NIS2 v praxi – 10 povinností rozhodujicich o pokutě až 250 milionů

NIS2 (Network and Information Security Directive 2) je evropská směrnice o kybernetické bezpečnosti, která výrazně rozšiřuje okruh regulovaných subjektů a zpřísňuje požadavky na ochranu kritické infrastruktury a důležitých služeb. V České republice se NIS2 implementuje prostřednictvím nového zákona o kybernetické bezpečnosti (ZoKB), který vstoupí v platnost 1. listopadu 2025. 

Pro české firmy to v praxi znamená jediné – pokud splňují velikostní kritéria (tj. 50+ zaměstnanců nebo obrat nad 10 milionů €) a působí v některém z 18 regulovaných odvětví, musí zavést komplexní systém kybernetické bezpečnosti.  

Nová legislativa se dotkne přibližně 6000 subjektů, které dosud nepodléhaly regulaci. Firmy budou mít 60 dní na registraci u NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost) a následně 12 měsíců na implementaci všech požadovaných opatření. Za nesplnění hrozí sankce až 250 milionů korun nebo 2 % celosvětového obratu. 

Tip: Přečtěte si více o NIS2 a novém ZoKB. 

 

10 kroků k souladu s NIS2 – váš kontrolní seznam 

Následující checklist obsahuje konkrétní kroky, které musí každá regulovaná firma splnit. Jednotlivé body později v článku podrobně rozvedeme včetně praktických tipů pro implementaci. 

1. Proveďte sebeidentifikaci a registrujte se u NÚKIB – určete, zda spadáte pod regulaci, v jakém režimu povinností budete a do 60 dnů od účinnosti zákona se zaregistrujte přes portál NÚKIB. 
2. Jmenujte odpovědnou osobu za kybernetickou bezpečnost – každá firma potřebuje minimálně jednu kontaktní osobu, větší subjekty musí obsadit role manažera, architekta a auditora kyberbezpečnosti. 
3. Zmapujte svá kritická aktiva a proveďte analýzu rizik – identifikujte, které systémy, data a procesy jsou klíčové pro poskytování vašich služeb. 
4. Vytvořte povinné bezpečnostní politiky a dokumentaci – připravte politiku řízení přístupů, pravidla pro používání IT, postupy pro práci s daty. 
5. Nastavte systém hlášení kybernetických incidentů – zavedete procesy pro detekci, evidenci a hlášení incidentů NÚKIB do 24 nebo 72 hodin podle režimu. 
6. Implementujte základní technická opatření – minimálně antivirovou ochranu, pravidelné zálohování, řízení přístupů a aktualizace systémů. 
7. Zajistěte pravidelné školení všech zaměstnanců – kybernetická hygiena a bezpečnostní povědomí musí mít každý pracovník, vrcholový management navíc povinné certifikované školení. 
8. Připravte plán kontinuity činností a disaster recovery – dokumentujte postupy pro zachování provozu při výpadku a obnovu systémů po incidentu. 
9. Prověřte bezpečnost svých klíčových dodavatelů – zmapujte dodavatelský řetězec a vyhodnoťte rizika třetích stran. 
10. Veďte průběžnou dokumentaci všech opatření – udržujte aktuální přehled implementovaných opatření, jejich účinnosti a plánovaných zlepšení. 

Tip: Mohlo by vás také zajímat, jak se firmy (ne-)připravují na NIS2 – poučte se z jejich chyb! 

 

 

Kroky 1–5 ke splnění požadavků NIS2 a ZoKB – od registrace po hlášení incidentů 

 

1. Sebeidentifikace a registrace u NÚKIB 

Prvním krokem je určení, zda vaše firma vůbec spadá pod NIS2. Regulace se týká středních a velkých podniků působících v 18 odvětvích – od energetiky a dopravy přes zdravotnictví až po online tržiště a potravinářství. NÚKIB nabízí online nástroj pro sebehodnocení, který bude dostupný ještě před účinností zákona. 

Po ověření, že spadáte pod regulaci, máte 60 dní od 1. listopadu 2025 na registraci prostřednictvím portálu NÚKIB. Registrace bude probíhat elektronicky a budete potřebovat základní údaje o firmě, IČO, kontaktní osobu a specifikaci poskytovaných regulovaných služeb. Pozor – za neregistrování hrozí pokuta až 250 milionů korun, protože se tím vyhýbáte všem dalším povinnostem. 

 

2. Jmenování odpovědných osob 

Každá regulovaná firma musí určit kontaktní osobu pro kybernetickou bezpečnost, která bude komunikovat s NÚKIB. Pro firmy v režimu nižších povinností (většina středních podniků) stačí jedna odpovědná osoba, kterou může být i stávající IT manažer nebo bezpečnostní specialista. 

Větší firmy v režimu vyšších povinností musí obsadit tři specializované role:  

• manažera kybernetické bezpečnosti (koordinuje implementaci opatření a komunikuje s NÚKIB),  
• architekta kybernetické bezpečnosti (koordinuje implementaci opatření a komunikuje s NÚKIB) 
• a auditora kybernetické bezpečnosti (provádí nezávislé kontroly a ověřuje účinnost opatření).  

Tyto pozice můžete řešit interně nebo outsourcingem – důležité je, aby osoby splňovaly kvalifikační požadavky a byly nezávislé. 

Tip: Vyzkoušejte naši službu manažera kybernetické bezpečnosti pro splnění požadavků NIS2. 

 

3. Zmapování aktiv a analýza rizik 

Než začnete s implementací bezpečnostních opatření, musíte vědět, co vlastně chráníte. Zmapujte všechny kritické informační systémy, databáze, aplikace a procesy, které jsou nezbytné pro poskytování vašich služeb. U každého aktiva určete jeho důležitost, zranitelnosti a potenciální dopady při výpadku nebo kompromitaci. 

Analýza rizik není jednorázová akce – musíte ji pravidelně aktualizovat při změnách v IT infrastruktuře nebo byznysu. NÚKIB poskytuje metodické pokyny včetně šablon pro různé velikosti organizací. Pro začátek stačí použít jednoduchou matici rizik s hodnocením pravděpodobnosti a dopadu. 

 

4. Bezpečnostní politiky a dokumentace 

NIS2 vyžaduje vytvoření základních bezpečnostních politik, které stanoví pravidla pro zaměstnance i IT procesy. Doporučujeme zavést následující: 

• politiku řízení přístupů (kdo má k čemu přístup), 
• pravidla pro používání firemních IT prostředků, 
• postupy pro nakládání s citlivými daty, 
• politiku hesel a autentizace  
• a pravidla pro práci na dálku. 

Dokumenty nemusí být složité – důležitá je srozumitelnost a praktická použitelnost. Vzorové šablony najdete na webu NÚKIB, případně můžete vyjít ze standardu ISO 27001. 

 

5. Systém hlášení incidentů 

Jednou z nejkritičtějších povinností je hlášení kybernetických incidentů. Firmy v režimu vyšších povinností musí hlásit přímo NÚKIB do 24 hodin, subjekty v nižším režimu přes Národní CERT do 72 hodin. Incident je jakákoliv událost s negativním dopadem na bezpečnost sítí a systémů – od malware přes výpadky až po úniky dat. 

Potřebujete jasný proces:  

• kdo incident detekuje,  
• kdo rozhoduje o hlášení,  
• kdo komunikuje s úřady.  

Připravte si formuláře a kontakty předem. Pamatujte, že za nenahlášení závažného incidentu hrozí vysoké sankce, na druhou stranu NÚKIB primárně pomáhá, ne trestá. 

 

Kroky 6–10 ke splnění požadavků NIS2 a ZoKB – technická a organizační opatření 

 

6. Implementace základních technických opatření 

NIS2 nevyžaduje špičkové technologie za miliony – začněte základními opatřeními, která výrazně zvýší vaši bezpečnost. Doporučujeme, abyste zavedli následující opatření: 

• Antivirovou ochranu na všech stanicích a serverech s pravidelnou aktualizací. 
• Pravidelné zálohování a možnost obnovy dat, např. podle pravidla 3-2-1 (tři kopie, dvě různá média, jedna mimo lokalitu); pro pokročilejší doporučujeme immutable zálohy proti ransomwaru a testování obnovy dat – tedy princip 3-2-1-1-0. 
• Řízení přístupových práv – každý zaměstnanec má přístup pouze k systémům, které skutečně potřebuje. 
• Patch management – pravidelné aktualizace operačních systémů a aplikací. 
• Základní monitoring – minimálně přehled o přihlášeních a podezřelých aktivitách. 

Pro větší firmy v přísnějším režimu jsou povinné pokročilejší nástroje jako SIEM (centrální sběr logů), EDR (ochrana koncových stanic) nebo vícefaktorová autentizace pro kritické systémy. 

 

7. Školení zaměstnanců o kybernetické bezpečnosti 

Lidský faktor zůstává nejslabším článkem – proto NIS2 klade důraz na pravidelné vzdělávání. Všichni zaměstnanci musí projít základním školením o kybernetické hygieně:  

• rozpoznávání phishingu,  
• bezpečná práce s hesly,  
• pravidla pro používání firemních zařízení. 

Vrcholový management má povinnost absolvovat certifikovaná školení, aby rozuměl kybernetickým rizikům a mohl činit kvalifikovaná rozhodnutí.  

 

8. Plán kontinuity činností a obnovy 

Co se stane, když vás zasáhne ransomware nebo vypadne kritický systém? NIS2 a potažmo nový ZoKB vyžaduje řízení kontinuity. Doporučujeme plán definující postupy pro udržení provozu při incidentu. Nemusí být složitý – stačí odpovědět na otázky: 

• Které procesy jsou kritické a musí běžet i při výpadku? 
• Jak dlouho vydržíme bez jednotlivých systémů? 
• Jaké jsou náhradní postupy (manuální procesy, záložní systémy)? 
• Kdo rozhoduje o aktivaci krizových postupů? 

Součástí je plán obnovy dat (Disaster Recovery), který stanovuje priority a postupy pro obnovení systémů po incidentu. Nezapomeňte plány pravidelně testovat – papírový plán při reálné krizi nepomůže. 

 

9. Prověření dodavatelského řetězce 

Kybernetičtí útočníci často necílí přímo na velké firmy, ale na jejich slabší dodavatele. Proto musíte zmapovat důležité dodavatele IT služeb a vyhodnotit jejich bezpečnostní úroveň. Zejména se zaměřte na: 

• poskytovatele cloudových služeb a datových center, 
• správce kritických aplikací a systémů, 
• dodavatele s přístupem k citlivým datům. 

Do smluv zahrňte bezpečnostní požadavky a právo na audit. NÚKIB může u strategicky významných služeb dokonce zakázat využívání rizikových dodavatelů. 

 

10. Průběžná dokumentace a přehled opatření 

Veškerá implementovaná opatření musíte dokumentovat a udržovat aktuální přehled jejich stavu. Pro režim nižších povinností stačí jednoduchý seznam opatření s popisem implementace a účinnosti. Větší firmy vedou komplexní dokumentaci včetně hodnocení rizik a plánů zlepšení. 

Dokumentace není zbytečná byrokracie – při kontrole NÚKIB nebo bezpečnostním incidentu oceníte, že máte vše pohromadě. Použijte jednoduchou tabulku nebo specializovaný nástroj pro řízení compliance. 

 

Režim vyšších povinností – kdo sem spadá a co musí plnit navíc 

NIS2 a potažmo nový zákon o kybernetické bezpečnosti rozlišuje dva režimy podle závažnosti poskytovaných služeb a velikosti subjektu. Do režimu vyšších povinností spadají velké podniky (nad 250 zaměstnanců nebo roční obrat nad 50 milionů EUR) z odvětví uvedených v Příloze I směrnice NIS2 – energetika, doprava, bankovnictví, zdravotnictví, vodní hospodářství, digitální infrastruktura, veřejná správa atd. Dále sem patří všichni poskytovatelé základních služeb a subjekty kritické infrastruktury bez ohledu na velikost. 

Povinné bezpečnostní role 

Zatímco firmám v nižším režimu stačí jedna odpovědná osoba, subjekty ve vyšším režimu musí podle zákona jmenovat tři specializované pozice, které jsme uvedli u kroku 2. 

Tyto role můžete obsadit interně i externě, musí však splňovat kvalifikační požadavky stanovené vyhláškou a zachovávat nezávislost (auditor nesmí kontrolovat vlastní práci). 

Přísnější lhůty a požadavky 

Subjekty ve vyšším režimu čelí přísnějším požadavkům v několika oblastech: 

• Hlášení incidentů přímo NÚKIB do 24 hodin od detekce (ne 72 hodin přes CERT). 
• Uchovávání logů po dobu 18 měsíců (oproti 12 měsícům v nižším režimu). 
• Povinnost provádět pravidelné audity kybernetické bezpečnosti. 
• Detailnější dokumentace včetně analýzy dopadů a plánů zvládání rizik. 

Vyšší sankce a odpovědnost 

S přísnějším režimem přicházejí i vyšší maximální sankce. Zatímco důležité subjekty (nižší režim) mohou dostat pokutu až 175 milionů korun nebo 1,4 % celosvětového obratu, základní subjekty ve vyšším režimu čelí pokutám až 250 milionů korun nebo 2 % obratu (podle toho, co je vyšší). 

Členové vrcholového vedení navíc nesou osobní odpovědnost – při závažném porušení povinností jim hrozí dočasný zákaz výkonu řídící funkce na minimálně 6 měsíců. 

 

Pozor, to stále není vše! 

Uvedený checklist představuje 10 nejkritičtějších kroků, které musí každá regulovaná firma prioritně řešit. Nový zákon o kybernetické bezpečnosti však obsahuje desítky dalších povinností, které postupně musíte implementovat během 12měsíční lhůty. 

Mezi další povinnosti patří například: 

• řízení zranitelností, kryptografie a šifrování,  
• fyzická bezpečnost prostor organizace,  
• detailní řízení změn,  
• reakce na varování NÚKIB, 
• informování zákazníků o incidentech 
• a další požadavky. 

Kompletní seznam závisí na vašem konkrétním režimu povinností a typu poskytovaných služeb. 

Pro úplný přehled všech požadavků využijte prováděcí vyhlášky NÚKIB, které detailně specifikují bezpečnostní opatření pro oba režimy. Náš checklist vám pomůže začít a vyřešit nejurgentnější kroky – pro kompletní soulad s NIS2 však doporučujeme provést detailní gap analýzu nebo využít externí expertní pomoc. 

 

Začněte s přípravou na NIS2 ještě dnes 

Čas rychle běží – od listopadu 2025 máte pouhé dva měsíce na registraci a rok na implementaci všech opatření NIS2. V Algotechu máme bohaté zkušenosti s kybernetickou bezpečností a pomůžeme vám s celým procesem. Nabízíme služby manažera kybernetické bezpečnosti, bezpečnostní audity i kompletní řešení pro soulad s NIS2 v komerčním i veřejném sektoru. Kontaktujte nás pro nezávaznou konzultaci a zajistěte včasnou přípravu na novou legislativu.