Jaký je vztah NIS2 a NÚKIB?

NIS2 je evropská směrnice (EU 2022/2555), která stanovuje minimální požadavky na kybernetickou bezpečnost pro členské státy EU. NÚKIB je český národní orgán, který NIS2 implementoval do zákona 264/2025 Sb. a dohlíží na jeho plnění v ČR.

Musím komunikovat přímo s NÚKIB kvůli NIS2?

Ano, pokud jste regulovaný subjekt dle NIS2. Musíte se zaregistrovat u NÚKIB, hlásit závažné kybernetické incidenty (do 24 hodin) a v případě kontroly spolupracovat s úřadem. NÚKIB je vaším přímým regulátorem pro oblast kybernetické bezpečnosti.

Co hrozí, když nesplním NIS2 povinnosti?

NÚKIB může uložit pokutu až 250 milionů Kč pro zásadní subjekty nebo 125 milionů Kč pro důležité subjekty. Osobní odpovědnost nesou i členové statutárního orgánu. NÚKIB může také nařídit pozastavení certifikací nebo provozu.

NIS2 a NÚKIB: jak spolu souvisí a co to znamená pro firmy

Pokud se v poslední době setkáváte s pojmy NIS2 a NÚKIB a nejste si jisti, jak spolu souvisí — nejste sami. Zmatek panuje i mezi manažery firem, které mají zákonnou povinnost obě témata řešit. Zjednodušeně: NIS2 je pravidlo hry, NÚKIB je rozhodčí.

NIS2: evropský zákon o kybernetické bezpečnosti

NIS2 (Network and Information Security Directive 2, EU 2022/2555) je evropská směrnice, která nahradila původní NIS1 z roku 2016. Její cíl je zvýšit úroveň kybernetické bezpečnosti v celé Evropské unii a zajistit, aby kritické sektory ve všech členských státech plnily podobné bezpečnostní standardy.

Klíčové charakteristiky NIS2:

Platí pro cca 160 000 organizací napříč EU v 18 sektorech
Rozlišuje zásadní subjekty (essential entities) a důležité subjekty (important entities)
Stanovuje minimální bezpečnostní opatření: řízení rizik, incident response, dodavatelský řetězec, školení, MFA, šifrování
Vyžaduje hlášení incidentů do 24 hodin od zjištění
Zavádí osobní odpovědnost managementu

Sama o sobě je NIS2 evropská směrnice — tedy instrukce pro členské státy, jak upravit svou legislativu. Firmy se NIS2 neřídí přímo, ale prostřednictvím národního zákona, který ji implementuje.

Jak ČR implementovala NIS2?

V České republice implementoval NIS2 zákon č. 264/2025 Sb. o kybernetické bezpečnosti, který vstoupil v účinnost v říjnu 2025. Doplňuje ho prováděcí vyhláška č. 409/2025 Sb., která detailně specifikuje technická a organizační opatření.

Zákon 264/2025 Sb. v některých ohledech jde i nad rámec NIS2 — přizpůsobuje požadavky české realitě, definuje konkrétní termíny a specifikuje podmínky pro kategorizaci subjektů.

NÚKIB: národní regulátor pro NIS2

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) je orgán, který zákon 264/2025 Sb. vykonává. Je to správní orgán — regulátor — stejně jako ČNB pro bankovnictví nebo ČTÚ pro telekomunikace.

Konkrétní role NÚKIB v kontextu NIS2:

Správa registru subjektů — vede seznam všech regulovaných subjektů v ČR
Přijímá registrace — firmy se k NIS2 registrují u NÚKIB, ne u EU
Přijímá hlášení incidentů — závažné kybernetické incidenty hlásíte NÚKIB
Provádí kontroly — na místě nebo na dálku ověřuje plnění povinností
Uděluje sankce — za porušení zákona 264/2025 Sb.
Vydává varování a doporučení — průběžné informace o hrozbách
Koordinuje reakci na incidenty — při rozsáhlých útocích na kritickou infrastrukturu

Časová osa: od NIS2 k vaší registraci

Prosinec 2022 — NIS2 schválena EU Evropský parlament schválil směrnici EU 2022/2555. Členské státy dostaly 21 měsíců na implementaci do národní legislativy.

Říjen 2025 — zákon 264/2025 Sb. vstupuje v účinnost Česká implementace NIS2 začíná platit. Firmy jsou od tohoto okamžiku povinny zahájit plnění povinností.

Do konce roku 2025 — povinná registrace u NÚKIB Stávající regulované subjekty musely dokončit registraci. Noví subjekty mají 3 měsíce od splnění podmínek.

2026 — postupná implementace bezpečnostních opatření Termíny pro splnění technických a organizačních opatření dle kategorie subjektu. NÚKIB zahajuje první kontrolní vlny.

Přímá komunikace s NÚKIB: co musíte dělat?

Jako regulovaný subjekt budete mít s NÚKIB aktivní vztah — ne jen pasivně plnit zákon, ale skutečně komunikovat s úřadem:

Registrace — jednorázová, přes portál NÚKIB (nukib.gov.cz)
Hlášení incidentů — povinnost do 24 hodin od zjištění závažného incidentu, detailní zpráva do 72 hodin
Oznámení změn — pokud se změní klíčové informace (sektor, velikost, kontaktní osoba), musíte NÚKIB informovat
Odpověď na kontroly — spolupráce při plánovaných i neplánovaných kontrolách
Plnění závazných pokynů — pokud NÚKIB vydá pokyn, máte zákonnou povinnost ho splnit ve stanoveném termínu

NIS2 vs. NÚKIB: co je vaše priorita?

Pro praktické firemní plánování platí jednoduché pravidlo: plňte zákon 264/2025 Sb. a vyhláška 409/2025 Sb. — automaticky tak splníte NIS2. Nemusíte číst evropské směrnice — stačí česká legislativa a metodiky NÚKIB.

Klíčové oblasti, kde NÚKIB přímo ovlivňuje vaše procesy:

Registrace — bez ní jste v přestupku od října 2025
Hlášení incidentů — nehlášení závažného incidentu je samo o sobě porušením zákona
Dokumentace — NÚKIB při kontrole bude chtít vidět analýzu rizik, bezpečnostní politiku, záznamy o školeních
Správa kontaktní osoby — musí být vždy dostupná a reagovat na výzvy NÚKIB

Pro hlubší pochopení role NÚKIB si přečtěte náš úvodní článek Co je NÚKIB a co dělá. Pokud řešíte registraci, navštivte průvodce Registrace do systému NÚKIB krok za krokem.

Nejste si jisti, kde stojíte?

SecureOn provede gap analýzu vašeho stavu vůči zákonu 264/2025 Sb. a připraví konkrétní akční plán. Začněte bezplatnou konzultací nebo online auditem na nis2ok.cz.

Konzultace zdarma → Online audit →

NIS2 a NÚKIB: jak spolu souvisí a co to znamená pro vaši firmu