Spadám pod NIS2? Jak zjistit, zda se mě týká zákon 264/2025 Sb.
Publikováno: 4. 12. 2025 | Autor: Ing. Vít Vomáčko | NIS2OK.cz
„Spadám pod NIS2?" — to je nejčastější otázka, kterou dostáváme od firem a organizací od října 2025. Odpověď závisí na kombinaci dvou faktorů: v jakém sektoru podnikáte a jak velká vaše organizace je. Tento průvodce vás krok za krokem provede self-assessmentem.
Pozor: zodpovědnost za určení, zda organizace pod zákon spadá, leží na samotné organizaci — nikoliv na NÚKIB. Pokud si nejste jisti a zákon se na vás vztahuje, ale nezaregistrujete se, hrozí sankce za neregistraci.
Krok 1: Zkontrolujte velikost organizace
Zákon 264/2025 Sb. se obecně vztahuje na střední a velké podniky. Mikroorganizace a malé podniky jsou většinou vyloučeny — ale s důležitými výjimkami (viz dále).
| Kategorie podniku | Zaměstnanci | Roční obrat | Bilanční suma |
|---|---|---|---|
| Mikropodnik | < 10 | < 2 mil. EUR | < 2 mil. EUR |
| Malý podnik | 10 – 49 | 2 – 10 mil. EUR | 2 – 10 mil. EUR |
| Střední podnik | 50 – 249 | 10 – 50 mil. EUR | 10 – 43 mil. EUR |
| Velký podnik | 250 a více | > 50 mil. EUR | > 43 mil. EUR |
Pro klasifikaci velikosti se používají průměrné údaje za poslední dva účetní roky. Pokud organizace překračuje alespoň jeden z číselných ukazatelů, patří do dané kategorie. Střední a velké podniky v regulovaných sektorech mají povinnosti podle zákona 264/2025 Sb.
Velikost se posuzuje za celou ekonomickou skupinu — nelze se vyhnout regulaci uměle rozdělenou organizací na více menších subjektů.
Krok 2: Ověřte, zda podnikáte v regulovaném sektoru
Zákon rozlišuje vysoce kritické sektory (Annex I) a ostatní kritické sektory (Annex II). Subjekty z Annexu I jsou klasifikovány jako zásadní a podléhají přísnějšímu dohledu.
| Sektor | Annex | Příklady subjektů | Min. velikost |
|---|---|---|---|
| Energetika | I | Výroba, přenos a distribuce elektřiny, plynu, ropy, dálkové vytápění | Střední |
| Doprava | I | Letecká doprava, železnice, říční a námořní doprava, provozovatelé silniční infrastruktury | Střední |
| Bankovnictví a finance | I | Banky, správci infrastruktury finančních trhů, platební instituce | Střední |
| Zdravotnictví | I | Nemocnice, výroba léčiv a zdravotnických prostředků, laboratoře | Střední |
| Pitná voda | I | Distribuce pitné vody, čistírny odpadních vod | Střední |
| Digitální infrastruktura | I | ISP, DNS provideri, datová centra, cloud provideri, IXP, TLD registry | Bez výjimky |
| Veřejná správa | I | Ústřední orgány státní správy, krajské úřady | Bez výjimky |
| Kosmický průmysl | I | Pozemní infrastruktura pro kosmické programy | Střední |
| Poštovní a kurýrní | II | Provozovatelé poštovních a doručovacích služeb | Střední |
| Nakládání s odpady | II | Provozovatelé nakládání s odpadem | Střední |
| Výroba | II | Výroba zdravotnických prostředků, elektroniky, strojů, motorových vozidel, chemikálií | Střední |
| Potravinářství | II | Výroba, zpracování a distribuce potravin | Střední |
| Digitální poskytovatelé | II | Online tržiště, vyhledávače, platformy sociálních sítí | Střední |
| Výzkum | II | Výzkumné instituce (zejm. napojené na kritickou infrastrukturu) | Střední |
Výjimky, které mohou překvapit
Existují situace, kdy zákon platí i pro organizace nesplňující standardní velikostní kritéria:
- !Kritická infrastruktura — subjekty zařazené do Národního plánu ochrany kritické infrastruktury jsou regulovány bez ohledu na velikost.
- !Jediný nebo dominantní poskytovatel — pokud jste jediný poskytovatel klíčové služby v ČR nebo jejím regionu, zákon se vztahuje i na malou organizaci.
- !Digitální infrastruktura bez výjimky — ISP, DNS provideri, IXP a TLD registry nemají výjimku pro malé podniky.
- !Veřejná správa — orgány státní a krajské správy spadají pod zákon bez velikostní podmínky.
Krok 3: Výsledek — co z toho vyplývá?
Nespadám
Malý podnik mimo regulovaný sektor. Zákon 264/2025 Sb. na vás povinnosti přímo neklade — ale kybernetická bezpečnost se vyplatí i bez regulace.
Možná spadám
Nacházíte se na hranici (blízko 50 zaměstnanců nebo 10M EUR obratu, nebo nejste jisti sektorovou klasifikací). Nechejte si to ověřit odborníkem na NIS2Expert.cz.
Spadám
Střední nebo velký podnik v regulovaném sektoru. Musíte se registrovat u NÚKIB a splnit povinnosti zákona.
Krok 4: Registrace u NÚKIB
Pokud jste dospěli k závěru, že zákon 264/2025 Sb. se na vás vztahuje, prvním krokem je registrace u NÚKIB. Lhůta pro registraci existujících subjektů uplynula v lednu 2026 — pokud jste se ještě nezaregistrovali, učiňte tak co nejdříve.
Registrace probíhá elektronicky přes portál gov.nukib.cz s použitím datové schránky nebo kvalifikovaného elektronického podpisu. Při registraci uvádíte:
- •Identifikaci organizace (IČO, název, sídlo)
- •Kontaktní osobu zodpovědnou za kybernetickou bezpečnost
- •Popis poskytovaných služeb a jejich sektorovou klasifikaci
- •Informace o kritické infrastruktuře (pokud relevantní)
- •Kontakty pro hlášení incidentů (24/7 dostupnost)
Po registraci NÚKIB subjekt zařadí do registru regulovaných subjektů a přidělí mu příslušnou kategorii (zásadní nebo důležitý subjekt). Toto zařazení determinuje intenzitu dohledu a výši potenciálních sankcí.
Co dělat jako první po zjištění, že spadám pod NIS2?
Chronologicky doporučujeme tento postup:
Registrace u NÚKIB
Okamžitě, pokud ještě neproběhla. Tím splníte základní povinnost a dostanete se do komunikace s regulátorem.
Jmenování manažera kybernetické bezpečnosti
Interní nebo externista. Musí mít odpovídající kompetence a přímý přístup k vedení.
Gap analýza / audit shody
Zjistěte, jaké povinnosti zákon ukládá a kde máte mezery. Začněte naším bezplatným online auditem nebo využijte SecureOn.cz pro detailní B2B bezpečnostní audit.
Analýza rizik a bezpečnostní politiky
Základní dokumentace, bez které nelze prokázat shodu při kontrole NÚKIB.
Nastavení incident response procesu
Kdo, jak a v jakých lhůtách hlásí incidenty NÚKIB. Tato procedura musí fungovat 24/7 od prvního dne.
Zjistěte svůj stav za 5 minut
Náš bezplatný online audit na check.nis2ok.cz vám přesně odpoví:
- ✓ Zda spadáte pod zákon 264/2025 Sb.
- ✓ Zda jste zásadní nebo důležitý subjekt
- ✓ Jaké máte mezery v plnění povinností
- ✓ Jaké kroky prioritně provést
Bez registrace. Bez kreditní karty. Výsledky ihned.