NIS2 a nový zákon o kybernetické bezpečnosti: co čeká malé a střední firmy

NIS2 a nový zákon o kybernetické bezpečnosti: co čeká malé a střední firmy

Kolem NIS2 je hodně strašení a málo srozumitelných odpovědí. Přitom nový český zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) je účinný už od 1. listopadu 2025 a dotýká se odhadem několika tisíc firem – zdaleka nejen bank a energetiky. Pojďme si bez paniky projít, koho se NIS2 týká, jaké jsou termíny a sankce a co pro to jako firma musíte reálně udělat.

Co je NIS2 a proč se o něm najednou mluví

NIS2 je evropská směrnice, kterou Česko přeneslo do praxe právě novým zákonem o kybernetické bezpečnosti. Oproti staré úpravě, která mířila hlavně na kritickou infrastrukturu, teď regulace dopadá na desítky odvětví – energetiku, dopravu, zdravotnictví, vodárenství, potravinářství, odpady, výrobu, poštovní a kurýrní služby, digitální infrastrukturu, ICT služby, veřejnou správu nebo online tržiště.

Dozorovým úřadem je NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Ten nečeká, až se firmy přihlásí samy od sebe – zákon staví na principu samoidentifikace. To je zásadní: povinnost posoudit, zda pod NIS2 spadáte, leží na vás, ne na úřadu.

Spadá pod NIS2 i vaše firma?

Orientačním vodítkem je kombinace tří věcí: velikost firmy, odvětví a typ služby. Zjednodušeně: pokud jste střední nebo větší podnik (zhruba od 50 zaměstnanců nebo s ročním obratem či bilanční sumou nad 10 milionů eur) a působíte v některém z regulovaných odvětví, velmi pravděpodobně se vás zákon týká.

Pozor na dvě časté pasti:

  • Holding a propojené podniky – i „malá“ dceřiná firma může spadnout pod NIS2 „skrze matku“, pokud je součástí větší skupiny.
  • Dodavatelský řetězec – i když povinnosti nemáte přímo ze zákona, váš odběratel, který pod NIS2 spadá, je bude smluvně vyžadovat po vás. Bezpečnost dodavatelů je totiž jednou z klíčových oblastí zákona. V praxi to znamená, že se NIS2 dotkne i řady malých firem nepřímo – přes obchodní vztahy.

Výsledek samoidentifikace si vždy zdokumentujte. Ať už vyjde „spadáme“, nebo „nespadáme“, musíte být schopni ho při případné kontrole obhájit.

Dva režimy povinností a klíčové termíny

Zákon rozlišuje režim vyšších a nižších povinností – podle významu služby a velikosti organizace. Vyšší režim míří na subjekty se strategickým významem, nižší na střední podniky poskytující důležité služby.

Časová osa, kterou byste měli mít v hlavě:

  • Ohlášení u NÚKIB – regulovaný subjekt se musí ohlásit do 60 dnů (stávající firmy tak měly učinit do konce roku 2025). Pokud jste to nestihli, řešte to aktivně, ne mlčením.
  • Zavedení opatření – na plné zavedení bezpečnostních opatření máte zpravidla rok od doručení rozhodnutí o registraci. Rok uteče rychleji, než se zdá.
  • Hlášení incidentů – významné kybernetické incidenty se hlásí NÚKIB v řádu hodin (prvotní hlášení zpravidla do 24 hodin, doplnění informací do 72 hodin od zjištění).

⚠️ Sankce a odpovědnost vedení

Tohle je moment, kdy NIS2 přestává být „věcí IT“. Za porušení povinností hrozí v režimu vyšších povinností pokuta až 250 milionů Kč nebo 2 % čistého celosvětového obratu (v nižším režimu až 175 milionů Kč nebo 1,4 %). U členů vedení navíc připadá v úvahu i dočasné pozastavení výkonu řídicí funkce, dokud firma nezjedná nápravu.

Nově totiž odpovědnost leží přímo na statutárním orgánu. Vedení má schvalovat opatření, rozumět rizikům a absolvovat školení. Věta „to je věc ajťáků“ před regulátorem neobstojí.

Co musíte reálně zavést

Zákon není nákupní seznam konkrétních produktů, ale několik technických a organizačních opatření se objevuje prakticky v každém rozumném plánu:

  • Vícefaktorové ověření (MFA) pro administrátory, vzdálený přístup, e-mail, cloud i účty dodavatelů.
  • Řízení přístupů a evidence aktiv – přehled systémů, dat, zařízení a jejich vlastníků.
  • Segmentace sítě – oddělení serverů, kanceláří, záloh a hostů místo jedné ploché sítě.
  • Zálohování a plán obnovy – ověřené zálohy a scénář, jak rychle obnovit kritické služby.
  • Monitoring a hlášení incidentů – centralizované logy a jasný postup, kdo a jak incident řeší.
  • Řízení dodavatelů – smlouvy, SLA a přístupy ošetřené tak, aby odpovídaly zákonu.

Do „přiměřených opatření“ patří i provoz podporovaného softwaru – běžící Windows 10 po konci podpory je přesně ten typ rizika, které NIS2 řeší.

Kde začít: GAP analýza místo panického nakupování

Nejlepší první krok není objednat drahou bezpečnostní platformu, ale udělat si GAP analýzu – porovnat současný stav s požadavky zákona. Projděte pět oblastí: evidenci aktiv, řízení přístupů, síťovou architekturu, incidentní procesy a kontinuitu provozu, a nakonec dodavatelský řetězec. Teprve pak víte, co doplnit – a hlavně neutratíte peníze za věci, které nepotřebujete.

S NIS2 vám v DIGITREE pomůžeme

Většina povinností NIS2 se nakonec láme na provozu IT – a přesně tam působíme. V rámci vzdálené správy PC uděláme audit vašich zařízení a nasadíme aktualizace, MFA i řízení přístupů. Postaráme se o správu serverů se zálohováním a monitoringem i o správu a segmentaci firemní sítě.

Data můžete mít bezpečně v EU díky cloudu na vlastní doméně a inspiraci k zabezpečení najdete i v našem článku Jak udržet firemní web bezpečný. Kompletní přehled je v našich IT službách pro firmy. Jsme z Plzně, takže když je potřeba, přijedeme i osobně.

Často kladené otázky

Jak zjistím, jestli se NIS2 týká mojí firmy?
Vyjděte ze tří kritérií: velikost firmy (orientačně od 50 zaměstnanců nebo 10 mil. eur obratu), odvětví a typ služby. Pozor na propojené a partnerské podniky – i malá dcera velké skupiny může pod NIS2 spadat. Výsledek posouzení si zdokumentujte, abyste ho uměli obhájit při kontrole.
Nespadáme pod NIS2 přímo. Proč nás přesto řeší náš odběratel?
Protože NIS2 klade důraz na bezpečnost dodavatelského řetězce. Regulovaná firma musí ošetřit své dodavatele, takže bezpečnostní požadavky, MFA nebo smluvní SLA bude vyžadovat i po vás – i když sami povinnosti ze zákona nemáte. Splnění těchto požadavků je pak i vaše konkurenční výhoda.
Co dělat, když jsme se nestihli registrovat u NÚKIB?
Nečekejte na výzvu úřadu. Ověřte, zda splňujete kritéria (včetně holdingu), určete odpovědnou osobu, sestavte evidenci aktiv a proveďte ohlášení přes Portál NÚKIB. Aktivní přístup je vždy lepší než mlčení – a snižuje riziko sankce.
Zvládneme NIS2 vlastními silami, nebo potřebujeme externí IT?
Právní posouzení zvládnete i interně, ale technická opatření (MFA, segmentace sítě, zálohy, monitoring, hlášení incidentů) je potřeba nasadit a hlavně udržovat. Malé a střední firmy na to většinou nemají vlastní tým, a proto dává smysl svěřit správu IT externímu partnerovi. Rádi vám s tím pomůžeme.

Zdroje: Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, NÚKIB – Průvodce novým zákonem

Fotografie autora: Josef Treml

Josef Treml

CEO

Propojuji svět IT technologií s reálnými potřebami vašeho byznysu. Díky zkušenostem s řízením projektů a návrhem infrastruktury umím nastavit procesy tak, aby technologie vaší firmě skutečně sloužily a nebrzdily vás. Rád se postarám o hladký chod vašeho IT, abyste vy měli klid na samotné podnikání.

Více o Josefovi

Zpět na výpis článků
Logo - Digitree