Co musí splnit vaše firma do konce roku 2026: NIS2 checklist

Zákon č. 264/2025 Sb. o kybernetické bezpečnosti vstoupil v účinnost v říjnu 2025. Regulované subjekty — přibližně 6 000 firem a organizací v ČR — jsou povinny postupně plnit požadavky stanovené zákonem a prováděcí vyhláškou č. 409/2025 Sb. Termíny se liší dle kategorie subjektu, ale rok 2026 je pro většinu firem klíčovým rokem implementace.

Tento checklist pokrývá čtyři hlavní oblasti: organizační opatření, technická opatření, dokumentaci a registraci u NÚKIB. Každá položka odkazuje na konkrétní požadavky vyhlášky 409/2025 Sb.

Nejste si jisti, zda se na vás zákon vůbec vztahuje?

Nejdříve ověřte, zda vaše firma je regulovaným subjektem dle zákona 264/2025 Sb. Využijte bezplatný online audit na nis2ok.cz — výsledek do 10 minut.

1. Organizační opatření

Organizační opatření tvoří základ NIS2 compliance. Bez správně nastavené organizační struktury a odpovědností nelze efektivně plnit ani technické nebo dokumentační požadavky.

Organizační opatření

Jmenován manažer kybernetické bezpečnosti (MKB) s odpovídající kvalifikací dle vyhlášky 409/2025 Sb. MKB musí splňovat kvalifikační požadavky. Alternativa: externista dle NIS2Manager.cz.

Vedení společnosti bylo proškoleno v oblasti zákonných povinností a osobní odpovědnosti statutárního orgánu Zákon 264/2025 Sb. zavádí přímou odpovědnost vedení za stav kybernetické bezpečnosti.

Definovány role a odpovědnosti v oblasti kybernetické bezpečnosti napříč organizací Kdo co hlásí, kdo co rozhoduje, kdo je kontaktní osoba pro NÚKIB.

Zaveden proces hodnocení a schvalování bezpečnostních opatření vedením Pravidelné reporty MKB vedení, schvalování bezpečnostní strategie.

Provedena analýza dodavatelského řetězce — hodnocení klíčových dodavatelů z hlediska kybernetické bezpečnosti Supply chain security je explicitní požadavek vyhlášky 409/2025 Sb.

Všichni zaměstnanci absolvovali základní školení kybernetické bezpečnosti (phishing, bezpečné chování) Vyhláška vyžaduje pravidelné školení — alespoň jednou ročně.

2. Technická opatření

Technická opatření dle vyhlášky 409/2025 Sb. pokrývají bezpečnost sítí, správu přístupů, kryptografii, monitoring a obnovu po incidentu. Jde o nejširší oblast s největším potenciálním dopadem na IT infrastrukturu.

Technická opatření

Implementováno vícefaktorové ověřování (MFA) pro všechny privilegované účty a vzdálené přístupy Priorita č. 1 — bez MFA jsou privilegované účty kritickým bezpečnostním rizikem.

Spravovány a dokumentovány všechny síťové přístupy, segmentace sítě provedena Kritické systémy musí být izolovány od běžné kancelářské sítě.

Zaveden patch management — aktualizace systémů a aplikací probíhají pravidelně a jsou dokumentovány Definujte SLA pro kritické záplaty (např. kritická zranitelnost = záplata do 72 hodin).

Šifrování dat v klidu i při přenosu — citlivá data a komunikace jsou šifrována TLS 1.2+ pro přenosy, šifrování disků pro data v klidu.

Zálohování kritických systémů a dat — zálohy jsou testovány, uloženy odděleně a jsou obnovitelné 3-2-1 pravidlo: 3 kopie, 2 různá média, 1 mimo lokalitu. Test obnovy alespoň 2× ročně.

Nasazen bezpečnostní monitoring (SIEM nebo ekvivalent) — logy jsou centralizovány a uchovávány min. 12 měsíců Bez logovacích nástrojů nelze prokázat soulad ani vyšetřit incident.

Proveden penetrační test nebo zranitelnostní sken klíčových systémů Pentest nejméně jednou ročně pro zásadní subjekty, doporučeno pro všechny.

Spravovány přístupy třetích stran — oddělené účty, omezená práva, logování Vendor access management je klíčová oblast, kde dochází k mnoha incidentům.

3. Dokumentace

Vyhláška č. 409/2025 Sb. explicitně vyžaduje sadu dokumentů, které musí regulovaný subjekt mít k dispozici a pravidelně aktualizovat. Bez dokumentace nelze prokázat soulad — ani při kontrole NÚKIB.

Povinná dokumentace

Zpráva o hodnocení rizik (ZHR) — aktuální, schválená vedením, zahrnuje všechna klíčová aktiva ZHR musí být aktualizována min. jednou ročně nebo po zásadní změně prostředí.

Politika kybernetické bezpečnosti — schválená vedením, distribuována zaměstnancům Zastřešující dokument definující závazky firmy v oblasti KB.

Plán zvládání kybernetických bezpečnostních incidentů (Incident Response Plan) Co dělat v prvních 24 hodinách po detekci incidentu, kdo koho informuje, kdy hlásit NÚKIB.

Plán obnovy aktivit (Business Continuity Plan / Disaster Recovery Plan) RTO a RPO pro klíčové systémy, postupy obnovy, odpovědnosti.

Inventář aktiv — kompletní seznam hardwarových, softwarových, datových a procesních aktiv s klasifikací Bez inventáře nelze provést analýzu rizik ani prokázat přehled o kritických systémech.

Bezpečnostní politiky pro specifické oblasti: přístupová práva, kryptografie, práce z domova, mobilní zařízení Dílčí politiky navazují na zastřešující Politiku KB a řeší konkrétní scénáře.

Smlouvy s klíčovými dodavateli obsahují bezpečnostní požadavky (SLA, povinnost hlásit incidenty, audit práv) Supply chain security — dodavatelé musí splňovat vaše bezpečnostní standardy.

4. Registrace u NÚKIB

Povinnost registrace u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je jednou z prvních konkrétních povinností, která z zákona 264/2025 Sb. vyplývá.

Registrace a komunikace s NÚKIB

Provedena právní analýza — potvrzeno, zda firma je zásadní nebo důležitý subjekt dle přílohy I nebo II zákona Bez právního potvrzení riskujete buď zbytečné plnění nebo opomenutí povinnosti.

Firma zaregistrována v Portálu NÚKIB (portal.nukib.gov.cz) včetně vyplnění povinných údajů Registrace je zákonná povinnost. Termíny dle kategorie subjektu — nezmeškejte.

Určena kontaktní osoba pro komunikaci s NÚKIB (24/7 dostupnost pro hlášení incidentů) NÚKIB vyžaduje kontakt dostupný i mimo pracovní dobu pro urgentní incidenty.

Znám postup a termíny pro hlášení kybernetických bezpečnostních incidentů NÚKIB Zákon stanoví povinnost hlásit závažné incidenty do 24 hodin od detekce (Early warning), plné hlášení do 72 hodin.

Zaregistrováno ke komunikaci s GovCERT.cz (vládní bezpečnostní tým ČR) GovCERT distribuuje upozornění na aktuální hrozby relevantní pro regulované subjekty.

Jak postupovat dále?

Pokud jste zaškrtli méně než polovinu položek, doporučujeme okamžitě spustit strukturovaný gap analýzový proces. Začněte bezplatným online auditem na nis2ok.cz, který vám za 10 minut ukáže prioritní oblasti. Pro hloubkovou gap analýzu a sestavení akčního plánu se obraťte na NIS2Expert.cz. Pokud potřebujete certifikovaného manažera kybernetické bezpečnosti, navštivte NIS2Manager.cz.