízení

Endpoint protection (EDR/XDR), správa mobilních zařízení (MDM), kontrola USB a externích médií, šifrování disků.

10. Detekce a monitoring

Centrální logování (SIEM), monitoring síťového provozu (NDR), detekce anomálií, security operations center (SOC) — vlastní nebo outsourcovaný (MSSP).

Incident reporting — 24 / 72 hodin / 1 měsíc

Toto je oblast, kterou regulátoři v EU sledují nejpřísněji a kde firmy nejčastěji selžou. Časové limity stanovené NIS2 a převzaté ZKB jsou neúprosné.

Early warning (do 24 hodin)

Do 24 hodin od okamžiku, kdy si firma uvědomila významný incident, musí zaslat NÚKIB early warning — předběžné oznámení. Obsahuje minimálně:

• Indikaci, zda incident zřejmě způsobil zlomyslný čin.
• Dopad na poskytované služby.
• Možný přeshraniční dopad.

Incident notification (do 72 hodin)

Do 72 hodin musí firma podat plné incident notification — podrobné oznámení, které zahrnuje:

• Hodnocení závažnosti a dopadu incidentu.
• Indikátory kompromitace (IoCs).
• Předběžnou root cause analysis.
• Přijatá a plánovaná protiopatření.

Final report (do 1 měsíce)

Do jednoho měsíce od okamžiku, kdy se firma o incidentu dozvěděla, musí podat final report — finální zprávu s detailní root cause, kompletním rozsahem dopadu, seznamem všech opatření a získaných lessons learned.

Pokud v té době incident stále trvá (např. dlouhotrvající APT útok), podává se progress report a final report jeden měsíc po vyřešení.

Supply chain security — bezpečnost dodavatelů

Jeden z nejtvrdších oříšků NIS2 a důvod, proč i firmy mimo regulované sektory budou pociťovat dopad. Pokud dodáváte software, ICT služby nebo cokoliv, co se dotýká informačních systémů povinného subjektu, budete muset projít jeho supplier security assessment.

Konkrétní povinnosti povinného subjektu vůči dodavatelům:

• Identifikace a klasifikace dodavatelů podle úrovně přístupu k systémům a kritickosti služeb.
• Hodnocení bezpečnostních rizik každého kritického dodavatele před uzavřením smlouvy a periodicky.
• Smluvní požadavky — minimální bezpečnostní standardy, právo na audit, oznamovací povinnost incidentů, subcontracting kontrola.
• Kontinuální monitoring — sledování změn v dodavatelově prostředí (akvizice, lokalita serverů, certifikace).

V praxi to znamená, že velké firmy začnou požadovat od svých dodavatelů certifikaci ISO/IEC 27001, SOC 2 nebo vyplnění rozsáhlých security questionnaires. Připravte se na to, i kdyby vaše firma sama do NIS2 nespadala.

Pokuty, audity a osobní odpovědnost

NIS2 zavádí sankční režim srovnatelný s GDPR. ZKB v souladu s čl. 34 NIS2 stanoví:

Sankce pro essential entities

Až 10 mil. EUR NEBO 2 % celosvětového ročního obratuz předchozího účetního období (vyšší z těchto dvou částek). Pro firmu s obratem 500 mil. EUR to znamená potenciální pokutu až 10 mil. EUR.

Sankce pro important entities

Až 7 mil. EUR NEBO 1,4 % celosvětového ročního obratu(vyšší z toho). Pro firmu s obratem 100 mil. EUR to může být až 1,4 mil. EUR.

Další sankce

• Veřejné zveřejnění rozhodnutí o porušení NIS2 — reputační dopad.
• Pozastavení certifikace nebo licence v sektoru.
• Dočasný zákaz výkonu funkce pro člena managementu (CEO, CISO).
• Pravomoc nařídit konkrétní opatření — např. provést penetrační test, najmout externího auditora, izolovat systém.

Audity NÚKIB — co očekávat

Rok 2026 je pro NÚKIB rokem, kdy se přechází z fáze registrace a transpozičního období do fáze aktivního kontrolního výkonu. NÚKIB ve své strategii avizuje:

• Plánované audity u essential entities — termín se předem oznamuje, rozsah je dohodnut. Trvá obvykle 2–4 týdny.
• Reaktivní audity po významném incidentu.
• Neohlášené kontroly v případě podezření na závažné porušení.
• Sektorové vlny — NÚKIB v různých letech zaměřuje pozornost na různé sektory (2026: energetika, finance, ICT poskytovatelé).

Praktické kroky pro implementaci v roce 2026

Pokud zjistíte, že vaše firma do NIS2 spadá, postup je následující:

Krok 1: Gap assessment

Provedte interní nebo externí gap assessment proti požadavkům ZKB a vyhlášky. Cílem je zjistit, kde aktuálně stojíte oproti povinnostem. Doporučujeme rámec ISO/IEC 27001 nebo NIST CSF jako referenční model.

Krok 2: Roadmap a rozpočet

Na základě výstupů gap assessment připravte 12–24měsíční roadmap. Standardně si compliance implementace vyžaduje 0,5–2 % ročního IT rozpočtu. Pro středně velkou firmu s IT rozpočtem 30 mil. Kč to znamená 150–600 tis. Kč ročně.

Krok 3: Dokumentace

Připravte sadu povinných dokumentů: bezpečnostní politika, politika řízení rizik, incident response plan, business continuity plan, disaster recovery plan, dodavatelská politika, klasifikace informací, politika přístupů, politika kryptografie. Velké firmy s více pobočkami nebo dceřinými společnostmi mohou pro generování těchto dokumentů použít centralizovaný systém — když si nahrajete vlastní šablonu do Dokumentomatu a kliknete na místa pro vyplnění (název subjektu, IČO, jméno bezpečnostního manažera, sídlo), vygenerujete jednotnou dokumentaci pro celou skupinu během minut.

Krok 4: Implementace technických opatření

Postupně implementujte: MFA pro privilegované účty, SIEM, EDR, šifrování koncových zařízení, segmentace sítě, patch management, backup řešení s offline kopiemi.

Krok 5: Školení a tréninky

Pravidelné security awareness training pro všechny zaměstnance, rozšířené tréninky pro IT, management a privilegované uživatele. Phishing simulace minimálně jednou ročně.

Krok 6: Audity, penetrační testy a kontinuální zlepšování

Interní audity minimálně jednou ročně, externí pentest minimálně jednou za 2 roky, vulnerability scan pravidelně (měsíčně až čtvrtletně), red team exercise pro velké firmy.

Shrnutí: NIS2 je tady, audity přijdou v 2026

Rok 2026 je pro NIS2 v Česku rokem pravdy. Transpozice je za námi, registrace také, a NÚKIB začíná aktivně kontrolovat. Pro compliance officery, IT manažery a finanční ředitele středních a velkých firem to znamená jedinou věc: compliance s NIS2 už není odložitelný projekt.

Dobrá zpráva: pokud máte firmu se zralou IT infrastrukturou, ISO 27001 nebo SOC 2 certifikací, velká část povinností je už splněna. Zbývá ji jen zdokumentovat a doplnit specifika NIS2 (incident reporting, supplier management, personální odpovědnost vedení).

Špatná zpráva: pokud jste compliance odkládali a v září 2025 jste nestihli registraci, jste v prodlení. Doporučujeme okamžitě kontaktovat NÚKIB, doložit důvody zpoždění a zahájit nápravu — čím dříve, tím nižší riziko vysoké sankce.