NIS2 lhůty a termíny 2026:
co musíte stihnout
Publikováno: 9. 4. 2026 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti nabyl účinnosti 17. října 2025, ale implementační lhůty umožňují postupné plnění povinností. Ne všechno musíte splnit najednou - záleží na tom, kdy jste se dozvěděli o svém statusu regulovaného subjektu a o jaký typ povinnosti jde.
Přinášíme přehled klíčových termínů, abyste věděli, co a do kdy reálně potřebujete mít hotovo.
Přehled klíčových termínů
17. října 2025 - PROBĚHLO
Zákon nabývá účinnosti
Zákon č. 264/2025 Sb. je platný. Od tohoto dne běží všechny implementační lhůty. Pokud jste regulovaný subjekt, máte povinnost zahájit plnění.
Do 17. ledna 2026 - PROBĚHLO (pro subjekty znající svůj status)
Registrace u NÚKIB
Subjekty, které věděly o svém statusu již k datu účinnosti, měly 3 měsíce na registraci prostřednictvím portálu NÚKIB. Pokud jste dosud neregistrovaní, kontaktujte NÚKIB co nejdříve - pozdní registrace je přestupek.
Do 17. července 2026 - BLÍŽÍ SE
Jmenování manažera kybernetické bezpečnosti
Zákon ukládá povinnost jmenovat osobu odpovědnou za kybernetickou bezpečnost (manažer KB). Tato osoba musí splňovat kvalifikační požadavky dle vyhlášky 409/2025 Sb. nebo využít externího manažera KB s certifikací. Lhůta: 9 měsíců od nabytí účinnosti.
Do 17. října 2026
Implementace základních bezpečnostních opatření
Do 12 měsíců od účinnosti musí být zavedena všechna povinná technická a organizační bezpečnostní opatření dle § 15-17 zákona. Zahrnuje řízení rizik, politiku bezpečnosti, zálohy, kryptografii, přístupová práva, patch management a školení zaměstnanců.
Do 17. října 2026
Plán zvládání incidentů a BCM
Business Continuity Management (BCM), Disaster Recovery Plan (DRP) a formalizovaný plán reakce na incidenty musí být dokumentovány, otestovány a zavedeny.
Průběžně - od nabytí účinnosti
Hlášení kybernetických incidentů
Povinnost hlásit závažné incidenty NÚKIB platí okamžitě od 17. října 2025. Lhůta: early warning do 24 hodin od zjištění, formální hlášení do 72 hodin, závěrečná zpráva do 1 měsíce.
Do 17. října 2027 (základní subjekty)
Audit a certifikace bezpečnosti
Základní subjekty musí do 24 měsíců projít auditem shody a průběžně ho opakovat. Důležité subjekty jsou auditovány na vyžádání ze strany NÚKIB.
Pozor: lhůty se liší podle toho, kdy jste zjistili svůj status
Zákon pamatuje na situace, kdy subjekt zjistí svůj regulovaný status až po nabytí účinnosti - například proto, že rozšířil podnikání do regulovaného sektoru nebo překročil velikostní prahy. V takovém případě začínají individuální lhůty běžet ode dne, kdy subjekt nabyl jistotu o svém statusu, resp. od notifikace ze strany NÚKIB.
Nejčastější chyby při plnění NIS2 termínů
- ✗ Čekání na NÚKIB, že „mě osloví" - zákon neukládá NÚKIB aktivně vyhledávat subjekty. Povinnost registrace je na vás.
- ✗ Zaměňování lhůt pro různé povinnosti - hlášení incidentů platí okamžitě, implementace opatření má lhůtu 12 měsíců.
- ✗ Podceňování manažera KB - jmenování formální osoby bez reálné kvalifikace nestačí. NÚKIB bude ověřovat způsobilost.
- ✗ Opomíjení dodavatelského řetězce - bezpečnostní požadavky musíte uložit i svým klíčovým dodavatelům IT služeb.
Jak nestihnout termíny? Realistický plán
Celá implementace NIS2 pro středně velkou firmu trvá reálně 3-6 měsíců při dostatečném nasazení. Pokud začínáte dnes, máte stále čas splnit říjnový termín. Klíčová je správná prioritizace:
- 1.GAP analýza - kde jsme vs. kde musíme být (2-4 týdny)
- 2.Jmenování nebo obstarání manažera KB (okamžitě)
- 3.Registrace u NÚKIB (do 30 dní)
- 4.Implementace technických opatření dle priorit z GAP analýzy
- 5.Dokumentace, školení, nastavení hlášení incidentů
Potřebujete pomoc s implementací? Certifikovaný manažer kybernetické bezpečnosti převezme koordinaci celého procesu a zajistí dodržení všech termínů.