„Máme 35 zaměstnanců a roční tržby 80 milionů korun. Musíme splnit NIS2?" Tato otázka přichází velmi často – a odpověď je závisí na tom, v jakém odvětví podnikáte, ne jen na vaší velikosti. Zákon 264/2025 Sb. totiž obsahuje jak prahy velikosti, tak sektorové výjimky, které mohou znamenat povinnost i pro malou firmu.
Pojďme si to systematicky rozebrat.
Základní pravidlo: střední podnik jako výchozí práh
Zákon 264/2025 Sb. přejímá definici z evropské směrnice NIS2 a stanoví, že regulovaným subjektem se firma stává tehdy, pokud:
- Zaměstnává 50 nebo více zaměstnanců, NEBO
- Dosahuje ročního obratu nebo bilanční sumy 10 milionů EUR nebo více
A zároveň:
- Působí v jednom z odvětví vyjmenovaných v přílohách zákona (viz níže)
Klíčové slovo je NEBO u velikostního kritéria – stačí splnit jednu z podmínek. Firma se 40 zaměstnanci a obratem 12 milionů EUR tedy NIS2 podléhá. Firma se 60 zaměstnanci a obratem 3 miliony EUR také.
Rychlý test: Máte méně než 50 zaměstnanců A zároveň obrat pod 10 mil. EUR? Pak jste pravděpodobně mimo základní rozsah NIS2 – ale čtěte dál o sektorových výjimkách!
Dvě kategorie: zásadní vs. důležitý subjekt
Pokud prahy splňujete, zákon vás zařadí do jedné ze dvou kategorií s různou mírou povinností a dohledu:
Zásadní subjekty (Příloha I)
Jde o organizace v odvětvích s nejvyšší kritikou: energetika, doprava, bankovnictví, finanční infrastruktura, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura (DNS, TLD, datová centra, cloud), vesmírný průmysl a veřejná správa.
Zásadní subjekty podléhají ex ante dohledu – NÚKIB je může kontrolovat preventivně, bez toho, aby se cokoliv stalo. Pokuty jsou vyšší (až 250 mil. Kč nebo 2 % obratu).
Důležité subjekty (Příloha II)
Zahrnují poštovní a kurýrní služby, nakládání s odpady, chemický průmysl, výrobu potravin, výrobu (zdravotnické prostředky, elektronika, strojírenství, automobily), digitální tržiště, výzkumné organizace a další.
Důležité subjekty podléhají ex post dohledu – NÚKIB zasahuje primárně v reakci na incident nebo hlášení. Pokuty jsou nižší (až 125 mil. Kč nebo 1,4 % obratu).
Výjimky: kdy velikost nehraje roli
Toto je nejdůležitější část pro malé firmy: zákon výslovně stanoví případy, kdy se na firmu vztahuje bez ohledu na počet zaměstnanců nebo výši obratu.
Prahy velikosti se neuplatní, pokud firma:
- Je poskytovatelem kvalifikovaných důvěryhodných služeb (kvalifikované elektronické podpisy, časová razítka apod.)
- Je správcem nebo provozovatelem kritické informační infrastruktury určené Ministerstvem vnitra nebo NÚKIB
- Je registrátorem nebo správcem domén nejvyšší úrovně (TLD)
- Je poskytovatelem veřejné komunikační sítě nebo elektronické komunikační služby
- Splňuje kritéria jedinou firmou v odvětví poskytující klíčovou službu na celostátní úrovni
- Vnitrostátní orgán ji explicitně určil jako kritický subjekt
Pozor: Malá firma s 15 zaměstnanci provozující kritickou část energetické infrastruktury nebo zdravotnického informačního systému může být zásadním subjektem. Odvětví je prvořadé – velikost až druhořadá.
Dodavatelský řetězec: nepřímá povinnost
Existuje ještě jeden způsob, jak se NIS2 dotýká malých firem, aniž by na ně přímo dopadala: prostřednictvím větších zákazníků.
Zákon ukládá regulovaným subjektům povinnost řídit bezpečnostní rizika v dodavatelském řetězci. To v praxi znamená, že vaši velcí zákazníci (banky, nemocnice, energetické firmy) mohou od vás vyžadovat doklady o bezpečnostní způsobilosti – bezpečnostní dotazníky, certifikáty, penetrační testy nebo důkazy o NIS2 compliance.
I když tedy zákon 264/2025 Sb. na vás přímo nedopadá, schopnost doložit vaši bezpečnostní úroveň vám pomůže udržet a získávat zákazníky v regulovaných sektorech.
Jak si ověřit povinnost – bezplatně, za 10 minut
Nejjednodušší způsob, jak zjistit, zda vaše firma NIS2 podléhá, je využít bezplatný online nástroj nis2ok.cz. Nástroj vás provede strukturovanými otázkami o odvětví, velikosti a poskytovaných službách a na základě odpovědí vám sdělí:
- Zda jste regulovaným subjektem a v jaké kategorii
- Jaké jsou vaše registrační povinnosti a lhůty
- Základní přehled povinností, které se na vás vztahují
- Doporučení dalšího postupu
Pro složitější případy – zejména firmy na hranici prahů nebo v odvětvích s nejasným zařazením – doporučujeme konzultaci s odborníkem. Experti z nis2expert.cz vám pomohou s právním výkladem a přesnou kategorizací.
Co dělat, když NIS2 podléháte
Pokud jste zjistili, že zákon na vás dopadá, nezačínejte panikou. Zákon sice stanoví povinnosti, ale přístupem „krok za krokem" je lze systematicky splnit. Doporučujeme:
- Zaregistrovat se v evidenci NÚKIB (lhůty závisí na kategorii subjektu)
- Provést inventář aktiv a první analýzu rizik
- Projít NIS2 checklist 20 kroků a identifikovat největší mezery
- Sestavit akční plán náprav s prioritami a odpovědnostmi
- Nastavit proces hlášení incidentů
Pro malé firmy, které NIS2 podléhají, je klíčem proporcionální přístup – zákon sám zdůrazňuje, že opatření musí být přiměřená velikosti, zdrojům a míře rizika organizace. Nemusíte budovat bezpečnostní centrum jako velká banka, ale musíte prokázat systematický přístup ke kybernetické bezpečnosti.