NIS2 a nový zákon o kybernetické bezpečnosti: Týká se i vaší firmy?
Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) přináší povinnosti, které se tentokrát netýkají jen velkých korporací a státní správy. Regulace dopadá na tisíce českých firem — a mnohé o tom stále nevědí.
Pokud jste se v posledních měsících setkali se zkratkami NIS2 nebo ZKB a odložili je jako „to bude pro ty velké", je čas se zastavit. Nový zákon o kybernetické bezpečnosti je přímou českou implementací evropské směrnice NIS2 a jeho dopad je výrazně širší, než bylo zvykem u předchozí legislativy.
Co je vlastně NIS2 — a proč vzniklo ZKB?
NIS2 je evropská směrnice (2022/2555), která nahradila původní NIS1 z roku 2016. Důvod aktualizace byl jednoduchý: původní zákon měl příliš úzký záběr, nestejnou implementaci napříč členskými státy a kybernetické hrozby mezitím narostly do jiného rozměru. NIS2 tento stav napravuje — rozšiřuje počet povinných sektorů, zpřísňuje požadavky a výrazně zvyšuje sankce.
Česká republika implementovala NIS2 zákonem č. 264/2025 Sb., zkráceně ZKB (Zákon o kybernetické bezpečnosti). Tento zákon nahrazuje původní zákon č. 181/2014 Sb. a přináší s sebou i prováděcí vyhlášky 409/2025 a 410/2025, které konkrétně definují, co vaše firma musí dělat.
Dozorový orgán je NÚKIB — Národní úřad pro kybernetickou a informační bezpečnost — a u něj probíhá i povinná registrace.
Kdo zákon reguluje? Možná právě vy.
Tady nastává první překvapení pro mnoho firem. ZKB přestává být záležitostí pouze provozovatelů kritické infrastruktury. Zákon pokrývá 14 odvětví, od energetiky a dopravy přes zdravotnictví až po digitální infrastrukturu a výrobu.
Klíčová kritéria pro to, zda na vás zákon dopadá, jsou tři:
Odvětví a typ poskytované služby — jste v jednom ze 14 regulovaných sektorů?
Velikost organizace — zákon obecně pracuje s prahy pro střední a velké podniky (zpravidla 50+ zaměstnanců nebo 10+ mil. EUR ročního obratu), ale existují výjimky, kde velikost nehraje roli.
Důležitost poskytované služby — i menší firma může spadat do regulace, pokud je její výpadek kritický pro provoz infrastruktury nebo trhu.
Pokud si nejste jisti, jestli se vás zákon týká, je to pochopitelné — text zákona není lehké číst. Proto jsme pro vás připravili nástroje, které vám odpoví za méně než minutu.
👉 Spusťte ZKB kalkulačku → — vyberte odvětví, odpovězte na pár kritérií a okamžitě zjistíte, zda zákon na vaši firmu dopadá a v jakém režimu.
Dva režimy: vyšší a nižší povinnosti
Ne všichni povinní jsou si rovni. ZKB rozlišuje mezi dvěma skupinami subjektů:
Vyšší povinnosti (essential entities) — typicky větší firmy nebo organizace v klíčových odvětvích. Rozsah povinností je zde nejširší: zahrnuje komplexní řízení kybernetické bezpečnosti, detekci incidentů, kryptografická opatření, bezpečnost dodavatelského řetězce, přísný reporting incidentů a povinný audit. Řídí se vyhláškou č. 409/2025 Sb.
Nižší povinnosti (important entities) — firmy s nižším rizikovým profilem. Požadavky jsou zjednodušené, ale stále zahrnují povinné minimum: bezpečnostní politiky, správu přístupů, ochranu sítě, hlášení závažných incidentů a základní opatření pro kontinuitu provozu. Řídí se vyhláškou č. 410/2025 Sb.
Lhůty hlášení incidentů jsou u obou režimů stejné — a jsou přísné. Závažný incident musíte NÚKIB nahlásit do 24 hodin od jeho zjištění (první hlášení), úplnou zprávu pak do 72 hodin.
Co konkrétně zákon vyžaduje?
Bez ohledu na to, do kterého režimu spadáte, povinnosti ZKB se točí kolem několika klíčových oblastí:
Governance a odpovědnost — musíte mít definovanou osobu nebo funkci odpovědnou za kybernetickou bezpečnost (tzv. MKB — manažer kybernetické bezpečnosti), nebo tuto roli externě zajistit.
Řízení rizik — pravidelné hodnocení hrozeb a zranitelností, nikoli jednorázová akce.
Technická opatření — ochrana sítí, správa identit a přístupů, šifrování, záplatování systémů.
Bezpečnost dodavatelů — odpovídáte i za bezpečnostní úroveň svých klíčových dodavatelů a partnerů.
Hlášení incidentů — zákonné lhůty bez možnosti odkladu.
Registrace u NÚKIB — povinná pro všechny regulované subjekty.
Sankce, které stojí za zmínku
Na rozdíl od původního zákona jsou sankce v ZKB (a celé NIS2) výrazně přísnější. Pohybují se v řádu:
Až 10 000 000 EUR nebo 2 % celosvětového obratu pro subjekty s vyššími povinnostmi,
Až 7 000 000 EUR nebo 1,4 % obratu pro subjekty s nižšími povinnostmi.
Vedle pokut zákon počítá i s osobní odpovědností statutárních zástupců. To je signál, který management nemůže ignorovat.
Co dělat teď?
Zákon je platný a povinnosti jsou reálné. Pokud vaše firma dosud ZKB neřešila, doporučujeme začít těmito kroky:
1. Zjistěte, jestli se vás zákon týká. Použijte naši bezplatnou ZKB kalkulačku — zabere to 30 vteřin.
2. Změřte, jak daleko jste od shody. Spusťte ZKB Readiness Check — 12 otázek na základě zákona a vyhlášek, výstup je konkrétní skóre a top 3 mezery, které musíte řešit.
3. Přečtěte si, co zákon reálně říká. Náš Průvodce zákonem ZKB je psaný normálním jazykem — bez paragrafního textu a zbytečného žargonu.
Všechny tyto nástroje najdete na jednom místě: cypheron.cz/odkazy — zdarma, bez registrace.
Závěr: Compliance není cíl, ale základ
ZKB není jen formální papírování. Je to příležitost postavit kybernetickou bezpečnost vaší firmy na solidní základ — takový, který obstojí nejen při auditu, ale i při skutečném incidentu.
Pokud si nejste jisti, co zákon pro vaši firmu konkrétně znamená, nebo potřebujete pomoci s implementací od přihlášení u NÚKIB až po nastavení bezpečnostních procesů, ozvěte se nám. Nabízíme bezplatnou úvodní konzultaci bez závazků — a odpovídáme do 24 hodin.