Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), který do českého práva zavádí evropskou směrnici NIS2, je účinný od 1. listopadu 2025. Od té doby běží roční přechodné období — a tisícům firem, kterých se zákon nově týká, se nezadržitelně krátí čas. Pokud nevíte jistě, jestli mezi ně patříte, nejste sami. A právě to je první problém, který řešíme.
Koho se zákon týká — a proč je vás najednou tolik
Dosavadní regulace mířila na několik stovek subjektů. Nová dopadá podle odhadů NÚKIB na šest až devět tisíc organizací napříč zhruba patnácti odvětvími. O tom, jestli spadáte do působnosti, rozhodují prakticky dvě věci: odvětví, ve kterém podnikáte (energetika, doprava, zdravotnictví, potravinářství, vodárenství, výroba vybraných produktů, digitální služby a další), a velikost — typicky 50 a více zaměstnanců nebo roční obrat nad 10 milionů eur.
Důležitý je ale i třetí mechanismus, na který firmy zapomínají: dodavatelský řetězec. Zákon vyžaduje, aby regulované subjekty řídily bezpečnost svých dodavatelů. I když tedy do působnosti nespadáte přímo, jako dodavatel regulované firmy budete muset svou bezpečnostní úroveň prokazovat. Regulace se tak šíří dál, než se na první pohled zdá.
Co zákon reálně vyžaduje
Povinnosti nejsou jen „mít antivirus". Jde o zavedení a průběžné provozování systému řízení bezpečnosti informací. V praxi vás čeká přibližně tato posloupnost:
- Sebeidentifikace a ohlášení prostřednictvím portálu NÚKIB v zákonné lhůtě po účinnosti.
- Hlášení incidentů s významným dopadem bez zbytečného odkladu.
- Zavedení bezpečnostních opatření podle režimu — zákon rozlišuje nižší a vyšší povinnosti.
- Odpovědnost vrcholového vedení — za soulad ručí statutární orgán, bez ohledu na to, jak si oblast interně deleguje.
Ve vyšším režimu zákon navíc vyžaduje obsazení konkrétních rolí — manažera, architekta a auditora kybernetické bezpečnosti. A za nesplnění hrozí pokuty až do výše 250 milionů korun nebo 2 % z čistého obratu, podle toho, která částka je vyšší, plus možná diskvalifikace členů vedení.
Proč je to pro střední firmu tvrdý oříšek
Velká korporace má vlastní bezpečnostní oddělení. Střední výrobní nebo obchodní firma ho nemá — a ani nedává smysl najímat manažera, architekta a auditora kybernetické bezpečnosti na plný úvazek pro jednu organizaci. Zároveň soulad není jednorázový projekt, který „odškrtnete". Je to průběžný cyklus: opatření se musí udržovat, incidenty hlásit, dokumentace přezkoumávat, dodavatelé hodnotit, lidé školit. Jednorázová „příprava na NIS2" od externí firmy vám tedy za rok problém vrátí.
Řízený soulad jako služba
Proto nabízíme NIS2 compliance jako průběžnou službu, ne jako jednorázový audit. Konkrétně:
- Ověření působnosti — jednoznačně určíme, zda a v jakém režimu pod zákon spadáte, a co to pro vás znamená.
- Gap analýza a plán nápravy — kde nesplňujete požadavky a jak se k souladu dostat v zákonných lhůtách.
- Podpora registrace a komunikace s NÚKIB.
- Zavedení ISMS — politiky, řízení rizik, řízení přístupů, řízení změn, dokumentace.
- Sdílený manažer kybernetické bezpečnosti (vCISO) — seniorní role, kterou byste jako jednotlivá firma neufinancovali, dostupná na zlomek nákladů plného úvazku.
- Průběžný provoz — hlášení incidentů, pravidelné přezkumy, hodnocení dodavatelů, školení vedení i zaměstnanců.
Proč informatika.cz
Compliance s českým zákonem se neřeší z offshore call centra. Naší výhodou je domácí znalost legislativy, jazyka i praxe komunikace s NÚKIB — a zaměření na střední firmy, na které velké poradenské domy zpravidla míří až v druhé řadě. Zvlášť dobře rozumíme prostředí výroby a potravinářství, kde se kybernetická bezpečnost potkává s provozní spolehlivostí a kontinuitou výrobních systémů.
Spadáte pod NIS2? Nejste si jistí? Domluvte si nezávaznou konzultaci, na které vám během 30 minut řekneme, zda a v jakém režimu se vás zákon týká a co je váš první krok. Kontaktujte nás.
