Firmy v regulovaných sektorech čelí v oblasti compliance výzvě z více stran najednou. Na jedné straně stojí GDPR – nařízení EU o ochraně osobních dat, platné od roku 2018. Na druhé straně NIS2, respektive zákon 264/2025 Sb. o kybernetické bezpečnosti. Obě regulace mají přesahy do oblasti bezpečnosti informací, ale zaměřují se na různé aspekty.
Dobrou zprávou je, že compliance úsilí pro obě regulace se z velké části překrývá – investice do bezpečnosti, které děláte pro NIS2, vám zároveň pomáhají plnit GDPR, a naopak.
Co je GDPR
GDPR (General Data Protection Regulation) neboli Nařízení EU 2016/679 o ochraně osobních dat platí od května 2018 pro všechny organizace zpracovávající osobní údaje osob v EU. Jde o horizontální regulaci – dotýká se každé firmy bez ohledu na sektor nebo velikost.
Hlavní principy GDPR: zákonnost zpracování, účelové omezení, minimalizace dat, přesnost, omezení uložení, integrita a důvěrnost, odpovědnost (accountability). Dozorový orgán v ČR: Úřad pro ochranu osobních údajů (ÚOOÚ).
Sankce za porušení GDPR: až 20 milionů EUR nebo 4 % celosvětového obratu.
Co je NIS2
NIS2 (zákon 264/2025 Sb.) se zaměřuje na kybernetickou bezpečnost sítí a informačních systémů v regulovaných sektorech. Jde o sektorovou regulaci – dotýká se jen organizací v konkrétních odvětvích (viz kdo se musí registrovat do NIS2). Dozorový orgán: NÚKIB.
NIS2 vyžaduje technická a organizační opatření pro zajištění kybernetické odolnosti, řízení rizik, hlášení incidentů regulátorovi a bezpečnost dodavatelského řetězce.
Kde se NIS2 a GDPR překrývají
Klíčové rozdíly
1. Rozsah subjektů
GDPR platí vždy – pro každou organizaci zpracovávající osobní data bez ohledu na sektor nebo velikost. NIS2 platí jen pro regulované sektory (Příloha I a II zákona 264/2025 Sb.) splňující velikostní kritéria. Malá kavárna musí plnit GDPR, ale NIS2 ji netrápí.
2. Objekt ochrany
GDPR chrání fyzické osoby – jejich soukromí a právo na kontrolu vlastních dat. NIS2 chrání systémy a sítě – kybernetickou odolnost infrastruktury, která zajišťuje klíčové služby. GDPR se ptá „Jsou data bezpečná?", NIS2 se ptá „Je systém odolný vůči kybernetickým útokům?"
3. Incident reporting – různé adresáty
Při bezpečnostním incidentu, který zahrnuje osobní data, musíte hlásit:
- GDPR: Hlášení ÚOOÚ do 72 hodin od zjištění porušení zabezpečení osobních dat; možná povinnost informovat dotčené subjekty údajů
- NIS2: Hlášení NÚKIB do 24 hodin (počáteční oznámení) a do 72 hodin (podrobná zpráva); podrobný incident report do 1 měsíce
Pokud má kybernetický incident dopad na osobní data, musíte hlásit oběma regulátorům. Připravte si procesy tak, aby incident response plán zahrnoval oba scénáře.
4. Odpovědnost vedení
Obě regulace explicitně zapojují vrcholový management. NIS2 jde dál – zavádí osobní odpovědnost statutárních orgánů, kteří mohou být dočasně diskvalifikováni z vedoucích funkcí za závažné opakované porušení.
Jak splnit obě regulace najednou efektivně
Integrovaný přístup je klíčem k efektivitě. Místo dvou paralelních compliance projektů doporučujeme:
- Unifikovaný registr aktiv: Zahrnuje jak informační aktiva pro NIS2, tak systémy zpracovávající osobní data pro GDPR. Dvojí vedení evidence plýtvá kapacitou.
- Integrovaná analýza rizik: NIS2 vyžaduje analýzu rizik pro klíčové systémy, GDPR DPIA (Data Protection Impact Assessment) pro vysokoriziková zpracování. Obě lze propojit do jednoho risk management procesu.
- Společný incident response plán: Jeden plán zahrnuje větve pro GDPR incident (hlášení ÚOOÚ, informování subjektů údajů) i NIS2 incident (hlášení NÚKIB, eskalace v organizaci).
- Sdílená bezpečnostní opatření: Šifrování, MFA, patch management, monitoring – tato opatření plní požadavky obou regulací. Implementujte je jednou, dokumentujte pro oba účely.
- Konsolidované školení: Školení zaměstnanců zahrnuje povědomí o ochraně dat (GDPR) i kybernetické bezpečnosti (NIS2). Jedna vzdělávací akce, dvojí přínos.
Praktický příklad: ransomware útok
Scénář: váš server s databází zákazníků je zasažen ransomwarem. Co musíte udělat?
- NIS2 (zákon 264/2025 Sb.): Počáteční hlášení NÚKIB do 24 hodin od zjištění; podrobná zpráva do 72 hodin; pokračování v komunikaci s NÚKIB; aktivace incident response plánu; dokumentace celého průběhu
- GDPR: Pokud útok zasáhl osobní data – hlášení ÚOOÚ do 72 hodin; posouzení, zda je nutné informovat dotčené osoby; dokumentace porušení v registru incidentů
- Obecně: Izolace zasažených systémů; zálohy a obnova; forenzní analýza; komunikace se zákazníky a partnery
Organizace, které mají připravený integrovaný incident response plán, zvládnou tento scénář výrazně lépe a rychleji než ty, které řeší GDPR a NIS2 odděleně.
Kde začít
Pokud zatím nemáte strukturovaný přístup k NIS2 ani GDPR, doporučujeme začít s bezplatným NIS2 auditem na check.nis2ok.cz, který vám ukáže aktuální stav a prioritní kroky. Přehled kompletních NIS2 povinností najdete v průvodci NIS2 v kostce 2026.