Nová legislativa kybernetické bezpečnosti NIS2 v ČR: koho se týká a co je potřeba vědět

Od listopadu 2025 začne v České republice platit nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), který do českého práva převádí evropskou směrnici NIS2. Ta zásadně mění pravidla pro zajištění kybernetické bezpečnosti a dotkne se stovek tisíc organizací napříč celou EU – a tisíců subjektů u nás.

Proč je NIS2 důležitá

Směrnice NIS2 navazuje na původní NIS1 z roku 2016, ale její záběr je mnohem širší. Cílem je zvýšit odolnost EU proti kybernetickým útokům, zajistit lepší ochranu kritické infrastruktury a posílit odpovědnost vedení firem i veřejných institucí.

Koho se NIS2 týká v ČR

Nový zákon stanoví, že do režimu kybernetické bezpečnosti spadají tzv. esenciální a důležité subjekty. Kritériem je především velikost (střední a velké organizace) a obor činnosti.

Konkrétně půjde například o:

• energetiku, dopravu, zdravotnictví, finance, digitální infrastrukturu, poštovní a kurýrní služby, výrobu kritických produktů, vodohospodářství, odpadové hospodářství, vesmírný sektor,
• poskytovatele digitálních služeb (např. cloud, sociální sítě, online tržiště),
• orgány veřejné správy – tedy ministerstva, centrální úřady, kraje a obce s rozšířenou působností (ORP).

To znamená, že i menší města, která mají rozšířenou působnost, budou muset splnit povinnosti vyplývající z nové legislativy.

Povinnosti, které přináší NIS2

Subjekty zařazené do působnosti zákona budou muset:

• zavést systém řízení kybernetických rizik,
• chránit dodavatelský řetězec,
• zajistit pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti,
• mít připravené postupy pro detekci, řešení a hlášení incidentů,
• hlásit významné kybernetické incidenty NÚKIBu,
• počítat s odpovědností managementu a možnými sankcemi za nedodržení povinností.

Přes portál NÚKIB si lze ověřit, zda vámi poskytovaná služba bude regulovaná a do jakého režimu budete pravděpodobně spadat. Kalkulačku najdete zde: https://portal.nukib.gov.cz/kalkulacka

Subjekty, kterých se regulace týká, budou muset projít procesem identifikace a registrace u NÚKIBu. Následně budou mít čas na zavedení konkrétních opatření.

Co to znamená v praxi

• Pro firmy i instituce to představuje nejen legislativní povinnost, ale i příležitost zvýšit svou odolnost vůči rostoucím kybernetickým hrozbám.
• Obce s rozšířenou působností by měly začít už nyní plánovat posílení IT oddělení, školení pracovníků a nastavení krizových scénářů.
• Menší obce, které do režimu nespadají přímo, se s NIS2 často setkají nepřímo – například přes své dodavatele nebo partnerské organizace.

Shrnutí

NIS2 je zásadní posun v oblasti kybernetické bezpečnosti. V Česku se dotkne nejen velkých firem a kritické infrastruktury, ale i krajů a obcí s rozšířenou působností. Od listopadu 2025 bude nutné mít zavedené procesy, které ochrání data, služby i občany před kybernetickými hrozbami. Kdo začne s přípravami včas, vyhne se sankcím a zároveň zvýší důvěryhodnost své organizace.

Luděk Peter

Obchodní ředitel

V oblasti pojištění pracuje od roku 1996. Začínal jako rizikový inženýr chemicko-technologické firmy. Poté zahájil kariéru ve společnosti MARSH a postupně se vypracoval až na obchodního ředitele pro ČR. Od roku 2016 působí ve společnosti Eurovalley, kde má na starosti obchodní strategii a rozvoj.