Jednou z nejčastějších otázek, které slýcháme od ředitelů firem a členů představenstev, je: „Co se nám reálně stane, když NIS2 nesplníme?" Odpověď není příjemná. Zákon č. 264/2025 Sb. zavedl jeden z nejpřísnějších sankčních režimů v historii české regulace kybernetické bezpečnosti – a na rozdíl od GDPR je zde osobní odpovědnost managementu explicitně zakotvena přímo v zákoně.
Tento článek vysvětluje, kdo pokuty vymáhá, jaká jsou konkrétní čísla a co hrozí konkrétním lidem – nikoli jen firmě jako abstraktnímu subjektu.
NÚKIB: regulátor s reálnými zuby
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je hlavním dozorovým orgánem pro provádění zákona 264/2025 Sb. Na rozdíl od předchozí právní úpravy má NÚKIB nyní výrazně posílené pravomoci, které zahrnují:
- Provádění kontrol na místě bez předchozího upozornění u zásadních subjektů (Příloha I)
- Vyžadování dokumentace – veškerých politik, analýz rizik, záznamů o incidentech a auditů
- Nařizování nápravných opatření s konkrétními lhůtami
- Dočasný zákaz provozu systémů nebo služeb v případě bezprostředního ohrožení
- Ukládání pokut správním rozhodnutím
- Podávání podnětů k trestnímu řízení při podezření na trestný čin
Důležité je pochopit, že NÚKIB nekontroluje jen tehdy, když se něco stane. Plánované i neplánované kontroly mohou probíhat i u firem, které žádný incident nenahlásily. Samotná absence registrace nebo nesplnění povinnosti nahlásit incident je samostatným důvodem pro zahájení řízení.
Výše pokut: přesná čísla
Zákon rozlišuje dvě základní kategorie regulovaných subjektů a pro každou stanoví jiný strop pokut. Sankce jsou vždy vyměřovány jako vyšší z obou hodnot – absolutní limit nebo procentuální podíl z obratu.
| Kategorie subjektu | Maximální pokuta (absolutní) | Maximální pokuta (% obratu) |
|---|---|---|
| Zásadní subjekt (Příloha I) | 250 000 000 Kč | 2 % celosvětového ročního obratu |
| Důležitý subjekt (Příloha II) | 125 000 000 Kč | 1,4 % celosvětového ročního obratu |
Pro firmu s celosvětovým obratem 500 milionů Kč tedy maximální pokuta jako zásadní subjekt činí 10 milionů Kč (2 % z 500 mil.). Pro firmu s obratem 20 miliard Kč se uplatní absolutní strop 250 milionů Kč.
Vedle samotné pokuty může NÚKIB uložit:
- Povinnost zveřejnit informaci o porušení povinnosti (tzv. naming and shaming)
- Nápravná opatření s konkrétními termíny a sankcí za prodlení
- Při opakovaném nebo závažném porušení dočasné omezení nebo zákaz poskytování služby
Osobní odpovědnost managementu
Toto je aspekt, který mnozí ředitelé a členové představenstev stále podceňují. Zákon 264/2025 Sb. zavedl přímou osobní odpovědnost vedoucích osob – a to ve dvou rovinách.
1. Správní delikt vedoucí osoby
Pokud vedoucí osoba (člen statutárního orgánu, ředitel, prokurista nebo jiná osoba s rozhodovací pravomocí) závažně poruší nebo dlouhodobě opomíjí povinnosti plynoucí ze zákona, může NÚKIB uložit pokutu přímo fyzické osobě až do výše 5 000 000 Kč.
2. Dočasný zákaz výkonu funkce
Nejvážnější sankcí pro management je možnost NÚKIB navrhnout soudu dočasný zákaz výkonu řídící funkce. Toto opatření lze uplatnit tehdy, když:
- Firma opakovaně nebo závažně porušuje zákon a vedení bylo prokazatelně informováno
- Vedení aktivně bránilo nebo ztěžovalo výkon kontrolní činnosti NÚKIB
- Existuje bezprostřední hrozba závažného kybernetického incidentu v důsledku zanedbání povinností
Zákaz výkonu funkce není pouze symbolický trest – znamená, že dotčená osoba nesmí po dobu jeho trvání zastávat žádnou vedoucí pozici v jakékoli regulované organizaci. Délka zákazu se pohybuje od 3 měsíců do 2 let.
Jak vymáhání probíhá v praxi
Kontrolní proces NÚKIB má standardně několik fází:
- Oznámení o zahájení kontroly (u plánovaných kontrol; neplánované kontroly u zásadních subjektů probíhají bez předchozího oznámení)
- Sběr dokumentace – NÚKIB vyžaduje předložení politik, analýz rizik, záznamů o incidentech, výsledků auditů
- Kontrola na místě – inspektoři procházejí prostředí, provádějí pohovory s klíčovými pracovníky
- Protokol z kontroly – popis zjištění s lhůtou pro vyjádření kontrolovaného subjektu
- Nápravné opatření nebo zahájení správního řízení – při zjištění porušení zákona
- Rozhodnutí o pokutě – s odvolacím řízením dle správního řádu
Celý proces od zahájení kontroly do pravomocného rozhodnutí trvá typicky 6–18 měsíců. Pokuty jsou splatné po nabytí právní moci rozhodnutí.
Nejčastější důvody pro zahájení řízení
Na základě zkušeností z EU zemí, kde NIS2 vstoupilo v platnost dříve, jsou nejčastějšími spouštěči kontroly nebo řízení:
- Nenahlášení závažného incidentu ve stanovené lhůtě (24 hodin pro předběžné hlášení, 72 hodin pro podrobné)
- Absence registrace u regulátora přesto, že firma splňuje kritéria regulovaného subjektu
- Zjištění závažné bezpečnostní mezery při incidentu nebo na základě informace od třetí strany
- Opakované hlášení incidentů stejného typu – signalizuje neschopnost systémové nápravy
- Informace od zaměstnanců nebo dodavatelů o hrubém zanedbání bezpečnosti
Jak se připravit ještě dnes
Nejlepší obranou je proaktivní přístup. Než přijde kontrola NÚKIB, doporučujeme:
- Provést interní gap analýzu nebo využít bezplatný audit na nis2ok.cz
- Zajistit, aby vedení firmy bylo prokazatelně seznámeno s požadavky zákona a svou osobní odpovědností
- Sestavit a schválit základní bezpečnostní dokumentaci (politika, analýza rizik, plán reakce na incidenty)
- Nastavit proces hlášení incidentů NÚKIB s jasnou odpovědností a lhůtami
- V případě nejasností ohledně kategorizace nebo povinností konzultovat s odborníkem – nis2expert.cz
Pro průběžné sledování stavu compliance a přípravu na audit doporučujeme nástroj nis2manager.cz, který pomáhá organizacím udržovat přehled o plnění povinností a připravovat dokladovou dokumentaci.