Co je NIS2 a zákon 264/2025 Sb.?
Publikováno: 16. 10. 2025 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
NIS2 — Network and Information Security Directive 2 — je evropská směrnice (EU 2022/2555), která zásadně rozšiřuje povinnosti v oblasti kybernetické bezpečnosti pro tisíce organizací v celé Evropské unii. V České republice byla implementována zákonem č. 264/2025 Sb. o kybernetické bezpečnosti, který nabyl účinnosti 17. října 2025.
Pokud vaše firma podniká v klíčovém sektoru a dosahuje středního nebo většího rozměru, zákon 264/2025 Sb. se vás s vysokou pravděpodobností týká. Ignorování povinností může vést k pokutám až 250 milionů korun nebo 2 % z celosvětového obratu — a k osobní odpovědnosti managementu.
Od NIS1 k NIS2: co se změnilo?
Původní směrnice NIS (EU 2016/1148) z roku 2016 se vztahovala jen na úzký okruh tzv. provozovatelů základních služeb — energetiku, dopravu, finance, zdravotnictví a digitální infrastrukturu — a to pouze na velké hráče. Praxe ukázala, že kybernetické hrozby respektují mnohem méně hranic a sektor středních podniků zůstával zcela bez regulace.
NIS2 tuto situaci zásadně mění. Počet regulovaných subjektů v ČR vzrostl zhruba z 300 na odhadovaných 6 000 až 9 000 organizací. Rozšíření se týká jak počtu sektorů (přibylo potravinářství, odpadové hospodářství, výroba kritických produktů nebo kosmický průmysl), tak velikostního prahu — nově jsou zahrnuti střední podniky s 50 nebo více zaměstnanci.
Zásadní novinkou je také přímá odpovědnost statutárních orgánů: vedení firmy nemůže delegovat kybernetickou bezpečnost „na IT" a zbavit se tak odpovědnosti. Management musí kybernetická opatření schvalovat, dohlížet na ně a pravidelně se vzdělávat.
Zákon 264/2025 Sb. — česká implementace NIS2
Zákon o kybernetické bezpečnosti č. 264/2025 Sb. nahradil původní zákon č. 181/2014 Sb. a transponoval NIS2 do českého právního řádu. Zákon definuje dva typy regulovaných subjektů:
- ✓Zásadní subjekty (Essential Entities) — větší organizace ve vysoce kritických sektorech (energetika, doprava, zdravotnictví, digitální infrastruktura, bankovnictví). Na ně se vztahuje přísnější dohled a vyšší sankce.
- ✓Důležité subjekty (Important Entities) — střední podniky v dalších regulovaných sektorech nebo menší subjekty ve vysoce kritických sektorech. Dohled je reaktivnější, sankce nižší, ale povinnosti téměř totožné.
Dohled nad dodržováním zákona vykonává NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), který je oprávněn provádět audity, vydávat závazné pokyny a ukládat sankce.
Koho se zákon 264/2025 Sb. týká?
Základní kritérium je kombinace sektoru podnikání a velikosti organizace. Zákon se vztahuje na subjekty splňující obě podmínky současně.
Velikostní kritéria
| Kategorie | Zaměstnanci | Obrat nebo bilanční suma |
|---|---|---|
| Střední podnik | 50 – 249 | 10 – 50 mil. EUR |
| Velký podnik | 250 a více | nad 50 mil. EUR |
Výjimku tvoří tzv. kritická infrastruktura — u ní nezáleží na velikosti. Pokud provozujete páteřní internetovou infrastrukturu, kritický registr domén nebo obdobnou službu, NIS2 se vás týká bez ohledu na počet zaměstnanců.
Regulované sektory
NIS2 rozlišuje vysoce kritické sektory (Annex I) a ostatní kritické sektory (Annex II):
Vysoce kritické (Annex I)
- • Energetika (elektřina, plyn, ropa, dálkové vytápění)
- • Doprava (letecká, železniční, vodní, silniční)
- • Bankovnictví a finanční infrastruktura
- • Zdravotnictví a výroba léčiv
- • Pitná voda a odpadní vody
- • Digitální infrastruktura (ISP, DNS, datová centra)
- • Veřejná správa
- • Kosmický průmysl
Ostatní kritické (Annex II)
- • Poštovní a kurýrní služby
- • Nakládání s odpady
- • Výroba (chemie, potraviny, zdravotnické prostředky, elektronika, strojírenství)
- • Digitální poskytovatelé (e-commerce, vyhledávače, sociální sítě)
- • Výzkum
- • Potravinářství
Co musí regulované organizace splnit?
Zákon 264/2025 Sb. nestanovuje konkrétní technická řešení, ale vyžaduje systémový přístup k řízení kybernetické bezpečnosti odpovídající míře rizika. V praxi to znamená:
1. Jmenování manažera kybernetické bezpečnosti
Každý regulovaný subjekt musí jmenovat odpovědnou osobu — manažera kybernetické bezpečnosti (KB). Tato osoba nemusí být interní zaměstnanec, roli lze zajistit i externě formou outsourcingu. Manažer KB musí mít odpovídající odbornou způsobilost a přímý přístup k vedení organizace. Pokud nemáte interního kandidáta, řešením je například nis2manager.cz — platforma pro outsourcing role manažera KB.
2. Řízení rizik a bezpečnostní politiky
Organizace musí provést formální analýzu rizik pro své informační a komunikační systémy, dokumentovat ji a pravidelně aktualizovat. Na základě analýzy je nutné zavést a udržovat bezpečnostní politiky pokrývající:
- •Řízení přístupu a autentizaci (MFA, správa privilegovaných účtů)
- •Zálohování a obnovu po havárii (BCM/DRP)
- •Zabezpečení dodavatelského řetězce a třetích stran
- •Šifrování a ochranu dat
- •Fyzickou bezpečnost
- •Správu zranitelností a patchů
3. Hlášení bezpečnostních incidentů
Zákon zavádí přísné lhůty pro hlášení kybernetických incidentů. Do 24 hodin od zjištění závažného incidentu je nutné zaslat NÚKIB tzv. brzké varování. Do 72 hodin následuje podrobné hlášení incidentu s dostupnými informacemi o dopadu a příčinách. Závěrečná zpráva se předkládá do jednoho měsíce.
4. Registrace u NÚKIB
Regulované subjekty se musí zaregistrovat u NÚKIB prostřednictvím portálu gov.nukib.cz. Registrace zahrnuje identifikaci subjektu, kontaktní osoby a popis poskytovaných služeb. Lhůta pro registraci byla stanovena do tří měsíců od nabytí účinnosti zákona, případně od okamžiku, kdy subjekt začne splňovat kritéria.
5. Školení a zvyšování povědomí
Zákon explicitně požaduje pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti a zajištění odborného vzdělávání managementu. Vedení organizace musí aktivně dohlížet na stav kybernetické bezpečnosti — nestačí „vědět, že IT to řeší".
Timeline: klíčové termíny
16. 1. 2023
Vstup směrnice NIS2 v platnost na úrovni EU
17. 10. 2024
Deadline EU pro transpozici NIS2 do národního práva (ČR tento termín nestihla)
17. 10. 2025
Zákon 264/2025 Sb. nabyl účinnosti v ČR
Leden 2026
Konec lhůty pro registraci existujících subjektů u NÚKIB
Od 2026
NÚKIB zahajuje aktivní dohled, kontroly a sankční řízení
Jak začít s přípravou?
Nejčastější otázka, kterou dostáváme, je: „Kde začít?" Odpověď je jednoduchá — nejdřív zjistěte, zda se zákon vůbec vztahuje na vaši organizaci, a pokud ano, zjistěte aktuální stav shody (gap analýza).
Příprava na NIS2 není jednorázová akce, ale kontinuální proces. Typická cesta regulovaného subjektu vypadá takto: registrace → gap analýza → jmenování manažera KB → analýza rizik → implementace opatření → interní audit → průběžné školení a monitorování.
Celý proces může trvat od 3 do 18 měsíců v závislosti na velikosti organizace a výchozím stavu zabezpečení. Čím dříve začnete, tím lépe — aktivní spolupráce s NÚKIB je hodnocena pozitivně i v případě, že organizace ještě nedosáhla plné shody.
Zjistěte, zda se vás NIS2 týká
Náš bezplatný online audit vám během 5 minut odpoví, zda spadáte pod zákon 264/2025 Sb. a co musíte splnit. Bez registrace, ihned.
Spustit bezplatný audit