NIS2 v kostce 2026: Vše, co potřebujete vědět

NIS2 (Network and Information Security Directive 2) je evropská regulace, která v České republice nabyla právní síly prostřednictvím zákona č. 264/2025 Sb. o kybernetické bezpečnosti. Zákon vstoupil v účinnost v říjnu 2025 a dotýká se přibližně 6 000 organizací v ČR. Pokud vaše firma působí v regulovaném sektoru a splňuje velikostní kritéria, téměř jistě povinnosti dopadají i na vás.

Timeline implementace NIS2 v ČR

• Říjen 2022: Přijata směrnice EU 2022/2555 (NIS2)
• Říjen 2024: Deadline pro transpozici do národního práva v EU
• Říjen 2025: Zákon 264/2025 Sb. vstupuje v účinnost v ČR
• Únor 2026: Termín pro registraci regulovaných subjektů u NÚKIB
• Říjen 2026: Termín pro dokončení základních bezpečnostních opatření (zásadní subjekty)
• Duben 2027: Termín pro dokončení základních opatření (důležité subjekty)

Pokud vaše firma doposud neprovedla ani základní posouzení, zda pod zákon spadá, je nejvyšší čas jednat. Bezplatný online audit na check.nis2ok.cz vám za 10 minut ukáže, kde stojíte.

Kdo musí NIS2 splnit?

Zákon rozlišuje dvě kategorie regulovaných subjektů dle Přílohy I a II zákona:

Zásadní subjekty (Příloha I) – přísnější dohled: Energetika (výroba, přenos, distribuce elektřiny, ropy, plynu), doprava (letectví, železnice, vodní doprava, silniční doprava), bankovnictví a finanční infrastruktura, zdravotnictví (nemocnice, laboratoře, farmaceutika), digitální infrastruktura (DNS, TLD, IXP, poskytovatelé cloudu, datacentra, CDN, důvěryhodné služby), veřejná správa, vesmírný průmysl, vodní hospodářství.

Důležité subjekty (Příloha II) – mírnější dohled: Poštovní a kurýrní služby, odpadové hospodářství, výroba (chemikálie, potraviny, lékařské přístroje, počítače, elektronika, stroje, motorová vozidla), digitální poskytovatelé (tržiště, vyhledávače, sociální platformy).

Velikostní práh: organizace s více než 50 zaměstnanci nebo ročním obratem nad 10 milionů EUR. Výjimky existují pro specifické sektory (kritická infrastruktura bez ohledu na velikost).

Detailní přehled sektorů najdete v článku Kdo se musí registrovat do NIS2: Kompletní seznam odvětví.

13 bezpečnostních opatření dle vyhlášky 409/2025

Vyhláška č. 409/2025 Sb. konkretizuje, co regulované subjekty musejí implementovat. Požadavky jsou rozděleny do 13 oblastí:

1. Řízení rizik kybernetické bezpečnosti – pravidelná analýza rizik, proporcionalita opatření vůči identifikovaným rizikům
2. Bezpečnost dodavatelského řetězce – hodnocení dodavatelů, smluvní zabezpečení, monitoring třetích stran
3. Řízení aktiv – inventář informačních a fyzických aktiv, klasifikace dle citlivosti
4. Řízení přístupu a autentizace – princip nejmenšího privilegia, vícefaktorová autentizace (MFA), správa privilegovaných účtů
5. Fyzická bezpečnost – ochrana datových center a serveroven, kontrola přístupu fyzických osob
6. Kryptografie a šifrování – šifrování dat v klidu a při přenosu, správa kryptografických klíčů
7. Bezpečnost sítí a informačních systémů – segmentace sítě, firewall, monitoring provozu, patch management
8. Detekce kybernetických bezpečnostních událostí – SIEM, logování, monitoring, detekce anomálií
9. Zvládání kybernetických bezpečnostních incidentů – incident response plán, testování, hlášení NÚKIB do 24/72 hodin
10. Kontinuita činností (BCM) – plán obnovy po havárii, zálohy, testování, recovery time objectives
11. Školení a osvěta v oblasti kybernetické bezpečnosti – pravidelné školení zaměstnanců, phishing simulace, povědomí o hrozbách
12. Bezpečné vývojové prostředí – bezpečný vývoj softwaru, testování zranitelností, secure by design
13. Zveřejňování zranitelností – politika odpovědného zveřejňování, koordinace s NÚKIB

Manažer kybernetické bezpečnosti

Zákon 264/2025 Sb. zavádí novou povinnou roli: manažer kybernetické bezpečnosti (MKB). Tato osoba je zodpovědná za celkové řízení kybernetické bezpečnosti organizace, reportuje přímo vedení a musí splňovat kvalifikační předpoklady definované zákonem.

Manažer KB může být interní zaměstnanec nebo externí poskytovatel (tzv. virtual CISO). Organizace s menší kapacitou IT mohou využít externalizaci této role.

Termíny registrace u NÚKIB

Regulované subjekty jsou povinny se registrovat v registru NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Registrace probíhá přes portál nukib.gov.cz. Termíny:

• Zásadní subjekty: Primární registrace do února 2026 (pokud jste dosud neregistrováni, jednejte okamžitě)
• Důležité subjekty: Registrace do dubna 2026
• Průběžná aktualizace: Změny v rozsahu nebo kontaktních osobách hlásit do 30 dnů

Co hrozí za nesplnění NIS2

Sankce za nesplnění požadavků zákona 264/2025 Sb. jsou výrazné a jejich výše závisí na kategorii subjektu:

• Zásadní subjekty: Pokuta až 250 milionů Kč nebo 2 % celkového celosvětového ročního obratu (podle toho, co je vyšší)
• Důležité subjekty: Pokuta až 100 milionů Kč nebo 1,4 % celosvětového obratu
• Možnost pozastavení certifikací a licencí u zásadních subjektů
• Osobní odpovědnost statutárních orgánů (manažeři mohou být dočasně zakázáni ve vedoucích funkcích)

Sankce ale nejsou primárním cílem regulace – NÚKIB v první fázi preferuje poradenský přístup a pomoc při implementaci. Nicméně zákon je účinný a proaktivní přístup je vždy lepší než čekání na kontrolu.

Kde hledat pomoc

Nejdůležitějším prvním krokem je zjistit, kde přesně vaše organizace stojí. K tomu slouží:

• NIS2OK.cz – nejprve si ověřte, zda vaše firma vůbec spadá pod NIS2; bezplatný online audit za 10 minut, strukturovaný dle vyhlášky 409/2025
• SecureOn.cz – automatizovaný B2B auditní portál pro systematické hodnocení kybernetické bezpečnosti regulovaných subjektů
• nukib.gov.cz – metodické materiály, šablony a registrační portál NÚKIB
• NIS2Expert.cz – odborné poradenství, gap analýza, implementace a průběžná podpora