NIS2: jaké povinnosti čekají vaši firmu
Kdo spadá pod regulaci, jaké povinnosti, do kdy a kde začít. Průvodce NIS2 a ZoKB pro střední a velké firmy, včetně sankcí a tříkrokového postupu.
Směrnice NIS2 (2022/2555) ↗ je do českého práva transponována zákonem o kybernetické bezpečnosti (ZoKB ↗) a od roku 2026 reálně dopadá na tisíce organizací napříč obory. Přesto si stále řada firem není jistá, zda mezi regulované patří, ani co konkrétně se po nich bude chtít.
Koho se NIS2 týká?
Regulace rozlišuje dva režimy podle velikosti a odvětví: vyšší (essential) a nižší (important). Vyšší režim cílí na sektory s největším společenským dopadem: energetika, zdravotnictví, doprava, finanční služby, veřejná správa, ICT služby a další. Nižší režim pokrývá širší okruh organizací včetně výrobních podniků, poštovních služeb, potravinářství, výzkumných pracovišť a dalších vybraných sektorů.
| Kritérium | Essential entity | Important entity |
|---|---|---|
| Sektory (výběr) | Energetika, doprava, banky, zdravotnictví, voda, ICT, veřejná správa | Výroba, pošta, potraviny, chemický průmysl, výzkum, digitální poskytovatelé |
| Velikost firmy | Velké podniky (≥ 250 zaměstnanců nebo obrat ≥ 50 mil. €) | Středně velké (≥ 50 zaměstnanců nebo obrat ≥ 10 mil. €) |
| Dohled | Proaktivní (audity ex ante, kontroly NÚKIB) | Reaktivní (zásah až po incidentu / podnětu) |
| Maximální sankce | 10 mil. € nebo 2 % ročního světového obratu | 7 mil. € nebo 1,4 % ročního světového obratu |
| Hlášení incidentů | NÚKIB do 24 h (early warning) + do 72 h (oficiální hlášení) | Stejné lhůty jako essential |
Pokud si nejste jistí, do jakého režimu spadáte, je to první otázka, na kterou gap analýza odpoví: vyhodnotí, zda jste vůbec regulováni a v jaké úrovni přísnosti.
Konkrétní příklad: středně velký výrobní podnik
Výrobní firma s 250 zaměstnanci a obratem 60 mil. € spadá do nižšího (important) režimu jako součást sektoru „Výroba“. V praxi to znamená povinnost mít politiky řízení rizik, hlásit incidenty NÚKIBu ve stejných lhůtách jako essential entity, vyškolit zaměstnance a auditovat dodavatelský řetězec. Dohled je reaktivní (NÚKIB zasáhne až po incidentu nebo na základě podnětu), ale strop pokuty je 7 mil. € nebo 1,4 % světového obratu, podle toho, co je vyšší. Pro tuto firmu se uplatní fixní strop 7 mil. € (cca 175 mil. Kč při kurzu kolem 25 Kč/€), protože 1,4 % obratu by činilo pouze 0,84 mil. €, tedy nižší hodnotu.
Srovnání dalších sektorů
Pro představu, jak NIS2 dopadá v jiných oblastech, srovnání tří dalších typických subjektů. U finančního sektoru hraje roli i DORA (Digital Operational Resilience Act), evropská regulace specifická pro finanční instituce, která se s NIS2 částečně překrývá a uplatňuje se vedle ní:
| Sektor a profil | Režim | Strop pokuty | Sektorová specifika |
|---|---|---|---|
| Krajská nemocnice (800 lůžek) | Essential | 10 mil. € / 2 % obratu | Proaktivní audity NÚKIB, povinný overlap s GDPR při úniku zdravotních dat |
| Středně velká banka (500 zaměstnanců) | Essential + DORA | Vyšší z NIS2 a DORA | Hlášení paralelně NÚKIB i ČNB, povinné resilience testing 1× ročně |
| Regionální distributor energie | Essential | 10 mil. € / 2 % obratu | Doplňující vyhláška NÚKIB pro kritickou infrastrukturu, BCM cvičené 2× ročně |
Sankce a praktické dopady
Nižší režim je méně přísný, ale vyžaduje stále základní opatření: politiky, řízení rizik, ošetření dodavatelského řetězce a školení zaměstnanců. Zanedbání těchto povinností přináší pokuty až do 10 mil. € nebo 2 % ročního obratu, podle toho, co je vyšší. Hlášení incidentů míří přímo na NÚKIB ↗.
- Zavedení procesů řízení rizik a bezpečnostních politik
- Hlášení incidentů NÚKIBu v zákonných lhůtách
- Pravidelná školení zaměstnanců i dodavatelů
- Audit bezpečnosti dodavatelského řetězce
- Plány kontinuity činnosti (BCP) a obnovy (DRP)
Podle čl. 20 NIS2 schvaluje a dohlíží na bezpečnostní opatření přímo statutární orgán firmy. Odpovědnost nelze delegovat, je trvale na vedení.
Kde začít?
Doporučujeme tříkrokový postup: zmapovat stav, naplnit governance vrstvu a doplnit pravidelně ověřovaná technická opatření. Každý krok je samostatně doručitelný v řádu týdnů a má vlastní výstup.
1. Zmapování stavu
Nejdříve zmapujte aktuální stav napříč organizační i technickou vrstvou. To je úkol pro gap analýzu, ze které vznikne prioritizovaná roadmapa: které mezery zacelit dřív a které mohou počkat. Bez ní se implementace fragmentuje a tým řeší to, co je vidět, místo toho, co je rizikové.
2. Governance vrstva
Druhý krok je naplnit governance roli buď interní kapacitou, nebo formou pronájmu bezpečnostních rolí (manažer KB, architekt KB, DPO). Komunikaci s NÚKIBem, dokumentaci, výbor KB a akční implementační plán pak řešíme přímo u zákazníka v rámci cyber security governance.
3. Technická opatření
Třetí krok jsou pravidelně ověřovaná technická opatření. Pro většinu firem znamená kombinaci skenování zranitelností a penetračních testů aplikací. Pokud provozujete Microsoft 365, doplňte Microsoft Entra healthcheck, který odhalí mezery v conditional access politikách. Detailní rozbor M365 baseline jsme rozepsali v samostatném článku.
