NIS2 sankce a pokuty: až 250 milionů Kč
Publikováno: 22. 1. 2026 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti zavádí sankční systém, který nemá v českém právu v oblasti IT srovnání. Pokuty mohou dosáhnout až 250 milionů korun nebo 2 % celosvětového ročního obratu — dle toho, která hodnota je vyšší. Navíc zákon zakotvuje osobní odpovědnost statutárních orgánů, čímž se situace stává přímo existenční hrozbou pro vrcholový management.
Tento článek shrnuje, kdo může být potrestán, za co, v jaké výši a jak probíhá vymáhání ze strany NÚKIB.
Výše pokut podle typu subjektu
NIS2 a zákon 264/2025 Sb. rozlišují dvě kategorie regulovaných subjektů s odlišnými sankcemi:
| Typ subjektu | Maximální pokuta | Alternativa (% obratu) |
|---|---|---|
| Zásadní subjekt (Essential Entity) | 250 000 000 Kč | 2 % celosvětového obratu |
| Důležitý subjekt (Important Entity) | 100 000 000 Kč | 1,7 % celosvětového obratu |
Uplatní se vždy ta vyšší z obou hodnot. Pro nadnárodní skupiny se tedy pracuje s obratem celé skupiny, nikoliv jen české dceřiné společnosti. Velký softwarový vendor s miliardovým obratem skupiny může čelit pokutě odpovídající stovkám milionů korun i za zdánlivě dílčí pochybení.
Osobní odpovědnost managementu
Toto je nejzásadnější novinkou oproti původní regulaci. Zákon 264/2025 Sb. zakotvuje přímou osobní odpovědnost statutárních orgánů (jednatelé, členové představenstva) za nedodržení povinností v oblasti kybernetické bezpečnosti.
V praxi to znamená, že NÚKIB může uložit sankci nejen organizaci jako takové, ale i fyzické osobě, která ji řídí. Fyzickým osobám hrozí pokuta až 5 000 000 Kč. Navíc je možné dočasné zákaz výkonu řídicích funkcí — de facto zákaz být jednatelem nebo členem představenstva.
Argumentace stylem „nevěděl jsem, tohle řeší IT" nebo „máme na to specialistu" nestačí. Zákon výslovně požaduje, aby vedení organizace kybernetická opatření schvalovalo, dohlíželo na ně a absolvovalo pravidelná školení. Pasivní přístup managementu je sám o sobě porušením zákona.
Za co konkrétně hrozí sankce?
Zákon vymezuje celou řadu skutkových podstat. Nejčastější a nejzávažnější porušení, za která lze očekávat sankce:
-
!
Neprovedení registrace u NÚKIB — i pouhý opomenutý administrativní krok může vést k sankci, protože NÚKIB pak nemá přehled o subjektu a nemůže plnit svou dohledovou funkci.
-
!
Nehlášení nebo pozdní hlášení incidentu — přestoupení 24hodinové lhůty pro brzké varování nebo 72hodinové lhůty pro hlášení incidentu.
-
!
Absence řízení rizik — chybějící nebo neaktualizovaná analýza rizik, neexistence bezpečnostních politik a procedur.
-
!
Nedostatečné zabezpečení dodavatelského řetězce — přístup třetích stran do kritických systémů bez odpovídajícího smluvního a technického ošetření.
-
!
Nezajištění kontinuity provozu — absence plánů obnovy, pravidelného testování záloh nebo testování scénářů selhání.
-
!
Nespolupráce při kontrole NÚKIB — odmítnutí přístupu auditora, neposkytnutí dokumentace nebo záměrné uvádění nepravdivých informací.
Jak probíhá vymáhání ze strany NÚKIB?
NÚKIB disponuje od října 2025 plnými dohledovými pravomocemi. Vymáhání může být zahájeno třemi způsoby:
Proaktivní audit
NÚKIB může iniciovat kontrolu na základě vlastního plánu dohledu. U zásadních subjektů probíhají audity pravidelně, u důležitých subjektů jsou spíše reaktivní.
Reakce na incident
Po nahlášení (nebo nezahlášení) závažného incidentu provede NÚKIB šetření, zda organizace splňovala povinnosti před incidentem i v průběhu jeho řešení.
Podnět třetí strany
Zákazník, partner nebo zaměstnanec může podat podnět. Konkurenční prostředí zvyšuje riziko, že nedodržování bude hlášeno.
Správní řízení zahájené NÚKIB standardně probíhá v několika fázích: oznámení o zahájení řízení, výzva k nápravě (v méně závažných případech), následně rozhodnutí o sankci s možností odvolání. V urgentních situacích ohrožení kritické infrastruktury může NÚKIB uložit i předběžné opatření — například dočasné omezení provozu systémů nebo povinnost bezodkladně implementovat konkrétní opatření.
Jak se před sankcemi bránit?
Nejúčinnější obranou je samozřejmě skutečná shoda se zákonem. Nicméně ani při nejlepší vůli nelze zaručit 100% shodu od prvního dne. Klíčové faktory, které NÚKIB při ukládání sankcí zohledňuje:
- ✓Prokazatelná snaha o shodu — existující dokumentace, zahájené projekty, jmenovaný manažer KB. NÚKIB hodnotí proces, nejen výsledek.
- ✓Proaktivní komunikace s NÚKIB — registrace, hlášení incidentů, transparentnost při kontrole. Spolupracující subjekty dostávají nižší sankce.
- ✓Rychlá náprava — pokud je pochybení identifikováno, rychlá implementace opravných opatření snižuje výši sankce.
- ✓Dokumentace bezpečnostních opatření — to, co není zdokumentováno, jako by neexistovalo. Záznamy o školeních, auditech, analýzách rizik jsou klíčové.
Nezapomeňte, že sankce se neomezují jen na pokutu. NÚKIB může také zveřejnit informaci o porušení zákona s uvedením jména organizace a povahy pochybení — reputační škoda může být v řadě sektorů fatálnější než samotná pokuta.
Srovnání s GDPR: co je horší?
Mnoho firem zná sankční logiku z GDPR (až 20 mil. EUR nebo 4 % obratu). NIS2 ve skutečnosti přináší nižší maximální procentuální sazby (2 % vs 4 %), ale klíčový rozdíl je v osobní odpovědnosti managementu — GDPR ji zakotvuje slaběji. Navíc NIS2 pokrývá operační kybernetickou bezpečnost jako celek, zatímco GDPR se soustředí na ochranu osobních údajů. Obě regulace se překrývají v oblasti incidentů s únikem dat — narušení bezpečnosti dat může vést k sankcím ze dvou zákonů najednou.
Zkontrolujte svůj stav shody zdarma
Než vás najde NÚKIB, najděte sami sebe. Náš bezplatný online audit odhalí nejzávažnější mezery a navrhne prioritní kroky k nápravě. Zabere 5 minut.
Spustit bezplatný audit