NIS2 lhůty a termíny 2026:
co musíte stihnout
Publikováno: 9. 4. 2026 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti nabyl účinnosti 17. října 2025, ale implementační lhůty umožňují postupné plnění povinností. Ne všechno musíte splnit najednou — záleží na tom, kdy jste se dozvěděli o svém statusu regulovaného subjektu a o jaký typ povinnosti jde.
Přinášíme přehled klíčových termínů, abyste věděli, co a do kdy reálně potřebujete mít hotovo.
Přehled klíčových termínů
17. října 2025 — PROBĚHLO
Zákon nabývá účinnosti
Zákon č. 264/2025 Sb. je platný. Od tohoto dne běží všechny implementační lhůty. Pokud jste regulovaný subjekt, máte povinnost zahájit plnění.
Do 17. ledna 2026 — PROBĚHLO (pro subjekty znající svůj status)
Registrace u NÚKIB
Subjekty, které věděly o svém statusu již k datu účinnosti, měly 3 měsíce na registraci prostřednictvím portálu NÚKIB. Pokud jste dosud neregistrovaní, kontaktujte NÚKIB co nejdříve — pozdní registrace je přestupek.
Do 17. července 2026 — BLÍŽÍ SE
Jmenování manažera kybernetické bezpečnosti
Zákon ukládá povinnost jmenovat osobu odpovědnou za kybernetickou bezpečnost (manažer KB). Tato osoba musí splňovat kvalifikační požadavky dle vyhlášky 409/2025 Sb. nebo využít externího manažera KB s certifikací. Lhůta: 9 měsíců od nabytí účinnosti.
Do 17. října 2026
Implementace základních bezpečnostních opatření
Do 12 měsíců od účinnosti musí být zavedena všechna povinná technická a organizační bezpečnostní opatření dle § 15–17 zákona. Zahrnuje řízení rizik, politiku bezpečnosti, zálohy, kryptografii, přístupová práva, patch management a školení zaměstnanců.
Do 17. října 2026
Plán zvládání incidentů a BCM
Business Continuity Management (BCM), Disaster Recovery Plan (DRP) a formalizovaný plán reakce na incidenty musí být dokumentovány, otestovány a zavedeny.
Průběžně — od nabytí účinnosti
Hlášení kybernetických incidentů
Povinnost hlásit závažné incidenty NÚKIB platí okamžitě od 17. října 2025. Lhůta: early warning do 24 hodin od zjištění, formální hlášení do 72 hodin, závěrečná zpráva do 1 měsíce.
Do 17. října 2027 (základní subjekty)
Audit a certifikace bezpečnosti
Základní subjekty musí do 24 měsíců projít auditem shody a průběžně ho opakovat. Důležité subjekty jsou auditovány na vyžádání ze strany NÚKIB.
Pozor: lhůty se liší podle toho, kdy jste zjistili svůj status
Zákon pamatuje na situace, kdy subjekt zjistí svůj regulovaný status až po nabytí účinnosti — například proto, že rozšířil podnikání do regulovaného sektoru nebo překročil velikostní prahy. V takovém případě začínají individuální lhůty běžet ode dne, kdy subjekt nabyl jistotu o svém statusu, resp. od notifikace ze strany NÚKIB.
Nejčastější chyby při plnění NIS2 termínů
- ✗ Čekání na NÚKIB, že „mě osloví" — zákon neukládá NÚKIB aktivně vyhledávat subjekty. Povinnost registrace je na vás.
- ✗ Zaměňování lhůt pro různé povinnosti — hlášení incidentů platí okamžitě, implementace opatření má lhůtu 12 měsíců.
- ✗ Podceňování manažera KB — jmenování formální osoby bez reálné kvalifikace nestačí. NÚKIB bude ověřovat způsobilost.
- ✗ Opomíjení dodavatelského řetězce — bezpečnostní požadavky musíte uložit i svým klíčovým dodavatelům IT služeb.
Jak nestihnout termíny? Realistický plán
Celá implementace NIS2 pro středně velkou firmu trvá reálně 3–6 měsíců při dostatečném nasazení. Pokud začínáte dnes, máte stále čas splnit říjnový termín. Klíčová je správná prioritizace:
- 1.GAP analýza — kde jsme vs. kde musíme být (2–4 týdny)
- 2.Jmenování nebo obstarání manažera KB (okamžitě)
- 3.Registrace u NÚKIB (do 30 dní)
- 4.Implementace technických opatření dle priorit z GAP analýzy
- 5.Dokumentace, školení, nastavení hlášení incidentů
Potřebujete pomoc s implementací? Certifikovaný manažer kybernetické bezpečnosti převezme koordinaci celého procesu a zajistí dodržení všech termínů.