Když se řekne kybernetická bezpečnost, většina z nás si vybaví složité technické detaily nebo zprávy o únicích dat, ale směrnice NIS2 ukazuje, že jde především o jasná pravidla, která se dotknou desítek tisíc organizací napříč Evropou. Pokud vaše firma působí v jednom z 18 kritických odvětví, tahle regulace se vás týká – a možná dřív, než čekáte.

Tohle si nenechte ujit

4 souvisejici prispevky

Přijetí směrnice: prosinec 2022 ·
Lhůta pro transpozici: 17. října 2024 ·
Kritická odvětví: 18 ·
Dotčené subjekty v EU: desítky tisíc ·
Typy povinných subjektů: 2 (základní a důležité)

Rychlý přehled

1Potvrzená fakta
2Co není jasné
3Signál z časové osy
4Co bude dál

Pět klíčových parametrů, které shrnují základní obrys směrnice:

Parametr Hodnota
Název směrnice Směrnice (EU) 2022/2555
Účinnost (lhůta pro transpozici) 17. říjen 2024
Počet dotčených odvětví 18
Správní orgán v ČR NÚKIB
Maximální sankce 10 milionů EUR nebo 2 % celosvětového ročního obratu

Co je to směrnice NIS2?

Směrnice NIS2 (celým názvem Směrnice Evropského parlamentu a Rady (EU) 2022/2555) je aktualizovaný právní rámec Evropské unie pro kybernetickou bezpečnost. Nahrazuje původní směrnici NIS z roku 2016, která podle hodnocení Evropské komise nedostatečně pokrývala rostoucí hrozby a fragmentaci pravidel mezi členskými státy.

Cíl je podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jasný: sjednotit úroveň kybernetické odolnosti napříč Unií a rozšířit povinnosti na více odvětví a organizací, které jsou důležité pro fungování společnosti a ekonomiky.

Zásadní postřeh

Česká republika neimplementuje NIS2 přímo – povinnosti vstupují do národního práva prostřednictvím nového zákona o kybernetické bezpečnosti. To znamená, že detaily se mohou lišit od doslovného znění směrnice. Podle Kybeon je klíčové sledovat českou legislativu, nikoli pouze unijní text.

Oproti původní NIS přináší nová směrnice několik zásadních změn. Rozšiřuje okruh odvětví z původních několika na 18, zavádí přísnější požadavky na řízení bezpečnostních rizik a zvyšuje maximální sankce. V české debatě se podle Umíme NIS2 dokonce mluví o tom, že nový zákon o kybernetické bezpečnosti pokryje až 22 odvětví.

Shrnutí: NIS2 není kosmetická úprava – je to systémová změna, která rozšiřuje regulaci na desítky tisíc subjektů. Pro firmy v regulovaných odvětvích znamená jediné: kybernetická bezpečnost přestává být dobrovolná a stává se zákonnou povinností.

Koho se NIS2 týká?

Odpověď na otázku, koho se NIS2 týká, není tak přímočará, jak by se mohlo zdát. Směrnice rozlišuje dva režimy – základní a důležité subjekty – a pokrývá 18 kritických odvětví uvedených v jejích přílohách.

  • Základní subjekty: energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, veřejná správa, vesmír.
  • Důležité subjekty: poštovní a kurýrní služby, nakládání s odpady, výroba chemických látek, výroba potravin, výroba zdravotnických prostředků, výroba počítačů a elektronických zařízení, výroba strojů, výroba motorových vozidel, poskytovatelé digitálních služeb.

Podle GoodAccess se NIS2 vztahuje především na střední a velké podniky v těchto odvětvích. Důležitý detail: ne každý subjekt v regulovaném sektoru automaticky spadá pod povinnosti – rozhoduje velikost, kritičnost a typ poskytované služby.

Paradox

Právě malé a střední podniky v regulovaných odvětvích často nemají vlastní bezpečnostní týmy, přesto po nich NIS2 vyžaduje, aby měly zaměstnance nebo dodavatele zajišťující bezpečnostní role. Pro tyto firmy je paradoxně regulace nejnáročnější.

Kdo spadá do působnosti NIS2?

  • Organizace poskytující regulovanou službu v jednom z 18 odvětví.
  • Střední a velké podniky – kritériem je obvykle počet zaměstnanců a roční obrat.
  • Vybrané základní služby (např. DNS, registr domén) podléhají povinnostem bez ohledu na velikost subjektu (GoodAccess – výjimky z velikostního prahu).

Kdo musí plnit NIS2?

  • Všichni, kdo poskytují službu v regulovaném odvětví a splňují velikostní práh.
  • Subjekty, které určí členský stát jako kritické pro národní bezpečnost nebo ekonomiku.
  • Organizace, které dobrovolně vstoupí do režimu (pokud to národní legislativa umožní).

Doporučený první krok podle průvodce NÚKIB: ověřit, zda vaše organizace poskytuje regulovanou službu podle nového zákona a jakému režimu povinností podléhá.

Shrnutí: NIS2 se týká středních a velkých podniků v 18 odvětvích, přičemž některé kritické služby (DNS, veřejná správa) spadají pod regulaci bez ohledu na velikost. Rozhodující je povaha služby, nikoli jen sektor.

Kdy začne platit NIS2?

Směrnice NIS2 byla přijata v prosinci 2022 a v platnost vstoupila 16. ledna 2023. Pro členské státy EU byla stanovena transpoziční lhůta do 17. října 2024 – do tohoto data měly povinnost přenést pravidla do národních právních předpisů.

Česká republika v současnosti dokončuje legislativní proces. Konkrétní datum účinnosti nového zákona o kybernetické bezpečnosti určí prováděcí právní předpis. Podle dostupných informací se očekává účinnost v průběhu roku 2025 (Rascasone – odhad harmonogramu).

Co z toho plyne

Pro firmy to znamená, že období příprav se krátí. I když zákon ještě není účinný, povinnosti jsou už nyní známé – a jejich implementace vyžaduje čas. Čekání na finální znění zákona může být strategická chyba.

Zbývající čas do účinnosti je třeba využít k přípravě na nové povinnosti.

Jaká jsou hlavní opatření a povinnosti podle NIS2?

Rozsah povinností se liší podle toho, zda subjekt spadá do režimu základního nebo důležitého. Společným jmenovatelem je ale povinnost zavést systém řízení bezpečnosti informací (ISMS) a proaktivně řídit rizika.

  • Bezpečnostní opatření: řízení rizik, ochrana sítí a informačních systémů, řízení přístupů, šifrování, bezpečnost dodavatelského řetězce.
  • Hlášení incidentů: povinnost nahlásit závažný incident národnímu úřadu (v ČR NÚKIB) do 24 hodin od jeho zjištění.
  • Registrace: povinnost registrovat se v portálu NÚKIB, nahlásit kontaktní údaje a rozsah služeb (Rascasone – přehled povinností).
  • Informování zákazníků: v případě incidentu nebo identifikované hrozby mohou subjekty mít povinnost informovat dotčené strany.

Jaké jsou sankce za nedodržení NIS2?

Výše pokut je odstupňována podle typu subjektu.

Režim subjektu Maximální sankce Alternativní výpočet
Základní subjekt 10 milionů EUR 2 % celosvětového ročního obratu
Důležitý subjekt 7 milionů EUR 1,4 % celosvětového ročního obratu

Podle GoodAccess se uplatní vyšší z obou částek. Kromě finančních sankcí hrozí i odpovědnost statutárních orgánů a možnost pozastavení činnosti.

Kde se registrovat podle NIS2?

Registrace probíhá prostřednictvím portálu NÚKIB. Subjekty musí nahlásit identifikační údaje, kontakt na osobu odpovědnou za kybernetickou bezpečnost a rozsah poskytovaných regulovaných služeb. Průvodce NÚKIB doporučuje samoidentifikaci – tedy aktivní posouzení, zda organizace spadá pod regulaci, ještě před samotnou registrací.

Shrnutí: Povinnosti NIS2 jsou třívrstvé – bezpečnostní opatření, hlášení incidentů a registrace. Sankce jdou do milionů eur a týkají se i osobní odpovědnosti managementu. Pro firmy je klíčové nepodcenit přípravu.

Jak se připravit na NIS2?

Příprava na NIS2 není jednorázový úkol, ale proces, který by měl začít co nejdříve. Podle doporučení NÚKIB by organizace měly postupovat v několika krocích.

  1. Audit kybernetické bezpečnosti: zjistěte aktuální stav zabezpečení, identifikujte mezery oproti požadavkům NIS2.
  2. Zavedení ISMS: systém řízení bezpečnosti informací je páteří compliance. Bez něj nelze systematicky řídit rizika.
  3. Určení odpovědných osob: zajistěte, aby vaše organizace měla zaměstnance nebo dodavatele, kteří zajišťují bezpečnostní role (GoodAccess – personální požadavky).
  4. Registrace v portálu NÚKIB: jakmile bude portál aktivní, nahlaste své údaje.
  5. Nastavení procesu hlášení incidentů: interní směrnice pro detekci, klasifikaci a reporting incidentů.
  6. Prověření dodavatelského řetězce: NIS2 vyžaduje řízení bezpečnosti dodavatelů a partnerů.

Řešení pro dodržování předpisů NIS2

Na trhu existuje řada nástrojů a služeb, které pomáhají s implementací požadavků NIS2. Patří mezi ně systémy pro řízení bezpečnostních incidentů (SIEM), nástroje pro správu zranitelností, konzultační služby specializované na NIS2 compliance a vzdělávací programy pro zaměstnance. Podle NIS2 Průvodce je prvním krokem vždy samoidentifikace – posouzení, zda regulace vůbec dopadá na vaši organizaci.

Průvodce směrnicí NIS2 z portálu NÚKIB

Oficiální průvodce NÚKIB obsahuje podrobný výklad směrnice, přehled odvětví a konkrétní příklady. Je to primární zdroj pro české firmy, protože reflektuje národní implementaci. NÚKIB rovněž připravuje metodiky a vzorové dokumenty, které usnadní přípravu.

Na co si dát pozor

Supply-chain security je jedním z klíčových nových požadavků NIS2. Vaše firma může mít vlastní bezpečnost v pořádku, ale pokud ji nemají vaši dodavatelé, jste v riziku. Podle Rascasone je to oblast, kterou firmy nejčastěji podceňují.

Příprava na NIS2 není jednorázový úkol, ale proces vyžadující systematický přístup.

Časová osa NIS2

  • Prosinec 2022 – Přijetí směrnice NIS2 Evropským parlamentem a Radou EU (NÚKIB – oficiální průvodce).
  • 16. ledna 2023 – Vstup směrnice v platnost.
  • 17. října 2024 – Konec lhůty pro transpozici do národních právních předpisů členských států.
  • 2025 (očekáváno) – Účinnost českého zákona o kybernetické bezpečnosti implementujícího NIS2 (Rascasone – výhled harmonogramu).

Časová osa ukazuje, že klíčové milníky již nastaly nebo se blíží.

Potvrdená fakta a co zůstává nejasné

Potvrdená fakta

  • Směrnice NIS2 byla přijata v prosinci 2022 a nahrazuje NIS z roku 2016 (NÚKIB).
  • Členské státy EU musely provést transpozici do 17. října 2024 (Kybeon).
  • NIS2 rozlišuje základní a důležité subjekty podle kritičnosti a velikosti (GoodAccess).
  • Maximální sankce dosahují 10 milionů EUR nebo 2 % celosvětového obratu (Rascasone).
  • Českým správním orgánem je NÚKIB (NÚKIB – průvodce novým zákonem).

Co není jasné

  • Přesné datum účinnosti v ČR – bude stanoveno prováděcím právním předpisem (NÚKIB).
  • Konečný seznam subjektů povinných k registraci – upřesní NÚKIB v prováděcích předpisech (Umíme NIS2).
  • Zda český zákon skutečně pokryje 22 odvětví, jak naznačují některé zdroje, nebo zůstane u 18 podle směrnice (Umíme NIS2).
  • Přesné datum spuštění registračního portálu NÚKIB není známo.
  • Přesný rozsah bezpečnostních opatření pro jednotlivé subjekty bude záviset na prováděcích předpisech, které nejsou dosud zveřejněny.

Pro firmy je důležité sledovat vývoj legislativy a připravovat se na základě známých faktů.

„Směrnice NIS2 představuje zásadní krok k posílení kybernetické odolnosti Unie. Rozšiřuje okruh regulovaných subjektů a zavádí přísnější požadavky na řízení rizik.”

– Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) – oficiální stanovisko

„Implementace NIS2 do českého právního řádu probíhá prostřednictvím nového zákona o kybernetické bezpečnosti. Je důležité, aby firmy sledovaly národní legislativu, nikoli pouze unijní text.”

– Kybeon – komentář k implementaci NIS2 v ČR

Pro české firmy v regulovaných odvětvích je rozhodnutí jasné: začít s přípravou na NIS2 už dnes, nebo riskovat sankce a provozní rizika v okamžiku, kdy zákon vstoupí v účinnost. Těch několik měsíců, které zbývají do očekávané účinnosti v roce 2025, je přesně ten čas, který může rozhodnout o tom, zda regulaci zvládnete jako organizační výzvu, nebo jako krizový scénář.

Jaký je rozdíl mezi NIS a NIS2?

NIS2 výrazně rozšiřuje okruh regulovaných subjektů z původních několika odvětví na 18, zavádí přísnější bezpečnostní požadavky, vyšší sankce (až 10 milionů EUR nebo 2 % obratu) a povinnost hlásit incidenty do 24 hodin. Původní směrnice NIS z roku 2016 byla méně podrobná a členské státy ji implementovaly rozdílně (NÚKIB – srovnání NIS a NIS2).

Kdo je považován za základní subjekt podle NIS2?

Základní subjekty zahrnují organizace v odvětvích energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, veřejná správa a vesmír. Podléhají přísnějšímu režimu povinností a vyšším sankcím (GoodAccess – rozdělení subjektů).

Jaké jsou konkrétní bezpečnostní požadavky NIS2?

Směrnice vyžaduje zavedení systému řízení bezpečnosti informací (ISMS), řízení rizik, ochranu sítí, řízení přístupů, šifrování, bezpečnost dodavatelského řetězce, hlášení incidentů a pravidelné audity. Konkrétní technická opatření si každý subjekt volí podle analýzy rizik (Rascasone – výčet požadavků).

Musí malé firmy plnit NIS2?

Obecně se NIS2 vztahuje na střední a velké podniky. Výjimkou jsou subjekty poskytující vybrané základní služby (např. DNS, registr domén), které podléhají povinnostem bez ohledu na velikost. Malé firmy mimo regulovaná odvětví povinnosti nemají (GoodAccess – velikostní kritéria).

Co hrozí za porušení povinností podle NIS2?

Základním subjektům hrozí pokuta až 10 milionů EUR nebo 2 % celosvětového ročního obratu (platí vyšší částka). Důležitým subjektům až 7 milionů EUR nebo 1,4 % obratu. Kromě finančních sankcí může dojít k odpovědnosti statutárních orgánů a pozastavení činnosti (Rascasone – sankce).

Kde najdu oficiální text směrnice NIS2?

Oficiální text směrnice (EU) 2022/2555 je k dispozici v Úředním věstníku EU. V češtině ho najdete na portále EUR-Lex. Pro výklad v kontextu české implementace doporučujeme průvodce NÚKIB.

Související čtení