
NIS2 a nový zákon o kybernetické bezpečnosti: co čeká malé a střední firmy
Kolem NIS2 je hodně strašení a málo srozumitelných odpovědí. Přitom nový český zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) je účinný už od 1. listopadu 2025 a dotýká se odhadem několika tisíc firem – zdaleka nejen bank a energetiky. Pojďme si bez paniky projít, koho se NIS2 týká, jaké jsou termíny a sankce a co pro to jako firma musíte reálně udělat.
Co je NIS2 a proč se o něm najednou mluví
NIS2 je evropská směrnice, kterou Česko přeneslo do praxe právě novým zákonem o kybernetické bezpečnosti. Oproti staré úpravě, která mířila hlavně na kritickou infrastrukturu, teď regulace dopadá na desítky odvětví – energetiku, dopravu, zdravotnictví, vodárenství, potravinářství, odpady, výrobu, poštovní a kurýrní služby, digitální infrastrukturu, ICT služby, veřejnou správu nebo online tržiště.
Dozorovým úřadem je NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Ten nečeká, až se firmy přihlásí samy od sebe – zákon staví na principu samoidentifikace. To je zásadní: povinnost posoudit, zda pod NIS2 spadáte, leží na vás, ne na úřadu.
Spadá pod NIS2 i vaše firma?
Orientačním vodítkem je kombinace tří věcí: velikost firmy, odvětví a typ služby. Zjednodušeně: pokud jste střední nebo větší podnik (zhruba od 50 zaměstnanců nebo s ročním obratem či bilanční sumou nad 10 milionů eur) a působíte v některém z regulovaných odvětví, velmi pravděpodobně se vás zákon týká.
Pozor na dvě časté pasti:
- Holding a propojené podniky – i „malá“ dceřiná firma může spadnout pod NIS2 „skrze matku“, pokud je součástí větší skupiny.
- Dodavatelský řetězec – i když povinnosti nemáte přímo ze zákona, váš odběratel, který pod NIS2 spadá, je bude smluvně vyžadovat po vás. Bezpečnost dodavatelů je totiž jednou z klíčových oblastí zákona. V praxi to znamená, že se NIS2 dotkne i řady malých firem nepřímo – přes obchodní vztahy.
Výsledek samoidentifikace si vždy zdokumentujte. Ať už vyjde „spadáme“, nebo „nespadáme“, musíte být schopni ho při případné kontrole obhájit.
Dva režimy povinností a klíčové termíny
Zákon rozlišuje režim vyšších a nižších povinností – podle významu služby a velikosti organizace. Vyšší režim míří na subjekty se strategickým významem, nižší na střední podniky poskytující důležité služby.
Časová osa, kterou byste měli mít v hlavě:
- Ohlášení u NÚKIB – regulovaný subjekt se musí ohlásit do 60 dnů (stávající firmy tak měly učinit do konce roku 2025). Pokud jste to nestihli, řešte to aktivně, ne mlčením.
- Zavedení opatření – na plné zavedení bezpečnostních opatření máte zpravidla rok od doručení rozhodnutí o registraci. Rok uteče rychleji, než se zdá.
- Hlášení incidentů – významné kybernetické incidenty se hlásí NÚKIB v řádu hodin (prvotní hlášení zpravidla do 24 hodin, doplnění informací do 72 hodin od zjištění).
⚠️ Sankce a odpovědnost vedení
Tohle je moment, kdy NIS2 přestává být „věcí IT“. Za porušení povinností hrozí v režimu vyšších povinností pokuta až 250 milionů Kč nebo 2 % čistého celosvětového obratu (v nižším režimu až 175 milionů Kč nebo 1,4 %). U členů vedení navíc připadá v úvahu i dočasné pozastavení výkonu řídicí funkce, dokud firma nezjedná nápravu.
Nově totiž odpovědnost leží přímo na statutárním orgánu. Vedení má schvalovat opatření, rozumět rizikům a absolvovat školení. Věta „to je věc ajťáků“ před regulátorem neobstojí.
Co musíte reálně zavést
Zákon není nákupní seznam konkrétních produktů, ale několik technických a organizačních opatření se objevuje prakticky v každém rozumném plánu:
- ✅ Vícefaktorové ověření (MFA) pro administrátory, vzdálený přístup, e-mail, cloud i účty dodavatelů.
- ✅ Řízení přístupů a evidence aktiv – přehled systémů, dat, zařízení a jejich vlastníků.
- ✅ Segmentace sítě – oddělení serverů, kanceláří, záloh a hostů místo jedné ploché sítě.
- ✅ Zálohování a plán obnovy – ověřené zálohy a scénář, jak rychle obnovit kritické služby.
- ✅ Monitoring a hlášení incidentů – centralizované logy a jasný postup, kdo a jak incident řeší.
- ✅ Řízení dodavatelů – smlouvy, SLA a přístupy ošetřené tak, aby odpovídaly zákonu.
Do „přiměřených opatření“ patří i provoz podporovaného softwaru – běžící Windows 10 po konci podpory je přesně ten typ rizika, které NIS2 řeší.
Kde začít: GAP analýza místo panického nakupování
Nejlepší první krok není objednat drahou bezpečnostní platformu, ale udělat si GAP analýzu – porovnat současný stav s požadavky zákona. Projděte pět oblastí: evidenci aktiv, řízení přístupů, síťovou architekturu, incidentní procesy a kontinuitu provozu, a nakonec dodavatelský řetězec. Teprve pak víte, co doplnit – a hlavně neutratíte peníze za věci, které nepotřebujete.
S NIS2 vám v DIGITREE pomůžeme
Většina povinností NIS2 se nakonec láme na provozu IT – a přesně tam působíme. V rámci vzdálené správy PC uděláme audit vašich zařízení a nasadíme aktualizace, MFA i řízení přístupů. Postaráme se o správu serverů se zálohováním a monitoringem i o správu a segmentaci firemní sítě.
Data můžete mít bezpečně v EU díky cloudu na vlastní doméně a inspiraci k zabezpečení najdete i v našem článku Jak udržet firemní web bezpečný. Kompletní přehled je v našich IT službách pro firmy. Jsme z Plzně, takže když je potřeba, přijedeme i osobně.
Často kladené otázky
Jak zjistím, jestli se NIS2 týká mojí firmy?
Nespadáme pod NIS2 přímo. Proč nás přesto řeší náš odběratel?
Co dělat, když jsme se nestihli registrovat u NÚKIB?
Zvládneme NIS2 vlastními silami, nebo potřebujeme externí IT?
Zdroje: Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, NÚKIB – Průvodce novým zákonem

Josef Treml
CEOPropojuji svět IT technologií s reálnými potřebami vašeho byznysu. Díky zkušenostem s řízením projektů a návrhem infrastruktury umím nastavit procesy tak, aby technologie vaší firmě skutečně sloužily a nebrzdily vás. Rád se postarám o hladký chod vašeho IT, abyste vy měli klid na samotné podnikání.