📌 NIS2 – co přinese nové nařízení EU o kybernetické bezpečnosti a jak ovlivní Českou republiku

Evropská unie si uvědomuje, že kybernetická bezpečnost je zásadní součástí ochrany kritické infrastruktury, ekonomiky a společnosti jako celku. Proto schválila novou směrnici NIS2, která přináší jednotnější, přísnější a modernější pravidla pro řízení kybernetických rizik napříč členskými státy. Cílem je zvýšit odolnost klíčových služeb a institucí proti stále sofistikovanějším hrozbám.

🏛 Jaký je stav v České republice

Česká republika přijala nový zákon o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2 do národní legislativy. Zákon byl vyhlášen ve Sbírce zákonů v srpnu 2025 a jeho účinnost je stanovena na 1. listopadu 2025.

Po nabytí účinnosti budou mít dotčené organizace:

• 60 dní na registraci u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB),

• 1 rok na implementaci opatření, která nová legislativa ukládá.

🎯 Koho se NIS2 týká

Nařízení dopadá na tzv. regulované subjekty, které se dělí do dvou kategorií:

1. Základní subjekty (Essential entities) – typicky nemocnice, vodárny, energetické firmy, banky, poskytovatelé telekomunikačních služeb, dopravní společnosti atd.

2. Důležité subjekty (Important entities) – například digitální služby, výrobní průmysl, poštovní služby, odpady, potravinářství, nebo správci datových center.

Základním kritériem bývá počet zaměstnanců nad 50 nebo roční obrat vyšší než 10 milionů eur. Přesné zařazení subjektu do jedné z kategorií bude stanoveno prováděcími právními předpisy.

🔐 Co všechno musí organizace zavést

NIS2 požaduje, aby regulované subjekty přijaly technická i organizační opatření pro řízení kybernetických rizik, zejména:

• pravidelné zálohování a obnovu dat,

• vícefaktorovou autentizaci a řízení přístupu,

• monitoring incidentů a hlášení kybernetických událostí do 24 hodin,

• zajištění bezpečnosti dodavatelského řetězce,

• pravidelné testování bezpečnostních opatření a zajištění kontinuity provozu.

Vedení společností bude přímo odpovědné za dodržování pravidel – nebude možné přenášet odpovědnost pouze na IT oddělení.

💣 Sankce a důsledky

Za porušení povinností podle NIS2 hrozí vysoké pokuty:

• až 10 milionů korun nebo 2 % ročního obratu u důležitých subjektů,

• až 250 milionů korun nebo vyšší procentuální pokuta u základních subjektů.

Zákon navíc zavádí mechanismy ověřování souladu včetně kontrol, inspekcí a možnosti vymáhání nápravných opatření.

🇨🇿 Co to znamená pro české firmy

Zavedení NIS2 bude mít dopad na tisíce organizací v ČR, včetně těch, které dosud nebyly regulovány. To znamená nutnost:

• včasného posouzení, zda do regulace spadají,

• vypracování bezpečnostní dokumentace,

• školení managementu i zaměstnanců,

• a často i investice do technologií.

Malé firmy, které nespadají do regulace, ale spolupracují s většími organizacemi jako dodavatelé, budou rovněž tlakem na bezpečnostní standardy zasaženy – jinak ztratí kontrakty.

✍️ Shrnutí

Směrnice NIS2 a její česká podoba přináší zcela nový přístup k bezpečnosti v digitální době. Už to není jen IT téma – je to otázka řízení firmy, důvěry zákazníků a přežití v kybernetickém prostředí. Kdo se připraví včas, získá náskok. Kdo bude váhat, může čelit problémům nejen s úřady, ale i s vlastní infrastrukturou.