„NIS2? To je přece jen pro elektrárny a nemocnice, nás se to netýká." Přesně tuhle větu slýcháme nejčastěji — a bývá špatně. Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) rozšířil okruh povinných subjektů na více než 6 000 organizací napříč obory. A možná jste mezi nimi, aniž byste o tom věděli.
Nebojte, nebudeme vás strašit paragrafy. V tomhle článku si srozumitelně vysvětlíme, co se změnilo, jak poznat, zda se vás regulace týká, a hlavně — co konkrétně udělat. Rozdělili jsme to do sedmi kroků, které dávají smysl i pro firmu bez vlastního IT oddělení.
Co se vlastně změnilo
Evropská směrnice NIS2 se do českého práva promítla novým zákonem o kybernetické bezpečnosti, který je účinný od 1. listopadu 2025 a nahradil původní zákon z roku 2014. Zásadní novinka je v tom, koho se týká: zatímco dřív šlo hlavně o kritickou infrastrukturu, teď dopadá i na běžné střední firmy ve výrobě, dopravě, potravinářství, zdravotnictví, IT službách a dalších oborech.
Pro dotčené firmy to znamená konkrétní povinnosti: řídit kybernetická rizika, zavést bezpečnostní opatření, hlásit incidenty úřadu (NÚKIB) a nést za to odpovědnost až na úrovni vedení. Podrobný přehled najdete na naší stránce Co je NIS2.
Týká se to i vás?
Jestli spadáte do regulace, určuje kombinace dvou věcí: oboru (poskytujete tzv. regulovanou službu podle vyhlášky) a velikosti firmy. Zjednodušeně platí prahová hranice středního podniku:
Pokud jste pod prahem velikosti, přímá regulace vás nejspíš mine — ale pozor na dvě věci: existují výjimky bez ohledu na velikost a hlavně po vás soulad můžou chtít vaši zákazníci v dodavatelském řetězci. Velké firmy dnes běžně prověřují bezpečnost svých dodavatelů.
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Dva režimy povinností
Zákon rozlišuje vyšší (essential) a nižší (important) režim podle významu služby a velikosti organizace. Vyšší režim má přísnější požadavky a tvrdší dohled, ale princip je u obou stejný: řídit rizika, zavést opatření a hlásit incidenty. Do kterého režimu spadáte, závisí na typu poskytované služby — a právě tady se vyplatí nechat si to posoudit.
7 kroků k souladu
1. Zjistěte, zda a v jakém režimu spadáte
Bez tohoto kroku nemá smysl dělat cokoli dalšího. Projděte si, zda vaše činnost patří mezi regulované služby a zda splňujete prahy velikosti. Výsledek určí rozsah všech dalších povinností. Orientaci dá test, přesné zařazení pak odborné posouzení.
2. Určete odpovědnou osobu
Zákon vyžaduje mít konkrétního člověka odpovědného za kyberbezpečnost a komunikaci s NÚKIB. Ve vyšším režimu jde o formální roli manažera kybernetické bezpečnosti. I když nemáte vlastního specialistu, někdo musí být „ten, kdo to má na starosti" — klidně ve spolupráci s externím partnerem.
3. Zmapujte aktiva a rizika
Nejde chránit něco, o čem nevíte, že to máte. Udělejte si evidenci: jaký hardware a software používáte, kde máte důležitá a osobní data, kdo k nim má přístup. Pak posuďte, co by se stalo, kdyby daný systém vypadl nebo unikl — to je základ řízení rizik.
4. Zaveďte základní bezpečnostní opatření
Většina požadavků NIS2 stojí na osvědčených základech, které by měla mít každá firma bez ohledu na zákon:
- Vícefaktorové ověřování (MFA) všude, kde to jde — nejúčinnější obrana proti uniklým heslům.
- Zálohy a otestovaná obnova podle pravidla 3-2-1, ideálně s neměnnou (immutable) kopií.
- Pravidelné aktualizace operačních systémů, aplikací i síťových prvků.
- Řízení přístupů podle principu minimálních oprávnění.
5. Připravte plán reakce na incidenty
Není otázka zda, ale kdy nastane bezpečnostní incident. Mějte předem jasno, kdo co dělá, koho volat a jak a kdy hlásit incident NÚKIB. Plán, který si poprvé čtete až během útoku, je k ničemu — proto ho jednou za čas nanečisto projděte.
6. Ohlaste poskytování regulované služby
Pokud spadáte do regulace, máte 60 dní od nabytí účinnosti (resp. od okamžiku, kdy se na vás povinnost začne vztahovat) na ohlášení přes portál NÚKIB. Tenhle administrativní krok se snadno přehlédne, ale jeho zanedbání je samo o sobě porušením zákona.
7. Školte lidi a hlídejte dodavatele
Nejslabším článkem bezpečnosti bývá člověk. Pravidelné školení (rozpoznání phishingu, bezpečná hesla) sníží riziko víc než leckterá technologie. A protože NIS2 řeší i bezpečnost dodavatelského řetězce, mějte přehled o tom, komu svěřujete data a přístupy.
Co hrozí, když to odložíte
NIS2 není bezzubá. Za závažná porušení hrozí citelné pokuty a odpovědnost dopadá i na vedení firmy.
I kdyby se vás pokuty nakonec netýkaly, samotný bezpečnostní incident — výpadek provozu, únik dat, ztráta důvěry zákazníků — bývá dražší než jeho prevence. NIS2 je tak spíš záminka udělat konečně to, co dává smysl tak jako tak.
Co si odnést
- Nový zákon o kyberbezpečnosti (264/2025 Sb.) je účinný od 1. 11. 2025 a týká se i běžných středních firem.
- Zda spadáte, určuje obor a velikost (zpravidla od 50 zaměstnanců nebo 10 mil. € obratu).
- Základ povinností = odpovědná osoba, řízení rizik, MFA, zálohy, aktualizace, plán reakce a hlášení NÚKIB.
- Za závažná porušení hrozí pokuty až 250 mil. Kč; odpovědnost nese i vedení.
- Nezačínejte na poslední chvíli — zavedení opatření zabere čas.
Nevíte, kde začít, nebo na to nemáte kapacitu? Pomůžeme vám s NIS2 — posoudíme, zda a v jakém režimu spadáte, navrhneme konkrétní kroky a pomůžeme je zavést i provozovat. Srozumitelně a bez zbytečné byrokracie. Ozvěte se nám na nezávaznou konzultaci zdarma.