NIS2 pro malé firmy: musím splnit zákon 264/2025 Sb.?
Publikováno: 9. 4. 2026 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti (česká implementace směrnice NIS2) se týká tisíců organizací — ale ne všech. Pokud provozujete malou nebo střední firmu, pravděpodobně se vás zajímá jedna otázka: jsem povinen splnit NIS2, nebo jsem jako malá firma z povinností vyjmut?
Krátká odpověď: záleží na sektoru a velikosti. Ale pozor — existují výjimky, které i malé firmy do regulace zatahují.
Základní pravidlo: střední podnik jako minimum
Zákon 264/2025 Sb. vychází ze směrnice NIS2 a definuje dvě kategorie regulovaných subjektů — základní a důležité. Pro obě platí stejná velikostní kritéria:
Velikostní kritéria dle zákona
| Kategorie | Zaměstnanci | Obrat nebo bilanční suma |
|---|---|---|
| Mikropodnik | < 10 | ≤ 2 mil. EUR — zpravidla vyjmut |
| Malý podnik | 10–49 | ≤ 10 mil. EUR — zpravidla vyjmut |
| Střední podnik | 50–249 | ≤ 50 mil. EUR — regulován |
| Velký podnik | 250+ | > 50 mil. EUR — regulován |
Pozn.: Při posuzování se používá kombinace kritérií zaměstnanců a finančních prahů. Stačí překročit jedno.
Pokud jste malý nebo mikropodnik v běžném odvětví, zákon 264/2025 Sb. se vás pravděpodobně netýká. Ale slovo „pravděpodobně" je tady klíčové — existují důležité výjimky.
Kdy zákon malou firmu zasáhne i přesto
Zákon 264/2025 Sb. (a před ním vyhláška NÚKIB) stanovuje, že malé a mikropodniky mohou být regulovány, pokud:
⚠️ Kritická infrastruktura bez ohledu na velikost
Pokud vaše organizace provozuje kritickou infrastrukturu (definovanou zákonem č. 181/2014 Sb.), platí pro ni povinnosti NIS2 bez ohledu na počet zaměstnanců. Typicky jde o energetiku, vodárenství, zdravotnictví nebo kritické digitální služby.
⚠️ Poskytovatelé digitálních služeb
Registrátoři domén, DNS resolvery, CDN sítě, cloudové služby, datová centra a platformy elektronického obchodování mohou být regulovány i při menší velikosti, pokud překračují specifické prahové hodnoty zákazníků nebo transakcí.
⚠️ Subdodavatelé regulovaných subjektů
Zákon ukládá regulovaným subjektům, aby řídily kybernetická rizika svých dodavatelů (supply chain security). To znamená, že malá IT firma nebo poskytovatel cloudových služeb může dostat smluvní požadavky na NIS2 shodu od svého zákazníka, i když zákon přímo nereguluje ji.
⚡ Dobrovolná registrace
Subjekty, které nespadají pod zákon, se mohou dobrovolně registrovat u NÚKIB a získat tak přístup k informacím o hrozbách a certifikaci. Pro IT firmy prodávající do veřejného sektoru to může být konkurenční výhoda.
Jak správně určit, zda jsem regulovaný subjekt
NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) zveřejnil seznam sektorů, na které zákon dopadá. Postup pro malé firmy:
- 1 Zjistěte svůj NACE kód — odpovídá váš hlavní obor podnikání regulovanému sektoru? Klíčové sektory jsou energie, doprava, zdravotnictví, bankovnictví, digitální infrastruktura, vodárenství nebo veřejná správa.
- 2 Posuďte velikostní kritéria — máte alespoň 50 zaměstnanců nebo obrat nad 10 milionů EUR? Pokud ne a nejste v kritické infrastruktuře, pravděpodobně NIS2 nespadáte.
- 3 Zkontrolujte dodavatelské vztahy — dodáváte IT služby nebo software pro regulovaný subjekt? Pokud ano, ověřte smluvní požadavky.
- 4 Použijte online audit — na check.nis2ok.cz provedete bezplatnou orientační analýzu za 10 minut.
Co dělat, pokud NIS2 nespadám
Pokud jste malá firma mimo regulované sektory, zákon 264/2025 Sb. pro vás nenese přímé povinnosti. Přesto doporučujeme:
- →Sledovat vývoj legislativy — zákon se může rozšiřovat
- →Ošetřit smluvní požadavky od větších zákazníků
- →Implementovat základní bezpečnostní opatření (MFA, zálohy, aktualizace) jako minimum dobré praxe
- →Zvážit dobrovolnou certifikaci, pokud cílíte na veřejný sektor nebo velké korporace
Co dělat, pokud NIS2 spadám (jako malá firma)
Pokud jste malá firma v regulovaném sektoru nebo provozujete kritickou infrastrukturu, máte stejné povinnosti jako velké podniky — s tím rozdílem, že na to máte méně zdrojů. V takovém případě je nejefektivnější cesta externí manažer kybernetické bezpečnosti, který řeší vše na klíč bez nutnosti budovat interní tým.
Certifikovaný manažer KB připraví GAP analýzu, dokumentaci, technická opatření a pomůže s registrací u NÚKIB. Celý proces implementace NIS2 pro malou firmu v regulovaném sektoru trvá zpravidla 2–4 měsíce.
Související články
Zjistěte za 10 minut, zda NIS2 spadáte
Bezplatný online audit bez registrace — konkrétní výsledek pro vaši firmu.
Spustit audit zdarma →