NIS2 Compliance Checklist: Co musí české firmy splnit v roce 2026

Směrnice NIS2 je nyní realitou v České republice. Dne 1. listopadu 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti č. 264/2025, který nahrazuje předchozí legislativu a rozšiřuje okruh regulovaných subjektů z ~400 na potenciálně více než 6 000 firem.

Pokud si teď říkáte "týká se to nás?" — tady je rychlý test: 50+ zaměstnanců NEBO obrat €10M+ v pokrytém sektoru. Pokud ano, čtěte dál.

Kritické termíny, které potřebujete znát:

✅ Leden 2026: Termín pro samoidentifikaci (to je 60 dní po účinnosti zákona — ano, je to těsné)
⏰ Listopad 2026: Plná implementace compliance (máte 1 rok od registrace u NÚKIB)

Pokuty? Jsou navržené tak, aby upoutaly pozornost: až 250 milionů Kč nebo 2 % celosvětového ročního obratu (podle toho, co bolí víc).

Tento článek poskytuje praktický průvodce krok za krokem založený na ověřených informacích z oficiálních zdrojů: směrnice EU NIS2 2022/2555, český zákon 264/2025 a pokyny NÚKIB.

Koho se týká NIS2?

Prahové hodnoty velikosti

Podle doporučení EU 2003/361/ES podléháte NIS2, pokud jste střední nebo velký podnik:

✅ 50+ zaměstnanců, NEBO
✅ Roční obrat €10M+, NEBO
✅ Celková bilance €10M+

Důležité: Musíte splnit práh zaměstnanců A (obrat NEBO bilanci). Takže pokud máte 60 zaměstnanců, ale jen obrat €5M a bilanci €4M, pořád jste v rozsahu. Ano, i když je váš obrat pod prahem.

Pokryté sektory (celkem 15)

NIS2 se vztahuje na subjekty působící v těchto sektorech:

Energie (elektřina, ropa, plyn, vodík, dálkové vytápění/chlazení)
Doprava (letecká, železniční, vodní, silniční)
Bankovnictví a finanční trhy
Zdravotnictví (poskytovatelé, lékárny, výrobci zdravotnických prostředků)
Zásobování pitnou vodou a její distribuce
Nakládání s odpadními vodami
Digitální infrastruktura (IXP, DNS, TLD registry, cloud, datová centra)
Digitální služby (online tržiště, vyhledávače, sociální sítě)
Veřejná správa (centrální a regionální)
Letectví a kosmonautika (výroba, provoz)
Výroba (kritické produkty: elektronika, stroje, vozidla, chemikálie, léčiva, potraviny)
Poštovní a kurýrní služby
Nakládání s odpady
Výroba a distribuce chemikálií
Výroba a distribuce potravin

Zdroj: Zákon 264/2025 Sb., § 4

Dva režimy povinností

Český zákon rozlišuje dvě úrovně:

Vyšší povinnosti:

Subjekty s "významným hospodářským, společenským nebo bezpečnostním významem"
Typicky: kritická infrastruktura, veřejná správa, základní služby
Vyžaduje 14 organizačních + 11 technických bezpečnostních opatření

Nižší povinnosti:

Všechny ostatní regulované subjekty v pokrytých sektorech
13 kombinovaných bezpečnostních opatření (snížený rozsah)

Zdroj: Zákon 264/2025 Sb., § 8

Požadovaná technická bezpečnostní opatření

Co MUSÍTE implementovat

Na základě článku 21 směrnice NIS2 a českého zákona § 15-16 musí všechny subjekty implementovat:

1. Risk Management (Řízení rizik)

Identifikovat a posoudit kybernetická rizika vašich systémů
Zdokumentovat rozhodnutí o ošetření rizik
Kontrolovat rizika minimálně jednou ročně

2. Incident Response (Reakce na incidenty)

Plán reakce na incidenty s definovanými rolemi
Postupy pro detekci, reakci a zotavení z incidentů
Pravidelné testování (minimálně jednou ročně)

3. Business Continuity & Disaster Recovery (Kontinuita provozu)

Plán kontinuity pro kritické služby
Postupy zálohování s testovaným obnovením
Alternativní provozní postupy během výpadků

4. Supply Chain Security (Bezpečnost dodavatelského řetězce)

Bezpečnostní požadavky pro dodavatele s přístupem k vašim systémům
Smluvní závazky pro kybernetickou bezpečnost
Posouzení kybernetických rizik dodavatelů

5. Network Security (Síťová bezpečnost)

Segmentace sítě kde je to vhodné
Ochrana perimetru (firewally, IDS/IPS)
Pravidelné bezpečnostní monitorování

6. Access Control & Authentication (Řízení přístupu)

Vícefaktorová autentizace (MFA) pro privilegované účty
Řízení přístupu na základě rolí (RBAC)
Pravidelná kontrola přístupových práv
Správa účtů (vytváření, úpravy, mazání)

7. Cryptography (Kryptografie)

Šifrování dat v klidu (citlivá data)
Šifrování dat při přenosu (TLS 1.2+)
Správa kryptografických klíčů

8. Human Resources Security (Bezpečnost lidských zdrojů)

Školení o bezpečnostním povědomí pro všechny zaměstnance
Specifické školení pro IT a bezpečnostní personál
Prověrky pro privilegované pozice (kde je to právně povoleno)

9. Physical & Environmental Security (Fyzická bezpečnost)

Řízení přístupu do serveroven / datových center
Environmentální kontroly (teplota, požární ochrana)
Správa návštěvníků

10. Security Logging & Monitoring (Logování a monitoring) ⬅️ SNYFT TOTO POKRÝVÁ

Centralizovaný sběr logů z kritických systémů
Uchovávání logů minimálně 12 měsíců
Real-time monitoring bezpečnostních událostí
Automatizované upozornění na podezřelé aktivity

11. Vulnerability Management (Správa zranitelností)

Pravidelné skenování zranitelností
Proces správy patchů
Penetrační testování (minimálně ročně pro vyšší povinnosti)

12. Configuration Management (Správa konfigurací)

Zabezpečené základní konfigurace
Postupy řízení změn
Dokumentace konfigurací

13. Asset Management (Správa aktiv)

Inventář hardwarových a softwarových aktiv
Klasifikace aktiv podle kritičnosti
Správa životního cyklu

14. Information Security Management System (ISMS)

Zdokumentované bezpečnostní politiky a postupy
Určený bezpečnostní manažer/tým
Pravidelná kontrola vedením

Zdroj: Zákon 264/2025 Sb., § 15-16

Hlášení incidentů NÚKIB

Časové lhůty pro hlášení

Když dojde k významnému incidentu, musíte jej nahlásit NÚKIB:

1. Prvotní oznámení: 24 hodin

Nahlaste do 24 hodin od zjištění
Uveďte: popis incidentu, postižené systémy, prvotní hodnocení dopadu
Podání přes portál NÚKIB

2. Podrobná zpráva: 72 hodin

Do 72 hodin: poskytněte podrobnou analýzu
Uveďte: posouzení původní příčiny, rozsah dopadu, přijatá opatření

3. Závěrečná zpráva: 30 dní

Do 30 dnů: předložte závěrečnou zprávu o incidentu
Uveďte: poučení, implementovaná preventivní opatření

Zdroj: Zákon 264/2025 Sb., § 30

Co je "významný incident"?

Incident je významný, pokud:

Způsobuje nebo by mohl způsobit významné narušení poskytování služeb
Postihuje velký počet uživatelů
Zahrnuje porušení dat nebo potenciální ztrátu dat
Vyžaduje mimořádná opatření k vyřešení

Poznámka: Pokud si nejste jistí, nahlaste to. NÚKIB preferuje nadbytečné hlášení oproti nedostatečnému.

Sankce za nedodržení

Režim vyšších povinností

Za závažná porušení:

Až 250 000 000 Kč NEBO
2 % celkového celosvětového ročního obratu
Podle toho, která částka je VYŠŠÍ

Příklady závažných porušení:

Úmyslné neregistrování jako regulovaný subjekt
Neimplementování požadovaných bezpečnostních opatření
Nehlášení významných incidentů

Režim nižších povinností

Za závažná porušení:

Až 175 000 000 Kč NEBO
1,4 % celkového celosvětového ročního obratu
Podle toho, která částka je VYŠŠÍ

Další sankce:

Pozastavení evropského certifikátu kybernetické bezpečnosti
Dočasný zákaz výkonu funkce člena statutárního orgánu (při opakovaných porušeních)
Nápravné příkazy s donucovacími pokutami

Zdroj: Kybernetický zákon sankce - Zákony pro lidi, Nový zákon o kybernetické bezpečnosti - Právní prostor

Důležité: Pokuty nemají být "likvidační". NÚKIB zohledňuje polehčující a přitěžující okolnosti v každém případě.

Co pokrývá SNYFT (a co ne)

✅ SNYFT pokrývá:

Security Logging & Monitoring (Požadavek č. 10):

✅ Centralizovaný sběr logů z Windows, Linux, síťových zařízení, aplikací
✅ 365denní uchovávání logů (převyšuje minimální požadavek 12 měsíců)
✅ Real-time bezpečnostní monitoring s předkonfigurovanými detekčními pravidly
✅ Automatizované upozornění přes email, Slack, Jira
✅ Detekce incidentů během minut (ne dnů)
✅ Reporty pro NÚKIB (audit-ready logy)

Podpora reakce na incidenty (Požadavek č. 2):

✅ Automatizované triggery detekce incidentů
✅ Sběr důkazů (logy uchované pro vyšetřování)
✅ Rekonstrukce časové osy bezpečnostních událostí

Viditelnost rizik (Požadavek č. 1):

✅ Bezpečnostní dashboard zobrazující hrozbové prostředí
✅ Detekce behaviorálních anomálií (UEBA)
✅ Hodnocení rizika bezpečnostních událostí

⚠️ SNYFT NEPOKRÝVÁ:

Budete potřebovat další opatření pro:

❌ Business Continuity & Backup (Požadavek č. 3)
❌ Školení zaměstnanců o bezpečnosti (Požadavek č. 8)
❌ Právní compliance poradenství
❌ Skenování zranitelností a penetrační testování (Požadavek č. 11) → Můžeme doporučit partnery
❌ Gap analýza a bezpečnostní audity → Můžeme doporučit partnery
❌ Fyzická bezpečnost (Požadavek č. 9)
❌ ISMS dokumentace (Požadavek č. 14)

Proč jsme upřímní: NIS2 compliance je holistická. SIEM (bezpečnostní monitoring) je nezbytný, ale ne postačující. Raději jsme transparentní o tom, co potřebujete, než abychom přeprodávali.

90denní akční plán

Měsíc 1: Posouzení a registrace (Dny 1-30)

Týden 1-2: Zjistěte, zda se vás NIS2 týká

Zkontrolujte počet zaměstnanců (50+?)
Zkontrolujte roční obrat/bilanci (€10M+?)
Ověřte, zda působíte v pokrytém sektoru (viz seznam výše)
Určete úroveň povinností (vyšší vs. nižší)

Týden 3-4: Registrace u NÚKIB

Připravte firemní dokumentaci (sektor, velikost, služby)
Podejte samoidentifikaci NÚKIB přes portál
Termín: Leden 2026 (60 dní po účinnosti zákona 1.11.2025)

Týden 4: Gap analýza

Zkontrolujte současná bezpečnostní opatření oproti požadovanému seznamu
Identifikujte mezery (co chybí?)
Upřednostněte na základě rizika a nákladů

Výstup: Písemné posouzení compliance mezer

Měsíc 2: Rychlé výhry a monitoring (Dny 31-60)

Týden 5: Nasazení bezpečnostního monitoringu (SNYFT!)

Přihlaste se k SNYFT zkušební verzi (14 dní zdarma)
Nainstalujte agenty na kritické servery (Windows, Linux)
Nakonfigurujte sběr logů ze síťových zařízení
Nastavte upozornění do Slack/Jira
Proč první: Monitoring poskytuje viditelnost do dalších mezer

Týden 6: Implementace řízení přístupu

Povolte MFA pro všechny admin účty
Zkontrolujte a zdokumentujte přístupová práva uživatelů
Implementujte princip nejnižších oprávnění
Nastavte proces pravidelné kontroly přístupu (čtvrtletně)

Týden 7: Plánování reakce na incidenty

Navrhněte plán reakce na incidenty (šablona dostupná od NÚKIB)
Definujte úrovně závažnosti incidentů
Přiřaďte role (manažer incidentů, techničtí respondenti, komunikace)
Vytvořte checklist pro hlášení NÚKIB

Týden 8: Bezpečnostní povědomí

Naplánujte phishing simulaci
Vytvořte materiály o bezpečnostním povědomí (plakáty, emailové šablony)
Naplánujte čtvrtletní bezpečnostní školení

Výstup: SIEM nasazen, MFA povoleno, plán reakce na incidenty navržen

Měsíc 3: Dokumentace a testování (Dny 61-90)

Týden 9-10: Dokončení ISMS dokumentace

Zdokumentujte všechny bezpečnostní politiky (řízení přístupu, přijatelné použití, reakce na incidenty, zálohování)
Vytvořte inventář aktiv (servery, aplikace, síťová zařízení)
Zdokumentujte zjištění posouzení rizik
Přiřaďte roli bezpečnostního manažera (osoba odpovědná za NIS2)

Týden 11: Business Continuity

Zdokumentujte kritické obchodní procesy
Identifikujte cíle doby obnovení (RTO) a cíle bodu obnovení (RPO)
Otestujte obnovení zálohy (vyberte jeden kritický systém, zkuste obnovit)
Vytvořte alternativní provozní postupy pro výpadky

Týden 12: Testování a přezkoumání

Proveďte tabletop cvičení reakce na incidentů (simulujte ransomware útok, projděte reakci)
Otestujte proces hlášení NÚKIB (suchý běh, nepodávejte)
Zkontrolujte upozornění bezpečnostního monitoringu v SNYFT (vylaďte pravidla, snižte falešné poplachy)
Schůzka přezkoumání vedením (předložte stav compliance vedení)

Výstup: Kompletní ISMS dokumentace, otestovaná reakce na incidenty, schválení vedením

Po 90 dnech: Kontinuální compliance

Průběžné aktivity:

Měsíčně:

Kontrola upozornění bezpečnostního monitoringu v SNYFT
Kontrola nových zranitelností (CVE databáze)
Kontrola přístupových práv pro privilegované účty

Čtvrtletně:

Školení o bezpečnostním povědomí pro zaměstnance
Přezkoumání a aktualizace posouzení rizik
Přezkoumání plánu reakce na incidenty

Ročně:

Kompletní bezpečnostní audit (interní nebo externí)
Penetrační testování (vyžadováno pro vyšší povinnosti)
Aktualizace ISMS dokumentace
Přezkoumání kybernetické bezpečnosti vedením

Časté otázky

O: "Máme přesně 50 zaměstnanců. Musíme dodržovat?"

A: Ano. Práh je "50 nebo více zaměstnanců" (doporučení EU 2003/361/ES). Pokud jste na 50, jste v rozsahu (za předpokladu, že jste v pokrytém sektoru).

O: "Náš roční obrat je €9,5M, ale máme 55 zaměstnanců. Jsme osvobozeni?"

A: Ne. Splňujete práh zaměstnanců (50+), což je dostatečné. Nemusíte splňovat OBĚ kritéria, stačí JEDNO (zaměstnanci NEBO obrat NEBO bilance).

O: "Jsme softwarová společnost. Týká se nás NIS2?"

A: Záleží na tom. Pokud poskytujete:

Digitální služby (online tržiště, vyhledávače, sociální sítě s 45M+ měsíčních uživatelů v EU)
Cloud computing služby
Služby datových center
DNS služby nebo TLD registry

Pak ano. Pokud jste standardní B2B SaaS společnost prodávající účetní software, pravděpodobně ne (pokud také neposkytujete cloudovou infrastrukturu).

O: "Může nás samotný SNYFT učinit NIS2 compliant?"

A: Ne, a upřímně, kdokoli vám tvrdí, že jeden nástroj vyřeší NIS2, prodává vám kachní peří.

SNYFT zvládá část bezpečnostního monitoringu (Požadavek č. 10) — a děláme to dobře. Ale NIS2 je holistické. Potřebujete také:

Plánování kontinuity provozu
Řešení zálohování
Školení zaměstnanců
Řízení přístupu
Postupy reakce na incidenty
Fyzickou bezpečnost

Představte si to takto: SNYFT je váš kamerový systém. Nezbytný pro vidění hrozeb v reálném čase. Ale potřebujete také zámky (řízení přístupu), postupy reakce na poplach (reakce na incidenty) a hasicí přístroje (kontinuita provozu).

Jsme jedna kritická součást, ne celé řešení.

O: "Co se stane, pokud nedodržíme termín?"

A: NÚKIB může vydat nápravné příkazy s donucovacími pokutami. Za závažná porušení (úmyslné neregistrování, neimplementování bezpečnostních opatření) pokuty až 250M Kč nebo 2 % celosvětového obratu.

Nicméně přístup NÚKIB je obecně kooperativní. Pokud vyvíjíte dobré úsilí a můžete prokázat pokrok, je vymáhání méně pravděpodobné než pokud požadavky úplně ignorujete.

O: "Jsme již ISO 27001 certifikováni. Počítá se to?"

A: Výrazně to pomáhá. ISO 27001 se překrývá s požadavky NIS2 (~70-80% sladění). Nicméně NIS2 má specifické požadavky:

Hlášení incidentů NÚKIB (časová osa 24h/72h/30d)
Sektorově specifická opatření
Zaměření na bezpečnost dodavatelského řetězce

Budete muset doplnit váš ISO 27001 ISMS o prvky specifické pro NIS2, ale jste napřed oproti společnostem začínajícím od nuly.

Další zdroje

Oficiální zdroje

Potřebujete pomoc s compliance?

Pokud potřebujete pomoc s gap analýzou, bezpečnostními audity nebo penetračním testováním, kontaktujte nás a můžeme vám doporučit naše ověřené partnery, kteří se specializují na NIS2 compliance.

Závěr

NIS2 není "checkbox exercise" — je to příležitost zlepšit vaši kybernetickou bezpečnost a chránit váš podnik.

Tři klíčové závěry:

Pokud máte 50+ zaměstnanců NEBO obrat €10M+ v pokrytém sektoru, pravděpodobně jste v rozsahu. Nečekejte, až vás NÚKIB kontaktuje — samoidentifikujte se a registrujte do 60 dnů.
Bezpečnostní monitoring (SIEM) je vyžadován, ale nedostatečný. SNYFT zvládá logování, monitoring a detekci incidentů, ale potřebujete kontinuitu provozu, školení, řízení přístupu a více.
Začněte nyní. 90denní akční plán výše vám poskytuje realistickou cestu od posouzení k provozní compliance. Měsíc 1 = pochopení rozsahu, Měsíc 2 = nasazení monitoringu a rychlých výher, Měsíc 3 = dokumentace a testování.

Potřebujete pomoc s bezpečnostním monitoringem?

SNYFT poskytuje centralizované logování, real-time monitoring a automatizované upozorňování vyžadované NIS2. Pokrýváme komponentu bezpečnostního monitoringu (Požadavek č. 10), abyste se mohli soustředit na další oblasti compliance.

Vyzkoušejte SNYFT zdarma na 14 dní →

Upozornění: Tento článek poskytuje praktické pokyny založené na oficiálních zdrojích, ale není právní poradou. Pro právní interpretaci požadavků NIS2 specifických pro vaši situaci konzultujte právní kancelář zaměřenou na kybernetickou bezpečnost. Všechny informace ověřeny z oficiálních zdrojů k lednu 2026.