Nový zákon o kybernetické bezpečnosti s implementovanou směrnicí NIS2: vše, co potřebujete vědět

Směrnice NIS2 (Network and Information Security Directive 2) je aktualizací původní směrnice NIS z roku 2016. Tato směrnice přijatá Evropskou unií má za cíl zlepšit úroveň kybernetické bezpečnosti a odolnosti klíčové infrastruktury ve všech členských státech EU. V ČR platí od listopadu 2025 v rámci nového zákona o kybernetické bezpečnosti.

 

Směrnice NIS2 a nový zákon o kybernetické bezpečnosti – koho se týká

Směrnice NIS2, respektive zákon č. 264/2025 Sb., který ji transponuje do českého právního řádu, se rozšiřuje na více sektorů, které se považují za kritické pro fungování společnosti a ekonomiky. Směrnice má dopad do oborů, jako jsou: 

• Zdravotnictví – nemocnice, lékařské laboratoře, poskytovatelé zdravotní péče. 
• Doprava – letecká doprava, železnice, námořní doprava, silniční doprava. 
• Energetika – elektrické sítě, plynárenské společnosti, ropné rafinérie. 
• Vodohospodářství – dodávky pitné vody, kanalizační systémy. 
• Digitální infrastruktura – poskytovatelé internetových služeb, datová centra, cloudové služby. 
• Veřejná správa – ministerstva, úřady, regionální a městské samosprávy. 
• Finanční sektor – banky, pojišťovny, investiční společnosti. 
• Dodavatelé potravin – velké maloobchodní řetězce, výrobci potravin.
• Výrobní průmysl – výrobci automobilů, strojírenské firmy, výrobci elektroniky a zdravotnických prostředků.
• Chemický průmysl – výrobci a distributoři chemických látek.
• Odpadové hospodářství – společnosti zajišťující svoz a zpracování odpadu.
• Poštovní a kurýrní služby – provozovatelé poštovních a doručovacích sítí.
• Věda, výzkum a vzdělávání – výzkumné instituce a vysoké školy.
• Obranný průmysl – firmy dodávající do oblasti obrany a bezpečnosti státu.
• Vesmírný průmysl – subjekty provozující nebo podporující vesmírnou infrastrukturu.

 

Podle odhadů se směrnice NIS2 bude v České republice týkat přibližně 6000 až 9000 organizací napříč různými sektory. Tento počet zahrnuje veřejné i soukromé subjekty, které jsou kritické pro národní bezpečnost a ekonomickou stabilitu. 

Zákon č. 264/2025 Sb. Implementující směrnici NIS2 se v České republice dotýká přibližně 6 000 organizací napříč různými sektory. Tento počet zahrnuje veřejné i soukromé subjekty, které jsou zásadní pro národní bezpečnost a ekonomickou stabilitu.

Týká se nová legislativa i vás? Povinným subjektem se daná organizace stává automaticky, pokud splní následující kritéria: 

• Jde o střední nebo velký podnik (tzn. 50 a více zaměstnanců nebo roční obrat či rozvaha přes než 10 mil. €) a současně 
• tato organizace poskytuje alespoň jednu službu uvedenou v přílohách zákona (hrubý nástin okruhu těchto služeb jsme načrtli v předchozím odstavci).

Zákon č. 264/2025 Sb. rozlišuje dva režimy povinností – vyšší a nižší. Velké podniky a organizace zásadní pro fungování státu zpravidla spadají do režimu vyšších povinností. Ten ukládá přísnější technické i organizační požadavky, včetně povinnosti zřídit výbor pro řízení kybernetické bezpečnosti a jmenovat manažera kybernetické bezpečnosti. Střední podniky většinou operují v režimu nižších povinností s mírnějšími, ale stále závaznými požadavky. Konkrétní zařazení závisí na odvětví a velikosti organizace – pomůže kalkulačka na Portálu NÚKIB (portal.nukib.gov.cz/kalkulacka).

Jedna novinka přitom platí v obou režimech stejně: zákon zavádí přímou osobní odpovědnost statutárních orgánů za stav kybernetické bezpečnosti v organizaci. Ředitelé a členové představenstev jsou povinni absolvovat školení a nemohou se zodpovědnosti zprostit tím, že ji přenesou na IT oddělení. V případě závažného nebo opakovaného porušení povinností hrozí vedení dočasný zákaz výkonu funkce.

 

Implementace směrnice

Implementace směrnice NIS2 se skládá z několika kroků, které musí organizace provést, aby splnily nové požadavky: zákona. Po doručení rozhodnutí o registraci od NÚKIB mají organizace 12 měsíců na zavedení všech bezpečnostních opatření:

• Hodnocení rizik – organizace musí pravidelně provádět hodnocení kybernetických rizik, aby je mohly identifikovat a řídit. 
• Technická opatření – zavedení pokročilých bezpečnostních technologií, jako jsou firewally, antiviry a systémy detekce a prevence průniků (IDS/IPS). 
• Organizační opatření – vypracování a implementace politik a postupů řízení kybernetické bezpečnosti. 
• Školení zaměstnanců – zaměstnanci musí být pravidelně školení v oblasti kybernetické bezpečnosti, aby byli schopní rozpoznat a reagovat na potenciální hrozby. 
• Hlášení incidentů – organizace mají povinnost hlásit kybernetické incidenty přímo NÚKIB. Zákon zavádí třístupňový systém: prvotní hlášení do 24 hodin od zjištění, podrobné oznámení do 72 hodin a závěrečnou zprávu do 30 dnů.

Implementace směrnice NIS2 může být finančně poměrně náročná. Organizace musí investovat do technologií, školení a procesů potřebných k dosažení souladu s požadavky směrnice. Přestože počáteční náklady mohou být vysoké, dlouhodobé výhody v podobě zvýšené kybernetické odolnosti a ochrany citlivých dat zpravidla počáteční investici převáží.

 

Na implementaci už není moc času!

Zákon je účinný od 1. listopadu 2025 a lhůta pro povinnou registraci u NÚKIB již vypršela (a to ke 31. 12. 2025). Přesto se dosud nepřihlásilo přibližně 1 200 organizací, které riskují zahájení správního řízení. A pozor – čím déle organizace otálí, tím vyšší sankci riskuje, protože délka prodlení je výslovně přitěžující okolností. Nečinnost tak může vést k závažným právním a finančním důsledkům:

• Pokuty až do výše 10 milionů € nebo 2 % celkového celosvětového ročního obratu společnosti, podle toho, která hodnota je vyšší. 
• Kromě finančních pokut může státní regulátor (tj. Národní úřad pro kybernetickou a informační bezpečnost – NÚKIB) nařídit nápravná opatření nebo omezit činnost organizace, což může mít dlouhodobé negativní dopady na podnikání a pověst organizace. V krajním případě hrozí také dočasný zákaz výkonu funkce člena statutárního orgánu.

 → Tip: Pokud vaše organizace registraci dosud neprovedla, udělejte to neprodleně – každý den zpoždění situaci zhoršuje. Ohlášení se provádí elektronicky přes Portál NÚKIB na adrese portal.nukib.gov.cz, sekce „Chci vyřídit“. NÚKIB přitom aktuálně volí přístup „pomoc před trestem“ a nabízí metodickou podporu – okno vstřícnosti se ale postupně zavírá.

 

Jak se připravit na nový zákon o kybernetické bezpečnosti

Implementace směrnice NIS2 představuje významné změny v oblasti kybernetické bezpečnosti. Organizace musí přijmout konkrétní kroky, aby splnily nové požadavky a minimalizovaly riziko sankcí. NÚKIB doporučuje postupovat v těchto krocích:

1) Sebeidentifikace a hodnocení aktuálního stavu

Prvním krokem je ověřit, zda se zákon na vaši organizaci vůbec vztahuje. K tomu slouží online kalkulačka přímo na Portálu NÚKIB (portal.nukib.gov.cz/kalkulacka). Pokud kalkulačka potvrdí, že spadáte pod regulaci, je nutné provést registraci – a pokud jste tak ještě neučinili, jde o věc nejvyšší priority. Dalším krokem je provedení důkladného hodnocení současného stavu kybernetické bezpečnosti. Organizace by měly: 

• Identifikovat klíčové systémy a data. 
• Zhodnotit stávající bezpečnostní opatření. 
• Určit slabiny a zranitelnosti.

2) Aktualizace bezpečnostních opatření

Na základě hodnocení je třeba aktualizovat a zavést nová bezpečnostní opatření. To znamená: 

• Implementaci technických opatření, jako jsou firewally, antiviry a šifrování dat. 
• Zavedení organizačních opatření, jako jsou politiky kybernetické bezpečnosti a školení zaměstnanců.

3) Jmenování odpovědných osob a školení zaměstnanců

Zákon nově nařizuje organizacím v režimu vyšších povinností jmenovat manažera kybernetické bezpečnosti. Tuto roli lze i outsourcovat, pokud organizace nemá vlastního odborníka. V obou režimech pak platí osobní odpovědnost statutárních orgánů, včetně povinnosti absolvovat školení.

Pravidelné školení zaměstnanců slouží k zajištění, že všichni členové organizace jsou obeznámení s novými postupy a politikami kybernetické bezpečnosti. Školení by mělo zahrnovat: 

• Základy kybernetické bezpečnosti. 
• Postupy pro rozpoznání a reakci na kybernetické hrozby. 
• Specifické požadavky směrnice NIS2.

4) Vytvoření plánů pro hlášení incidentů

Organizace musí mít jasně definované postupy pro hlášení kybernetických incidentů. Je tedy nutné: 

• Určení odpovědných osob za hlášení incidentů. 
• Nastavit interní procesy pro dodržení zákonných lhůt – prvotní hlášení do 24 hodin, podrobné oznámení do 72 hodin a závěrečná zpráva do 30 dnů od oznámení.

Více vysvětlíme dále v článku.

5) Spolupráce a komunikace

Organizace by měly spolupracovat s dalšími společnostmi a regulačními orgány, tzn.: 

• Vytvořit komunikační kanály pro sdílení informací o hrozbách a incidentech. 
• Účastnit se národních a mezinárodních cvičení a školení.

6) Pravidelné přezkoumání a aktualizace

Kybernetické hrozby se neustále vyvíjejí, proto je důležité pravidelně přezkoumávat a aktualizovat bezpečnostní opatření a postupy. Organizace by měly: 

• Pravidelně provádět bezpečnostní audity. 
• Aktualizovat své politiky a postupy na základě nových hrozeb a technologií. 
• Monitorovat a reagovat na změny v právních předpisech a standardech.

 

Směrnice NIS2 ukládá podrobné hlášení bezpečnostních incidentů

Kybernetické incidenty představují pro organizace vážná rizika a směrnice NIS2 zavádí konkrétní postupy pro jejich hlášení. Cílem je zajistit rychlou reakci na incidenty a minimalizovat jejich dopad. 

Kybernetické incidenty, které je třeba hlásit, zahrnují: 

• Útoky typu DDoS (Distributed Denial of Service). 
• Malware a ransomware útoky. 
• Neoprávněný přístup k systémům a datům. 
• Úniky citlivých informací. 
• Technické selhání kritických systémů.

Proces pro hlášení incidentů by měl odpovídat následujícímu postupu:

1. Příprava na incidenty

Organizace musí mít připravené plány pro zvládání incidentů, které zahrnují: 

• Identifikaci odpovědných osob a týmů. 
• Definování kroků pro reakci na incidenty. 
• Zajištění pravidelného školení zaměstnanců.

2. Detekce a analýza

Rychlá detekce incidentů je zásadní pro efektivní reakci. Je zapotřebí zajistit: 

• Monitorování síťového provozu a systémových logů. 
• Používání bezpečnostních nástrojů pro detekci anomálií. 
• Analýzu zjištěných událostí pro potvrzení incidentu.

3. Hlášení incidentů

Po potvrzení incidentu nastupuje třístupňový proces hlášení:

• Prvotní hlášení se musí odeslat do 24 hodin od zjištění a obsahuje základní identifikaci incidentu a posouzení jeho charakteru.
• Do 72 hodin následuje podrobné oznámení se závažností, dopadem a přijatými opatřeními.
• Závěrečná zpráva s kompletní analýzou příčin se podává do 30 dnů od oznámení.

Hlášení se provádí přes Portál NÚKIB, který na každé podání reaguje do 24 hodin – a to i o víkendech.

4. Zmírňování následků

Organizace musí přijmout opatření k minimalizaci dopadů incidentu, mimo jiné následující: 

• Izolaci zasažených systémů. 
• Obnovu ztracených dat ze záloh. 
• Opatření pro zabránění opakování incidentu.

5. Vyhodnocení a zlepšení

Po vyřešení incidentu je důležité provést vyhodnocení a zavést zlepšení: 

• Analýza příčin incidentu a efektivity reakce. 
• Aktualizace bezpečnostních politik a postupů. 
• Další školení zaměstnanců na základě získaných zkušeností.

 

Implementace směrnice NIS2 má významný finanční dopad na organizace, které spadají pod její působnost. Tyto náklady mohou zahrnovat investice do technologií, školení zaměstnanců, procesních změn a externích konzultací. Celkové jednorázové náklady na implementaci napříč všemi regulovanými subjekty v ČR se odhadují na desítky miliard korun, přičemž roční provozní náklady dosahují přibližně 9 miliard korun. Na úrovni jednotlivých firem se náklady výrazně liší – organizace v režimu nižších povinností počítají s vyššími statisíci až nízkými miliony korun, zatímco velké organizace v režimu vyšších povinností mohou investovat i desítky milionů. Pochopení a plánování těchto nákladů je zásadní pro úspěšné a efektivní zavedení požadavků zákona.

 

Na kolik implementace směrnice NIS2 vyjde?

Jednou z největších položek v rámci implementace NIS2 jsou investice do nových technologií a bezpečnostních opatření. Tyto investice zahrnují: 

• Nástroje pro detekci a prevenci hrozeb (IDS/IPS) – organizace musí nasadit pokročilé systémy pro monitorování síťového provozu a identifikaci potenciálních hrozeb. Týká se to hardwarových i softwarových komponentů. 
• Šifrování a zabezpečení dat – implementace šifrovacích technologií pro ochranu citlivých informací během přenosu i uložení. To může zahrnovat nákup licencí na šifrovací software a potřebný hardware. 
• Zálohovací systémy – investice do robustních zálohovacích řešení, která umožní obnovu dat v případě kybernetického útoku. To zahrnuje on-premise i cloudová řešení.

Náklady na školení zaměstnanců

Efektivní implementace NIS2 dále vyžaduje pravidelné a důkladné školení všech zaměstnanců: 

• Základní školení kybernetické bezpečnosti – zaměstnanci musí být seznámení se základními principy kybernetické bezpečnosti a konkrétními postupy podle směrnice NIS2.
• Pokročilá školení pro IT personál – specializovaná školení pro IT odborníky zaměřená na nové technologie a bezpečnostní opatření zaváděná podle NIS2.
• Simulace a cvičení – organizace by měly provádět pravidelné simulace kybernetických útoků a cvičení, aby zaměstnanci byli připravení efektivně reagovat na skutečné incidenty.

Procesní změny

Implementace NIS2 často vyžaduje změny v interních procesech a postupech organizace. Týká se to následujícího: 

• Revize a aktualizace bezpečnostních politik – vypracování nových nebo aktualizace stávajících politik a postupů kybernetické bezpečnosti. V zásadě jde o dokumentaci všech procesů a zajištění jejich souladu s požadavky směrnice NIS2. 
• Integrace nových technologií – přizpůsobení existujících systémů a procesů tak, aby byly schopné efektivně využívat nové technologie a bezpečnostní opatření. 
• Zajištění souladu s právními požadavky – právní konzultace a auditní služby, které zajistí, že všechny procesy a technologie jsou v souladu s novou legislativou.

Dlouhodobé náklady

Implementace směrnice NIS2 není jednorázovou investicí, vyžaduje dlouhodobě další náklady a aktualizace – nejvýznamnější položky tvoří: 

• Pravidelné bezpečnostní audity – organizace musí provádět pravidelné audity a hodnocení bezpečnostních opatření, aby zajistily jejich aktuálnost a efektivitu. 
• Aktualizace technologií – pravidelné upgrady a patchování bezpečnostních systémů a softwaru, aby byly chráněné před nově vznikajícími hrozbami. 
• Školení a vzdělávání – nepřetržité školení zaměstnanců, aby byli obeznámení s nejnovějšími bezpečnostními hrozbami a postupy.

Organizace, které již disponují certifikací ISO 27001, jsou ve výrazné výhodě – zákon je postaven na standardech rodiny ISO 27000 a pro tyto firmy nepřináší zásadně nové koncepty, což se pozitivně projeví i na nákladech implementace.

 

Na směrnici NIS2 a nový zákon o kybernetické bezpečnosti nejste sami!

V Algotechu rozumíme náročnosti plnění požadavků směrnice NIS2 a jsme tu, abychom vám se vším pomohli. Nabízíme komplexní zajištění NIS2 od auditu a identifikace rizik až po implementaci bezpečnostních opatření a školení zaměstnanců. S našimi zkušenostmi zajistíte nejen soulad s legislativou, ale především posílíte svou kybernetickou odolnost. Nečekejte, až udeří kybernetický útok – obraťte se na nás a získejte odborníky na svoji stranu. Na poradenství můžete čerpat dotace a ušetřit až 40 % výdajů.