Zákon 264/2025 Sb. přinesl do českého prostředí nové compliance povinnosti, se kterými se firmy teprve učí pracovat. Na základě zkušeností z konzultací s desítkami organizací různých velikostí jsme identifikovali 10 chyb, které se opakují nejčastěji — a které přitom nejsou těžké opravit, pokud o nich víte předem.
Než začtete: pokud si nejste jisti, zda vaše firma pod NIS2 vůbec spadá, vyzkoušejte bezplatný self-check na nis2ok.cz — za 10 minut máte odpověď.
Přesvědčení, že NIS2 se vás netýká
Chyba: Firma s 80 zaměstnanci v sektoru digitální infrastruktury se rozhodne, že „NIS2 je pro velké firmy." Přeskočí přípravy a rok po nabytí účinnosti dostane výzvu od NÚKIB.
Řešení: NIS2 se týká i středně velkých firem (50+ zaměstnanců nebo obrat 10+ mil. EUR) ve více než 18 sektorech. Ověřte svou povinnost na check.nis2ok.cz nebo v textu zákona 264/2025 Sb. Nejistota je horší než nepříjemná pravda.
NIS2 je „IT projekt"
Chyba: Vedení přidělí NIS2 IT manažerovi a říká: „Vyřeš to." IT manažer implementuje technická opatření, ale chybí politiky schválené vedením, jmenování zodpovědných osob a dokumentace procesů, které zákon vyžaduje od managementu.
Řešení: NIS2 vyžaduje zapojení statutárního orgánu. Vedení firmy odpovídá za zavedení bezpečnostních opatření a může být sankcionováno osobně. IT je jen jeden díl skládačky — potřebujete i právní, HR a vedení.
Implementace bez gap analýzy
Chyba: Firma okamžitě nakoupí bezpečnostní software a nasadí nové procesy, aniž by věděla, kde jsou skutečné mezery. Výsledek: nákladná opatření v oblastech, kde problémy nebyly, a přehlédnuté kritické mezery jinde.
Řešení: Nejprve zmapujte stávající stav a proveďte gap analýzu. Náš průvodce implementací ukazuje, proč je gap analýza první povinný krok — ne volitelná fáze.
Zapomínání na dodavatelský řetězec
Chyba: Firma zabezpečí vlastní systémy, ale přehlédne, že její IT dodavatel, cloud provider nebo softwarový partner má přístup do kritických systémů bez bezpečnostních požadavků ve smlouvě.
Řešení: Vyhlášky 409/2025 explicitně vyžaduje hodnocení bezpečnosti dodavatelů a zahrnutí bezpečnostních požadavků do smluv. Přečtěte si náš článek o dodavatelském řetězci pro konkrétní návod.
Absence incident response plánu
Chyba: Firma nemá písemný postup pro zvládání bezpečnostních incidentů. Když dojde k útoku ransomwarem, každý reaguje jinak, nikdo neví kdo co hlásí a 24hodinová lhůta pro nahlášení incidentu NÚKIB uplyne bez vědomí managementu.
Řešení: NIS2 vyžaduje schopnost detekovat, hlásit a zvládat bezpečnostní incidenty. Incident response plán nemusí být složitý — musí existovat, být znám a být otestován alespoň formou tabletop cvičení.
Nesplnění registrační povinnosti
Chyba: Organizace udělá veškerou technickou práci, ale zapomene (nebo odloží) registraci na portálu NÚKIB. Registrace je přitom samostatná zákonná povinnost, jejíž nesplnění je samostatně sankcionovatelné.
Řešení: Registrace na NÚKIB je povinná a musí proběhnout ve stanovených lhůtách. Je to relativně jednoduchý administrativní krok — přesto ho mnoho organizací odkládá. Nepodceňujte ho.
Politiky existují, ale nikdo je nezná
Chyba: IT konzultant napíše krásné bezpečnostní politiky, uloží je na sdílený disk a nikdo je nikdy nepřečte. Při kontrole NÚKIB se ukáže, že zaměstnanci politiky neznají a nedodržují.
Řešení: Politiky nestačí napsat — musí být komunikovány, zaměstnanci musí potvrdit jejich přečtení a musí proběhnout školení. NIS2 vyžaduje pravidelná školení o kybernetické bezpečnosti jako samostatné opatření.
Netestování záloh
Chyba: Firma provádí zálohy každou noc, ale nikdy neověří, zda ze zálohy jde skutečně obnovit. Po incidentu s ransomwarem zjistí, že zálohy jsou poškozené nebo nekompletní.
Řešení: Záloha, která nebyla testována, neexistuje. Vyhlášky 409/2025 vyžaduje nejen provádění záloh, ale i pravidelné testování obnovy. Otestujte obnovu ze zálohy alespoň čtvrtletně a výsledky zdokumentujte.
Jednorázový projekt místo trvalého procesu
Chyba: Firma NIS2 implementaci zvládne a uzavře jako projekt. Za rok při interním auditu zjistí, že systémy nejsou patchovány, přístupová práva se nezměnila po odchodu zaměstnanců a politiky nikdo neaktualizoval.
Řešení: NIS2 není projekt s koncem — je to trvalý provozní stav. Bezpečnostní opatření vyžadují pravidelnou údržbu, přezkum a aktualizaci. Zabudujte je do pravidelných provozních procesů, ne do projektového plánu.
Podcenění GDPR-NIS2 synergie
Chyba: Organizace, která je zároveň pod GDPR, řeší NIS2 a GDPR jako zcela separátní projekty se zdvojenou prací, dokumentací a náklady.
Řešení: NIS2 a GDPR mají řadu překryvů — risk management, incident reporting, bezpečnostní politiky. Dobré plánování umožní splnit obě regulace efektivněji. Přečtěte si náš přehled NIS2 vs. GDPR.
Kde se nacházíte?
Bezplatný online audit na check.nis2ok.cz za 10 minut identifikuje, které z těchto chyb se vás týkají, a navrhne konkrétní kroky nápravy. Žádná registrace, žádný závazek.
Závěr: Chyby jsou normální, opakování není
Příprava na NIS2 je komplexní úkol a chyby jsou přirozenou součástí procesu. Problém nastává, když se organizace dozví o typických chybách až v okamžiku kontroly nebo incidentu. Prevence je levnější než náprava — a rozhodně levnější než pokuta až 250 mil. Kč.
Pokud se v některém z bodů poznáváte, není důvod k panice. Je důvod jednat.