První a nejzásadnější otázka, kterou si každá firma musí položit: spadám pod zákon 264/2025 Sb.? Odpověď závisí na dvou faktorech: ve kterém sektoru působíte a jak velká je vaše organizace. Zákon NIS2 rozlišuje dvě kategorie subjektů se stejnými základními povinnostmi, ale různou intenzitou dohledu ze strany NÚKIB.
Zásadní subjekty (Příloha I) – pod přísným dohledem
Zásadní subjekty podléhají proaktivnímu dohledu NÚKIB. To znamená, že regulátor může provádět pravidelné kontroly i bez předchozího incidentu. Patří sem organizace z těchto sektorů:
- Energetika: Výroba, přenos a distribuce elektřiny; ropné produkty (těžba, rafinace, distribuce); zemní plyn (distribuce, přeprava, skladování, LNG); vodík (výroba a distribuce)
- Doprava: Letecký sektor (letecké dopravce, letiště, řízení letového provozu); železniční doprava (správci infrastruktury, dopravci); vodní doprava (přístavy, lodní doprava); silniční doprava (správci silnic, ITS systémy)
- Bankovnictví a finanční infrastruktura: Banky, infrastruktura finančních trhů (burzy, centrální protistrany)
- Zdravotnictví: Nemocnice a zdravotnická zařízení, EU referenční laboratoře, výzkumné organizace (léčiva, zdravotnické prostředky), výrobci léčiv a kritických zdravotnických prostředků
- Pitná voda: Dodavatelé a distributoři pitné vody
- Odpadní vody: Sběr, čištění a odvod odpadních vod
- Digitální infrastruktura: Poskytovatelé IXP, DNS, TLD, cloudových služeb, datových center, CDN, důvěryhodných a eIDAS služeb, sítí elektronických komunikací, veřejně dostupných komunikačních služeb
- Správa ICT služeb (B2B): Poskytovatelé managed services a managed security services
- Veřejná správa: Ústřední orgány státní správy a krajské úřady
- Vesmírný průmysl: Provozovatelé pozemní kosmické infrastruktury
Důležité subjekty (Příloha II) – reaktivní dohled
Důležité subjekty podléhají reaktivnímu dohledu – NÚKIB zasahuje primárně na základě incidentu nebo stížnosti. Povinnosti jsou stejné jako u zásadních subjektů, ale intenzita kontroly je nižší. Patří sem:
- Poštovní a kurýrní služby: Provozovatelé poštovních a kurýrních sítí
- Odpadové hospodářství: Správa a zpracování odpadu
- Výroba, produkce a distribuce chemikálií
- Výroba, zpracování a distribuce potravin (nad prahové hodnoty)
- Výroba: Zdravotnické přístroje a in vitro diagnostické prostředky; počítače, elektronické a optické výrobky; elektrická zařízení; stroje a zařízení; motorová vozidla a přípojná vozidla; ostatní dopravní prostředky
- Digitální poskytovatelé: Poskytovatelé online tržišť, online vyhledávačů, platforem sociálních sítí
- Výzkumné organizace
Velikostní kritéria
Samotná příslušnost k sektoru nestačí – NIS2 obecně platí pro organizace překračující alespoň jedno z těchto kritérií:
- Více než 50 zaměstnanců (přepočteno na plné úvazky)
- Roční obrat nebo bilanční suma vyšší než 10 milionů EUR
Výjimka: Pro některé sektory se velikostní práh neuplatní. Bez ohledu na velikost pod zákon vždy spadají: poskytovatelé sítí elektronických komunikací, operátoři kritické infrastruktury, správci TLD a DNS, IXP provozovatelé, a veřejná správa.
Výjimky z působnosti
Zákon 264/2025 Sb. explicitně vyjímá z působnosti:
- Organizace v oblasti národní bezpečnosti, obrany a vymáhání práva
- Zpravodajské a bezpečnostní služby
- Soudy a parlamentní orgány
- Česká národní banka (regulována specifickou legislativou)
- Mikropodniky (pod 10 zaměstnanců a pod 2 mil. EUR obratu) v sektorech Přílohy II
Postup registrace na portálu NÚKIB
Registrace regulovaných subjektů probíhá přes portál NÚKIB (nukib.gov.cz). Postup v krocích:
- Ověření příslušnosti: Ověřte, zda vaše organizace splňuje sektorová a velikostní kritéria. Pomůže vám bezplatný audit na check.nis2ok.cz.
- Příprava údajů: IČO, kontaktní osoba (MKB nebo pověřenec), sektorová příslušnost, seznam klíčových služeb, technické kontakty pro hlášení incidentů
- Elektronická registrace: Přihlášení na portál NÚKIB prostřednictvím datové schránky nebo eID
- Potvrzení zařazení: NÚKIB do 30 dnů potvrdí zařazení nebo si vyžádá doplnění informací
- Průběžná aktualizace: Každou změnu (nová klíčová služba, změna kontaktů, organizační změna) je třeba hlásit do 30 dnů
Co se stane, když se nezaregistruji?
Neopodstatněné neregistrování je porušením zákona a může být sankcionováno. Pokud si nejste jisti, zda pod zákon spadáte, je bezpečnější provést registraci – NÚKIB vás v případě pochybností zařadí do správné kategorie nebo potvrdí, že regulace na vás nedopadá.
Podrobný přehled sankcí a povinností najdete v našem průvodci NIS2 v kostce 2026. Vztah NIS2 k GDPR vysvětlujeme v článku NIS2 vs. GDPR: Jak se vzájemně ovlivňují.