Evropská ekonomika je stále více závislá na digitální infrastruktuře a komplexních dodavatelských řetězcích. Kybernetické útoky proto již dávno nepředstavují izolované incidenty, ale mohou ohrozit celé hospodářské sektory a veřejné služby. Právě proto vznikla Směrnice Evropského parlamentu a Rady (EU) 2022/2555, známá jako NIS2 (Network and Information Security 2).
Směrnice představuje zásadní změnu v přístupu k řízení kybernetické bezpečnosti v členských státech EU, včetně České republiky. Zavádí přísnější požadavky na bezpečnostní opatření, širší okruh povinných subjektů a robustnější systém dohledu. V praxi tak znamená povinnost mnoha firem v ČR implementovat nová bezpečnostní opatření a procesy.
Co je směrnice NIS2?
Směrnice NIS2 byla přijata 14. prosince 2022, zveřejněna v Úředním věstníku EU 27. prosince 2022 a vstoupila v platnost 16. ledna 2023. Členské státy měly povinnost ji transponovat nejpozději do 17. října 2024 (čl. 41). V České republice byla implementována prostřednictvím zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který byl vyhlášen ve Sbírce zákonů dne 4. srpna 2025.
Účinnost zákona začíná 1. listopadu 2025.
NIS2 nahrazuje dosavadní směrnici NIS1 z roku 2016 a představuje modernizovaný rámec reagující na dramatický nárůst kybernetických hrozeb a závislost ekonomik na digitálních službách.
Cílem NIS2 je:
- harmonizovat požadavky na kybernetickou bezpečnost napříč EU
- zvýšit odolnost kritické infrastruktury a ekonomiky
- zajistit efektivní spolupráci členských států při řešení incidentů
- posílit odpovědnost podniků za kybernetická rizika
Koho se směrnice týká?
Jedním z nejzásadnějších posunů oproti NIS1 je rozšíření okruhu regulovaných subjektů. Směrnice rozlišuje „základní“ a „důležité“ subjekty, definované zejména v článku 3 a v přílohách I a II.
Mezi základní subjekty patří:
- energetika (elektřina, plyn, ropa, dálkové vytápění)
- doprava (letecká, železniční, vodní, silniční)
- bankovnictví a infrastruktura finančního trhu
- zdravotnictví
- pitná voda a odpadní vody
- digitální infrastruktura (např. poskytovatelé DNS, datová centra, CDN)
- veřejná správa ve vybraných oblastech
Důležité (významné) subjekty jsou:
- poštovní a kurýrní služby
- odpadové hospodářství
- chemický průmysl
- výroba a zpracování potravin
- poskytovatelé digitálních služeb (cloud, hosting, online tržiště)
- výzkumné organizace
Kritériem je také velikost organizace. Obecně se povinnosti vztahují na střední a velké podniky (více než 50 zaměstnanců nebo roční obrat přes 10 milionů EUR), s výjimkami pro vybrané subjekty veřejné správy.
Jaké povinnosti směrnice podnikům ukládá?
Podniky a organizace, které spadají pod NIS2, musí implementovat technická a organizační opatření přiměřená úrovni rizik. Ty jsou stanoveny zejména v článku 21 a násl. směrnice.
Mezi hlavní povinnosti patří:
- Řízení rizik – identifikace aktiv, řízení přístupů, segmentace sítí, detekce incidentů, plán kontinuity provozu a krizové řízení
- Oznamování incidentů:
- „včasné varování“ do 24 hodin od zjištění incidentu
- oznámení incidentu s počáteční analýzou do 72 hodin
- závěrečná zpráva do 1 měsíce, případně průběžná na vyžádání
- Dozor a vymáhání – členské státy musí zřídit robustní dohledový systém. V ČR tuto roli zastává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)
- Sankce – směrnice ukládá pokuty až do 10 milionů EUR nebo 2 % celkového ročního obratu podniku
- Odpovědnost vedení – článek 20 zavádí přímou odpovědnost členů řídicích orgánů za schválení a dohled nad zaváděním opatření
Povinnosti a práva českých podniků upravuje zákon č. 264/2025 Sb., Zákon o kybernetické bezpečnosti.
Proč směrnice NIS2 vznikla?
Evropská unie přistoupila k přijetí NIS2 z několika klíčových důvodů:
- Zvyšující se intenzita útoků, kdy kybernetické incidenty zasahují i zdravotnictví, energetiku a státní správu
- Přeshraniční důsledky v rámci propojenosti ekonomik a dodavatelských řetězců
- Nedostatky NIS1 způsobily roztříštěnost implementace mezi členskými státy.
- Budování jednotného rámce ochrany
Praktické kroky pro české podniky, jak na implementaci směrnice
Od 1. listopadu 2025, kdy zákon nabývá účinnosti, mají povinné subjekty 60 dní na ohlášení regulované služby prostřednictvím Portálu NÚKIB. Tím začíná jejich formální povinnost plnit požadavky NIS2.
Doporučený postup:
- Posouzení, zda vaše organizace spadá do rozsahu NIS2
- Analýza rizik – zmapovat kritické informační systémy, identifikovat zranitelnosti
- Implementace opatření – zavést interní bezpečnostní politiky, monitorování, reakční procesy
- Zřízení oznamovacího procesu – jasně definovat, kdo a jak incident hlásí
- Registrace, komunikace a případné kontroly skrze Portál NÚKIB
- Školení zaměstnanců o kybernetických hrozbách
- Pravidelné audity
Nevíte, zda se povinnost implementace směrnice NIS2 týká i vás?
Výzvy a rizika
Mnoho středních podniků se bude potýkat s finanční, technickou i personální náročností implementace. Mezi nejčastější překážky patří:
- Náklady na zabezpečení systémů a školení personálu
- Technická komplexita, která přesahuje interní kapacity
- Reputační a regulatorní rizika při nesplnění povinností
Doporučení odborníků směřují k systematickému a včasnému postupu. Pomoc vám může vytvoření roadmapy, zapojení externích expertů a vybudování firemní kultury orientované na bezpečnost.
Zavedení směrnice od 1. listopadu 2025
NIS2 je jednou z nejvýznamnějších kyberbezpečnostních regulací posledních let. České firmy musí od 1. listopadu 2025 přejít z reaktivního přístupu k proaktivnímu řízení kybernetické bezpečnosti. Kdo začne včas, získá nejen jistotu souladu se zákonem, ale i konkurenční výhodu v prostředí, kde je digitální odolnost dnes již nezbytností.
Celé znění směrnice naleznete zde.