Webinář Posuňte vpřed analýzu podnikových dat s BI řešením
Zjistit víceSměrnice NIS2 (EU 2022/2555) je celoevropská legislativa, která sjednocuje pravidla pro kybernetickou bezpečnost napříč členskými státy EU. Navazuje na původní směrnici NIS z roku 2016, ale reaguje na prudký nárůst a závažnost kybernetických hrozeb. Přináší zásadní změny – rozšiřuje regulaci na více odvětví než dříve, zavádí přísněji definovaná bezpečnostní opatření a povinné řízení rizik, posiluje odpovědnost vedení firem a nastavuje vyšší sankce za nesplnění požadavků. Hlavním cílem je, aby organizace dokázaly čelit útokům, minimalizovaly jejich dopad a informovaly příslušné orgány bez zbytečných prodlev.
Jak je to v ČR
Česká republika požadavky NIS2 převádí do národní legislativy prostřednictvím nového zákona o kybernetické bezpečnosti (č. 264/2025 Sb.). Prezident jej podepsal 26. června 2025, 4. srpna 2025 byl vyhlášen ve Sbírce zákonů a účinnosti nabude 1. listopadu 2025. Dozorovým a metodickým orgánem zůstává NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Zákon stanovuje jasné postupy, jak se subjekty mají identifikovat, registrovat a v přiměřené lhůtě zavést požadovaná opatření.
Koho konkrétně se zákon týká
Nová úprava má výrazně širší působnost než dosavadní pravidla. Rozhodujícími kritérii jsou odvětví, v němž organizace působí, a její velikost, nikoli pouze právní forma. Zákon rozlišuje dvě kategorie regulovaných subjektů. První z nich jsou významné regulované subjekty, tedy organizace, které působí v určeném odvětví a mají alespoň 50 zaměstnanců nebo roční obrat přesahující 10 milionů eur. Druhou kategorií jsou základní regulované subjekty, kam spadají menší organizace, pokud poskytují vybrané digitální služby, například hosting, cloud nebo online tržiště.
Do působnosti zákona se tak dostávají ministerstva, kraje a obce určité velikosti, poskytovatelé veřejných služeb, firmy z oblasti energetiky, dopravy, zdravotnictví, potravinářství, vodárenství, finančních služeb i digitální infrastruktury. Patří sem také poskytovatelé online služeb, datových center, cloudových řešení, internetových burz a významné IT společnosti. Podle odhadů NÚKIB se počet regulovaných subjektů v České republice zvýší z přibližně jednoho tisíce na šest až devět tisíc.
Jaké jsou hlavní povinnosti
Organizace budou muset zavést procesy řízení rizik a pravidelně je vyhodnocovat, implementovat technická i organizační opatření, zajistit bezpečnost dodavatelů a partnerů a školit zaměstnance v oblasti kybernetické bezpečnosti. Součástí je také povinnost ohlásit závažný kybernetický incident NÚKIBu do 24 hodin.
Základní povinnosti regulovaných organizací (rozsah záleží na tom, zdali spadá do vyššího či nižšího režimu):
- Ohlášení služby, kterou organizace poskytuje.
- Nahlášení kontaktních údajů osob odpovědných za kybernetickou bezpečnost v organizaci.
- Postupné zavádění bezpečnostních opatření.
- Hlášení kybernetických bezpečnostních incidentů.
- Provádění protiopatření vydaných NÚKIB.
Lhůty a případné sankce
Zákon stanovuje přesné postupy a časové rámce pro plnění povinností.
Regulované subjekty musí:
- do 60 dní od účinnosti, tedy do 31. prosince 2025, musí regulované subjekty prostřednictvím portálu NÚKIB oznámit poskytování regulované služby,
- po doručení rozhodnutí o registraci mají 30 dní na nahlášení kontaktní osoby,
- nejpozději do 1 roku od registrace musí být zavedena všechna požadovaná bezpečnostní opatření.
Nedodržení těchto povinností může vést k výrazným postihům – v českém kontextu až k pokutě 10 milionů korun nebo dvou procent z ročního obratu, podle toho, která částka je vyšší. Evropská úprava počítá s horní hranicí až 10 milionů eur. Kromě finančních sankcí zákon umožňuje i diskvalifikaci členů vedení až na tři roky a ukládá povinnost pravidelného sebehodnocení, vedení registru ICT aktiv a provádění nezávislých auditů. Tyto sankce tak mají nejen finanční, ale i reputační a osobní dopady na management.
Co to znamená pro firmy už teď
I když zákon vstoupí v účinnost až v listopadu 2025, přípravy je vhodné zahájit co nejdříve. Klíčovým krokem je ověřit, zda organizace do působnosti spadá, provést audit kybernetické bezpečnosti, nastavit interní procesy a směrnice a zajistit proškolení managementu i klíčových zaměstnanců. Včasná příprava může předejít krizovým situacím i vysokým pokutám.
Jak vám můžeme pomoci
Naše společnost se specializuje na kybernetickou bezpečnost a pomáhá organizacím splnit požadavky NIS2. Dobře rozumíme jejím nárokům a jsme připraveni pomoci firmám, které se s nimi nyní budou muset vypořádat. Díky službě Safe&Secure odhalíme možná rizika, navrhneme účinná opatření a posílíme odolnost vaší IT infrastruktury. Jsme váš spolehlivý partner na cestě k vyšší úrovni kybernetické ochrany. Neváhejte nás kontaktovat, společně najdeme řešení, které bude odpovídat nejen zákonným požadavkům, ale i reálným hrozbám.
Podrobné informace k novému zákonu najdete na stránkách NÚKIB jako Průvodce novým zákonem o kybernetické bezpečnosti.
