V oblasti kybernetické bezpečnosti se dva pojmy skloňují nejčastěji: ISO 27001 a NIS2. Firmy se ptají, zda jedna věc nahrazuje druhou, zda stačí mít certifikát ISO a splnili jste zákon, nebo naopak – zda povinnosti NIS2 pokryjí vše potřebné pro ISO certifikaci. Pravda je komplikovanější a závisí na vaší situaci.
Co je ISO 27001?
ISO/IEC 27001 je mezinárodní standard pro řízení bezpečnosti informací (Information Security Management System, ISMS). Jde o dobrovolnou certifikaci vydávanou akreditovanými certifikačními orgány. Standard definuje systémový přístup k ochraně informačních aktiv a pokrývá celý životní cyklus řízení bezpečnosti – od politiky přes implementaci opatření až po pravidelné přezkoumání a zlepšování.
ISO 27001 funguje na principu PDCA cyklu (Plan-Do-Check-Act) a obsahuje 93 kontrolních opatření rozdělených do 4 témat: organizační, personální, fyzická a technologická opatření. Certifikace je platná tři roky s ročními dozorčími audity a vyžaduje prokazatelné zavedení ISMS, nikoliv jen dokumentaci.
Kdo ji typicky získává: Firmy, které chtějí prokázat zákazníkům nebo partnerům vysokou úroveň bezpečnosti, poskytovatelé cloudových a IT služeb, firmy ucházející se o veřejné zakázky ve státní správě.
Co je NIS2?
NIS2 je zákonná povinnost vyplývající ze směrnice EU 2022/2555, implementované v České republice zákonem č. 264/2025 Sb. o kybernetické bezpečnosti. Na rozdíl od ISO 27001 nejde o certifikaci, ale o regulatorní rámec – pokud vaše organizace spadá pod zákon, musíte splnit jeho požadavky bez ohledu na to, zda to chcete, nebo ne.
NIS2 se vztahuje na přibližně 6 000 organizací v ČR v 18 regulovaných sektorech (energetika, zdravotnictví, doprava, digitální infrastruktura a další). Požadavky jsou specifikovány ve vyhlášce č. 409/2025 Sb., která definuje 13 oblastí bezpečnostních opatření. Za nesplnění hrozí pokuty až 250 milionů Kč nebo 2 % celosvětového obratu.
Kde se NIS2 a ISO 27001 překrývají?
Oba rámce sdílejí společné jádro – systematický přístup k bezpečnosti informací. Konkrétní překryvy jsou tyto:
| Oblast | ISO 27001 | NIS2 / vyhláška 409/2025 |
|---|---|---|
| Řízení rizik | Povinná součást ISMS (klauzule 6.1) | Oblast 1 – Řízení rizik kybernetické bezpečnosti |
| Incident response | Kontrolní opatření 5.26, 5.27 | Oblast 9 – Zvládání kybernetických incidentů |
| Bezpečnost dodavatelů | Kontrolní opatření 5.19–5.22 | Oblast 2 – Bezpečnost dodavatelského řetězce |
| Řízení přístupu | Kontrolní opatření 5.15–5.18, 8.2–8.5 | Oblast 4 – Řízení přístupu a autentizace |
| Kryptografie | Kontrolní opatření 8.24 | Oblast 6 – Kryptografie a šifrování |
| Školení zaměstnanců | Klauzule 7.2, 7.3 | Oblast 11 – Školení a osvěta |
| BCM/Kontinuita | Kontrolní opatření 5.29, 5.30 | Oblast 10 – Kontinuita činností |
Klíčové rozdíly
1. Dobrovolné vs. povinné
ISO 27001 je certifikace, o níž se rozhodujete dobrovolně na základě obchodního přínosu. NIS2 je zákon – pokud pod něj spadáte, nemáte na výběr. Toto je nejdůležitější rozdíl, který ovlivňuje veškerá rozhodování.
2. Globální standard vs. EU regulace
ISO 27001 je mezinárodní norma uznávaná po celém světě, vhodná pro prokázání bezpečnosti globálním zákazníkům a partnerům. NIS2 platí výhradně v EU a zaměřuje se na kybernetickou odolnost sítí a informačních systémů v regulovaných sektorech.
3. Rozsah povinností
ISO 27001 pokrývá celou organizaci (nebo definovaný scope ISMS). NIS2 se zaměřuje specificky na kybernetickou odolnost klíčových a důležitých služeb. NIS2 navíc explicitně přidává povinnosti jako: hlášení incidentů NÚKIB do 24 hodin, registrace u regulátora, jmenování manažera kybernetické bezpečnosti a odpovědnost statutárního orgánu.
4. Incidentní reporting
ISO 27001 vyžaduje interní postupy pro řízení incidentů. NIS2 jde dál – přidává zákonnou povinnost hlásit závažné incidenty regulátorovi (NÚKIB) ve striktních lhůtách: počáteční oznámení do 24 hodin, podrobná zpráva do 72 hodin.
Pomůže ISO 27001 certifikace splnit NIS2?
Ano, ale nestačí sama o sobě. ISO 27001 certifikace vám dává velmi solidní základ – pokrývá velkou část požadavků NIS2 na technická a organizační opatření. Firmy s funkčním ISMS mají při zavádění NIS2 compliance výrazně méně práce.
Co vám ale ISO 27001 sám o sobě nezajistí:
- Registraci u NÚKIB jako regulovaný subjekt
- Splnění lhůt pro hlášení incidentů regulátorovi
- Jmenování manažera kybernetické bezpečnosti dle požadavků zákona
- Odpovědnost statutárního orgánu za kybernetickou bezpečnost (explicitní požadavek NIS2)
- Specifické technické požadavky dle vyhlášky 409/2025 pro váš sektor
Doporučení pro různé typy firem
Firma bez ISO 27001, povinná splnit NIS2
Zaměřte se primárně na splnění NIS2 požadavků dle vyhlášky 409/2025. ISO 27001 certifikace může být strategickým cílem pro budoucnost, ale není nezbytná pro zákonnou shodu. Začněte NIS2 auditem a gap analýzou.
Firma s ISO 27001, povinná splnit NIS2
Máte výborný základ. Proveďte gap analýzu, která identifikuje specifické NIS2 požadavky, jež ISO 27001 nepokrývá (zejména reporting, registrace, role manažera KB). Pak doplňte chybějící prvky a propojte oba rámce do konzistentního systému.
Firma s ISO 27001, NIS2 se jí netýká
ISO 27001 certifikace je pro vás správnou cestou k prokázání bezpečnosti zákazníkům a partnerům. NIS2 požadavky sledujte průběžně – s rozšiřováním sektorů se regulace může dotknout i vás v budoucnosti.
Firma bez obou, NIS2 se jí týká
Prioritou je splnění zákonných povinností NIS2. Zvažte rovněž ISO 27001 cestu, pokud obchodní prostředí vyžaduje prokazatelnou bezpečnost. Vhodný postup: nejprve NIS2 compliance, poté případná ISO certifikace, která na NIS2 práci naváže a přidá globální uznání.
Závěr: Dva nástroje pro jeden cíl
ISO 27001 a NIS2 nejsou konkurenti – jsou to komplementární rámce. ISO 27001 je nástroj pro systematické řízení bezpečnosti, který si firmy volí dobrovolně pro byznysový přínos. NIS2 je zákonná povinnost pro regulované sektory s konkrétními sankcemi za nesplnění.
Nejlepší přístup kombinuje obojí: ISMS dle ISO 27001 jako základ a NIS2 specifická opatření a procesy jako nadstavbu pro regulatorní shodu. Výsledkem je silnější bezpečnostní pozice a zároveň splněné zákonné povinnosti.
Chcete vědět, kde přesně stojíte? Spusťte bezplatný NIS2 audit na nis2ok.cz nebo si přečtěte náš průvodce jak provést NIS2 audit sami.