Střední firma s 50–250 zaměstnanci má před sebou při přípravě na NIS2 jasný úkol, ale mnohdy nejasný postup. Kam začít? Kdo to má na starosti? Jak dlouho to trvá? Tento průvodce nabízí strukturovaný 6-krokový postup, který prošly stovky organizací v ČR.
Zákon 264/2025 Sb. nabyl účinnosti v listopadu 2025 a organizace, které pod něj spadají, mají povinnost implementovat bezpečnostní opatření a registrovat se na NÚKIB. Čas na pasivní přístup vypršel.
Krok 1: Audit stávajícího stavu (týden 1–2)
Než začnete cokoli zavádět, musíte vědět, kde se nacházíte. Audit stávajícího stavu je rychlé zmapování toho, co už máte: jaké technologie, jaké procesy, jaké dokumenty a jaké lidi.
Co konkrétně dokumentujete:
- Inventář IT aktiv: servery, sítě, cloudové služby, koncová zařízení
- Klíčové business procesy a jejich závislost na IT
- Stávající bezpečnostní politiky a dokumentaci (pokud existují)
- Organizační struktura — kdo zodpovídá za IT bezpečnost?
- Přehled dodavatelů s přístupem do vašich systémů
Výstup kroku 1: seznam aktiv a procesů, které vstupují do dalšího hodnocení. Nezaměřujte se na dokonalost — jde o hrubý přehled, ne systémovou dokumentaci.
Krok 2: Gap analýza (týden 3–4)
Gap analýza porovná váš stávající stav s požadavky vyhlášky 409/2025 Sb. a identifikuje mezery (gappy). Vyhláška definuje 13 oblastí bezpečnostních opatření — od řízení rizik přes ochranu sítí až po školení zaměstnanců.
Typické mezery u středních firem:
- Chybějící formální řízení rizik — IT rizika se řeší ad hoc, nikoli systematicky
- Žádný incident response plán — co dělat, když dojde k bezpečnostnímu incidentu?
- Nedostatečná ochrana dodavatelského řetězce — dodavatelé s přístupem do systémů nejsou hodnoceni
- Zastaralé zálohovací a DR procedury — zálohy existují, ale nejsou testovány
- Absence školení zaměstnanců v oblasti kybernetické bezpečnosti
Gap analýzu lze provést interně pomocí checklistů (zdarma na check.nis2ok.cz) nebo s externím konzultantem pro větší přesnost.
Krok 3: Plán opatření s prioritami (týden 5–6)
Na základě gap analýzy sestavíte plán opatření. Klíčové je prioritizovat — ne vše jde udělat najednou a ne vše je stejně kritické.
Doporučené kritéria prioritizace:
- Kritičnost pro zákon — opatření explicitně vyžadovaná vyhláškou 409/2025 mají přednost
- Rizikovost — mezery s vysokým dopadem a pravděpodobností incidentu jako první
- Náročnost implementace — quick wins (rychlá opatření s velkým efektem) nejdříve
Doporučená časová osa
| Fáze | Obsah | Délka |
|---|---|---|
| Fáze 1 — Základy | Dokumentace, politiky, asset inventář, jmenování zodpovědných osob | 1–2 měsíce |
| Fáze 2 — Procesy | Incident response plán, risk management postup, dodavatelské smlouvy | 2–3 měsíce |
| Fáze 3 — Technická opatření | MFA, SIEM/monitoring, šifrování, zálohy, patch management | 2–4 měsíce |
| Fáze 4 — Testování a školení | Penetrační testy, tabletop cvičení, školení zaměstnanců | 1–2 měsíce |
Krok 4: Implementace bezpečnostních opatření (měsíc 2–7)
Implementace je nejnáročnější fáze. Zahrnuje jak technická opatření (konfigurace systémů, nasazení nástrojů), tak procesní změny (zavedení nových postupů, přiřazení zodpovědností) a dokumentační práci (psaní politik a směrnic).
Technická opatření podle vyhlášky 409/2025:
- Vícefaktorová autentizace (MFA) pro přístup k kritickým systémům
- Segmentace sítě a firewall pravidla
- Šifrování citlivých dat v přenosu i v klidu
- Pravidelné zálohy s testovanou obnovou
- Patch management a aktualizace systémů
- SIEM nebo centrální logování bezpečnostních událostí
Procesní opatření:
- Formální proces řízení rizik s pravidelným přezkumem
- Incident response plán s definovanými rolemi a postupy
- Change management — kontrola změn v IT prostředí
- Bezpečnostní podmínky ve smlouvách s dodavateli
Krok 5: Testování a ověření (měsíc 7–8)
Implementovaná opatření je nutné otestovat. Platí základní poučka: opatření, která nejsou testována, nefungují.
Co testovat:
- Zálohovací a obnovovací procedury — provedení zkušební obnovy ze zálohy
- Incident response plán — tabletop cvičení simulující bezpečnostní incident
- Technická bezpečnost — penetrační test nebo vulnerability assessment
- Přístupová práva — přezkum kdo má přístup k čemu
- Školení zaměstnanců — phishingová simulace pro ověření povědomí
Výstupy testování dokumentujte — budou součástí compliance evidence pro NÚKIB.
Krok 6: Registrace na NÚKIB (měsíc 8–9)
Posledním krokem je registrace u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Registrace se provádí prostřednictvím portálu NÚKIB a vyžaduje:
- Identifikaci organizace a kontaktní údaje
- Klasifikaci jako zásadní nebo důležitý subjekt
- Určení relevantního sektoru a subsektoru
- Jmenování kontaktní osoby pro komunikaci s NÚKIB
Registrace je právní povinností — bez ní jste formálně nesplnili zákon 264/2025 Sb. bez ohledu na to, kolik technických opatření jste zavedli. Termín registrace byl stanoven do konce roku 2025 pro subjekty, které si jsou vědomy své povinnosti, ostatní do 90 dnů od identifikace.
Rychlý self-check: Jak jste na tom s NIS2?
Nejste si jistí, v které fázi se nacházíte? Bezplatný online audit na check.nis2ok.cz za 10 minut identifikuje vaše klíčové mezery a navrhne konkrétní kroky. Vhodný jako výchozí bod před zahájením gap analýzy.
Nejčastější chyby při implementaci
Zkušenosti z praxe ukazují, že organizace opakovaně narážejí na stejné problémy:
- Podcenění dokumentační zátěže — NIS2 vyžaduje hodně papíru. Politiky, postupy, záznamy. Počítejte s tím v plánu.
- Přeskočení testovací fáze — opatření implementovaná bez testování dávají falešný pocit bezpečí
- Izolace IT od businessu — NIS2 vyžaduje zapojení vedení, ne jen IT oddělení
- Zapomínání na dodavatelský řetězec — viz náš článek o dodavatelích
Shrnutí: 6 kroků k NIS2 compliance
- Audit stávajícího stavu — zmapujte aktiva, procesy a existující bezpečnostní opatření
- Gap analýza — porovnejte stav s požadavky vyhlášky 409/2025
- Plán opatření — prioritizovaný seznam s časovým harmonogramem
- Implementace — technická, procesní i dokumentační opatření
- Testování — ověřte, že opatření skutečně fungují
- Registrace na NÚKIB — formální splnění zákonné povinnosti
Celá implementace u střední firmy realisticky trvá 6–12 měsíců při dostupnosti interních zdrojů. S externím konzultantem lze první fáze urychlit a vyhnout se zbytečným chybám.