V evropských zemích představuje směrnice NIS2 zásadní změnu v oblasti kybernetické bezpečnosti. Rozšiřuje okruh povinných subjektů, zpřísňuje pravidla pro řízení rizik a hlášení incidentů a dává větší odpovědnost managementu. Pro firmy to znamená nejen nové povinnosti, ale také příležitost zvýšit svou odolnost a důvěryhodnost na trhu.
Koho se NIS2 týká
Pod směrnici NIS2 spadají nejen firmy kritické infrastruktury, ale také tzv. „významné subjekty“. To jsou organizace, které mají alespoň 50 zaměstnanců nebo dosahují obratu či bilanční sumy nad 10 milionů EUR. Regulace se vztahuje na široké spektrum odvětví, včetně digitálních poskytovatelů, logistiky, energetiky, potravinářství či výroby zdravotnických prostředků.
Je zásadní, aby si organizace uvědomily svou roli v tomto novém regulačním rámci a začaly včas podnikat kroky k zajištění souladu s NIS2. Tím mohou nejen splnit zákonné povinnosti, ale také posílit svou pozici na trhu jako důvěryhodní partneři v oblasti bezpečnosti.
Stav implementace v jednotlivých zemích
Belgie
NIS2 je v platnosti od října 2024. Belgie vytvořila vlastní rámec „CyFun“, který kombinuje prvky NIST, ISO 27001 a dalších standardů. Dozor vykonává Centrum pro kybernetickou bezpečnost Belgie. Zajímavostí je vysoký důraz na chemický průmysl a detailně definovaný proces hlášení incidentů.
Bulharsko
Zákon je zatím ve fázi návrhu. Očekává se přijetí během roku 2025. Návrh vylučuje veřejnou správu a zaměřuje se hlavně na soukromý sektor. Sankce patří mezi nejvyšší v EU – až 20 milionů BGN nebo 2 % obratu.
Česká republika
Nový zákon o kybernetické bezpečnosti byl schválen v létě 2025, účinnost má od 1. listopadu 2025. Dopadne na více než 10 000 firem a zavádí dvoustupňový režim povinností (vyšší a nižší). Dozorovým orgánem je NÚKIB.
Dánsko
Zákon platí od července 2025. Nevztahuje se na energetiku, telekomunikace a finance (ty mají vlastní regulace). Povinnosti jsou přísně vázané na registraci a hlášení incidentů do 24–72 hodin. Sankce dosahují až 10 milionů EUR.
Estonsko
Transpozice je zpožděná kvůli politické situaci. Zákon je zatím v připomínkovém řízení. Estonsko ale už má od roku 2018 robustní kybernetický zákon, který NIS2 doplňuje. Nově se pod regulaci dostane dalších cca 2 000 firem.
Francie
NIS2 je zatím ve fázi návrhu zákona. Počet regulovaných subjektů naroste z 500 na více než 10 000. Dozorovým orgánem bude ANSSI. Francie propojuje NIS2 s dalšími předpisy v rámci legislativního balíčku „Loi Résilience“.
Německo
NIS2 zatím není schváleno, projednávání brzdí politická situace. Návrh zavádí i novou kategorii „subjekty se zvláštním veřejným zájmem“. Dozor bude mít BSI (Spolkový úřad pro bezpečnost informační techniky). Zajímavostí je povinnost zavést systémy detekce útoků a monitoring pro všechny regulované firmy.
Řecko
Zákon platí od ledna 2025. Obsahuje přísné povinnosti v oblasti řízení rizik a dodavatelského řetězce. Definuje i novou roli ICSO (Information and Communication Security Officer). Pokuty dosahují až 10 milionů EUR nebo 2 % obratu.
Maďarsko
Zákon v platnosti od října 2024, ale chybí část prováděcí legislativy. Povinný je externí audit kybernetické bezpečnosti každé dva roky. Výjimkou je, že bankovní sektor je vyňat – spadá pod DORA.
Itálie
Transpozice proběhla už v dubnu 2024. Itálie využívá rámec FNCS, který vychází z NIST CSF 2.0. Požadavky se postupně zpřísní do roku 2026. Dozor má ACN (Agenzia per la Cybersicurezza Nazionale). Pokuty se pohybují do 10 milionů EUR.
Lotyšsko
Zákon platí od září 2024. Zavádí i kategorii „držitelé kritické infrastruktury ICT“. Specifikem je povinnost každoročně předkládat hodnocení vyspělosti kybernetických opatření. Dozor vykonává Národní centrum kybernetické bezpečnosti.
Litva
Zákon platí od října 2024 a vychází z rámce ISO 27001. Obsahuje i požadavky na bezpečnost dodavatelského řetězce a školení personálu. Dozor má Národní centrum kybernetické bezpečnosti pod Ministerstvem obrany.
Nizozemsko
Zákon je zatím v návrhu. Návrh umožňuje dobrovolnou registraci subjektů od října 2024. Dozor má NCSC a Ministerstvo spravedlnosti a bezpečnosti. Sankce jsou nižší než v jiných zemích – až 1 milion EUR pro méně závažná porušení.
Polsko
Zákon je v legislativním procesu, návrh z dubna 2024. Povinná bude registrace subjektů do centrálního registru vedeného Ministerstvem pro digitalizaci. Polsko definuje tři typy incidentů: běžné, závažné a kritické.
Rumunsko
Zákon platí od ledna 2025. Rámec se opírá o ISO 27001 a NIST 800-53. Firmy musí každý rok provádět sebehodnocení a připravit plán nápravy. Registrace probíhá přes národní platformu NIS2@RO.
Španělsko
Návrh zákona je zatím v legislativním procesu. Navíc rozšiřuje působnost na jaderný průmysl a soukromé bezpečnostní služby. Dozor bude mít CNC a specializované CSIRT týmy (včetně CCN-CERT a INCIBE).
Švédsko
Zákon je ve fázi návrhu, účinnost se očekává od ledna 2026. Transpozice je beze změn oproti NIS2. Dozor bude mít MSB (Švédská agentura pro civilní mimořádné události), spolu se sektorovými orgány. Sankce jsou podobné jako v ostatních státech – až 10 milionů EUR.
Shrnutí hlavních rozdílů
- Rychlí implementátoři: Itálie, Maďarsko, Lotyšsko, Litva
- Čerstvě přijaté zákony: ČR (účinnost od listopadu 2025), Rumunsko, Řecko, Dánsko
- Země, které si dávají načas: Francie, Německo, Estonsko, Polsko, Nizozemsko, Španělsko, Švédsko
- Specifika:
-
- Belgie – vlastní rámec CyFun
-
- Maďarsko – povinný externí audit každé 2 roky
-
- Řecko – nová role ICSO
-
- Itálie – rámec FNCS založený na NIST 2.0
-
- Lotyšsko – povinné každoroční sebehodnocení
-
- Španělsko – rozšíření na jaderný průmysl
Základní legislativní povinnosti podle českého zákona o kybernetické bezpečnosti
Bez ohledu na to, zda firma spadá do vyššího nebo nižšího režimu, musí splnit několik základních kroků:
- Oznámení regulované služby elektronickým formulářem na portálu NÚKIB
- Oznámení kontaktních údajů do 30 dnů od registrace
- Určení rozsahu řízení kybernetické bezpečnosti
- Zavedení bezpečnostních opatření dle platné legislativy
- Hlášení incidentů kybernetické bezpečnosti
- Bezodkladné plnění případných protiopatření vydaných NÚKIB
Každý z těchto kroků vyžaduje pečlivou přípravu a koordinaci mezi různými odděleními v rámci společnosti. Zvláště důležité je, aby firmy měly jasně definované interní postupy pro hlášení incidentů, což může výrazně zkrátit reakční dobu a minimalizovat škody.
Jak se připravit na českou variantu směrnice NIS2? Stáhněte si e-book.
Závěr
Implementace NIS2 postupuje v Evropě různým tempem. Zatímco některé státy už mají zákony v platnosti a firmy se připravují na kontroly, jiné země se teprve potýkají s legislativním procesem. Pro organizace je proto důležité sledovat nejen evropský rámec, ale i národní specifika. Včasná příprava pomůže předejít sankcím a posílit důvěryhodnost firmy v kyberneticky propojeném světě.
