Představ si, že jsi firma. Jedeš si svoje podnikání, máš vlastní web, maily, nějakou infrastrukturu, možná i databáze zákazníků. A zatímco se snažíš růst, někdo jiný se snaží dostat dovnitř. Někdo, kdo nečeká na Black Friday, ale hackuje. Právě proto přichází do hry NIS2 – evropská směrnice, která zásadně zpřísňuje pravidla pro firmy napříč Evropou. A od listopadu 2025 začal platit i v Česku nový zákon, který ji uvádí do praxe.
Tak si pojďme rozebrat, co se vlastně děje a koho se to celé týká. Protože spoiler: není to jen o IT oddělení.
Co je NIS2 a proč se s tím vůbec zatěžovat?
NIS2 (Network and Information Security) je upgrade původní evropské směrnice, která měla chránit klíčové digitální služby před kyberútoky. Jenže svět se změnil – útoky jsou častější, sofistikovanější a dotýkají se nejen vládních systémů, ale i soukromých firem a jejich zákazníků.
Proto EU rozhodla: zpřísníme to, rozšíříme to a začneme to vymáhat pořádně.
Kdo se pod nový zákon dostane?
Tohle je klíčové. Už to nejsou jen velké elektrárny, banky a nemocnice. Nově sem spadají i dopravní firmy, e-shopy, poskytovatelé internetu, zdravotnictví, veřejná správa, vodárenství… a spousta dalších. Celkem se v Česku odhaduje, že regulaci NIS2 bude podléhat přes 9 000 firem.
Jestli máš firmu s více než 50 zaměstnanci nebo roční obrat nad 10 milionů eur a podnikáš v některém z „kritických“ odvětví – dost pravděpodobně spadáš do nové kategorie povinných subjektů.
A co musí taková firma dělat?
Zjednodušeně? Uklidit si v digitálním světě. A to pořádně.
Nový zákon zavádí tři fáze:
- Identifikace – firma se musí do 60 dnů od začátku účinnosti zákona přihlásit k regulaci (tzv. sebeidentifikace) u NÚKIBu, což je Národní úřad pro kyber a informační bezpečnost.
- Implementace a dokumentace – vyhodnotit rizika, vytvořit plány pro případ útoků, nastavit technická opatření, zálohování, školení zaměstnanců atd.
- Ověření odolnosti – ať už interně nebo externím auditem ověřit, že je firma fakt připravená.
Co konkrétně se bude muset změnit?
Těch povinností není málo. Mezi hlavní patří:
- zavedení plánu řízení rizik a krizových scénářů
- monitoring hrozeb a incidentů, který běží 24/7
- školení zaměstnanců v oblasti kyberbezpečnosti
- použití technologií jako šifrování, firewally, antiviry, zálohy
- dohled nad dodavateli, aby vám problém nevnikl přes někoho třetího
- schopnost nahlásit incident do 24 hodin (žádné „až to doděláme“)
A pokud to všechno firma neudělá? Může to bolet. A to hodně.
Jaké hrozí pokuty?
Pokuty jsou takové, že i velké firmy se začínají potit. Až 10 milionů eur nebo 2 % z celosvětového ročního obratu. Platí ta vyšší částka. Takže žádné „to nějak obejdeme“.
Navíc zákon už nemluví o „bez zbytečného odkladu“, ale přesně definuje, do kdy co musí být hotovo. Například hlášení incidentu do 24 hodin je povinnost, ne doporučení.
Dotkne se to i běžných lidí?
Nepřímo ano. Třeba přes vyšší ceny služeb, protože zavést všechny tyto systémy něco stojí a firmy to musí z něčeho zaplatit. Takže letenky, internet, jízdenky, zdravotní služby, ale i běžné eshopy, tam všude může dojít ke zdražení.
Na druhou stranu to znamená lepší ochranu dat, bezpečnější platby, kvalitnější přístup k digitálním službám. Což se hodí zejména když si uvědomíme, kolik podvodných mailů a phishingových pokusů na nás denně míří.
Pokud vám ale záleží na tom, co se s vašimi daty děje i mimo firemní prostředí, je fajn uvažovat o něčem tak jednoduchém, jako je VPN. Sám používám NordVPN a Surfshark podle zařízení a země, kam se připojuju, ale spolehlivě fungují i ExpressVPN, CyberGhost nebo PIA. Díky nim si můžete zajistit vlastní vrstvu ochrany, hlavně když se připojujete na veřejné WiFi nebo cestujete.
| Název VPN | Sleva a nabídka | Odkaz pro vyzkoušení |
|---|---|---|
| Surfshark | 86% sleva + 4 měsíce zdarma | Vyzkoušet |
| NordVPN | 77% sleva + 3 měsíce zdarma | Vyzkoušet |
| ExpressVPN | 73% sleva + 4 měsíce zdarma | Vyzkoušet |
| CyberGhost | 82% sleva + 4 měsíce zdarma | Vyzkoušet |
| Private Internet Access | 85% sleva + 4 měsíce zdarma | Vyzkoušet |
Co teď? Má smysl to řešit už teď?
Určitě. Pokud jsi firma, která do této regulace potenciálně spadá, nemá cenu čekat na poslední chvíli. Největší problém nebude zavést technologie, ale změnit myšlení. A to zabere čas.
Spousta firem se do toho pustila už letos, dělají bezpečnostní audity, kontrolují dodavatele, zavádějí nové systémy, školí lidi. Pokud si nejsi jistý, můžeš využít nástroje typu „NIS2 Assessment Tool“, které ti pomůžou zhodnotit, jak na tom jsi a co všechno bude potřeba udělat.
Shrnutí na závěr
NIS2 a nový český zákon o kybernetické bezpečnosti nejsou jen papír navíc. Je to reálná změna přístupu k bezpečnosti. A hlavně povinnost, kterou už nepůjde přehlížet.
Z digitální bezpečnosti se stává něco, co už není jen „IT záležitost“. Týká se celého byznysu. A jak se říká, kdo je připraven, není překvapen.
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
