Skip to Content

posílení kybernetické bezpečnosti v celé EU.

NIS2 a Česká republika: co přinese od listopadu 2025 a jak zjistit, zda se povinnost týká vás

1. Co je NIS2

NIS2 (Network and Information Systems Directive 2) je evropská směrnice aktualizující původní předpis z roku 2016. Jejím cílem je posílit kybernetickou bezpečnost v celé EU. Na rozdíl od původní směrnice se rozšiřuje počet subjektů, na které se povinnosti vztahují, a zavádí přísnější pravidla pro ochranu kritických systémů, sítí a informací.

2. Klíčové datum: 1. listopadu 2025

Český zákon o kybernetické bezpečnosti, který implementuje směrnici NIS2, byl vyhlášen ve Sbírce zákonů 4. srpna 2025. Nabývá účinnosti 1. listopadu 2025. Od tohoto dne začínají platit povinnosti a lhůty pro registraci, jmenování kontaktních osob a implementaci opatření.

3. Povinnosti a termíny

Po nabytí účinnosti zákona se musí organizace připravit na následující kroky:

  • Do 60 dnů: registrace u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
  • Do dalších 30 dnů: oznámení kontaktní osoby pro kybernetickou bezpečnost.
  • Do jednoho roku: implementace všech zákonných bezpečnostních opatření.

Čím dříve organizace začnou s přípravou, tím snadněji zajistí soulad s právními předpisy.

4. Subjekty, na které se NIS2 vztahuje

Nová směrnice rozšiřuje počet povinných subjektů v ČR na odhadem 6 000 až 10 000 organizací. Povinnosti se týkají organizací, které:

  • poskytují služby zahrnuté v přílohách směrnice (např. energie, zdravotnictví, doprava, IT služby, e‑commerce, telekomunikace),
  • splňují alespoň jednu z velikostních podmínek:
    • zaměstnávají 50 a více zaměstnanců, nebo
    • mají roční obrat či bilanční sumu vyšší než 10 milionů EUR.

Dále se povinnosti vztahují na dodavatele kritických systémů a některé provozovatele služeb, kde není velikost organizace limitující.

5. Jak zjistit, zda se povinnost týká vaší organizace

  • NÚKIB poskytuje orientační nástroje a kalkulačky, které umožňují ověřit, zda na organizaci povinnost NIS2 dopadá. Tyto nástroje slouží k prvotnímu zjištění, nejsou právně závazné, ale pomáhají plánovat kroky.
  • Další možností jsou specializované online kalkulačky a průvodci, například od poradenských společností, které pomáhají určit, zda organizace spadá pod “vyšší” nebo “nižší” režim povinností.

Kalkulačka NÚKIB: https://portal.nukib.gov.cz/kalkulacka

Kalkulačka Seyfor: https://www.seyfor.com/cs-cz/koho-se-bude-tykat-smernice-nis2-vyuzijte-nasi-kalkulacky


6. Hlavní kroky po zjištění, že se povinnost vztahuje

Pokud se NIS2 vztahuje na vaši organizaci, doporučuje se:

  • Zavést systém řízení bezpečnosti informací (ISMS).
  • Implementovat procesy řízení bezpečnostních rizik.
  • Dokumentovat postupy pro reporting incidentů, školení zaměstnanců a audity.
  • Technicky zajistit ochranu informací (např. vícefaktorová autentizace, šifrování).
  • Jmenovat odpovědné osoby, například CISO.
  • Zajistit bezpečnost dodavatelského řetězce a připravit reakce na bezpečnostní incidenty.

7. Shrnutí

Od 1. listopadu 2025 začínají platit povinnosti podle NIS2 pro širší okruh organizací v České republice. Klíčové je zjistit, zda se na vás vztahují, a připravit registraci, jmenování kontaktních osob a implementaci bezpečnostních opatření. Pravidelná kontrola legislativních požadavků a implementace bezpečnostních procesů je nezbytná pro soulad s právními předpisy a ochranu kritických informačních systémů.