Blog
Koho se týká nový Zákon o Kybernetické Bezpečnosti? Kompletní průvodce sektory, limity a výjimkami

Koho se týká nový Zákon o Kybernetické Bezpečnosti? Kompletní průvodce sektory, limity a výjimkami

David Martínek
10 min čtení

Proč znát svou kategorii ještě před příchodem auditorů

Směrnice NIS2 výrazně rozšiřuje okruh organizací, které musí prokazovat kybernetickou odolnost. Už nejde jen o kritickou infrastrukturu a banky – přibývají výrobní podniky střední velikosti, poskytovatelé digitálních služeb i menší firmy, pro které bývala regulace okrajovou záležitostí.

Rychlý odhad: podle analýz NÚKIBu přibude v ČR 6-12 tisíc nově regulovaných subjektů. Většina se o svých povinnostech dozví pozdě – často až ve chvíli, kdy do datové schránky dorazí auditorský dotazník.

Vyplatí se tedy předem zjistit, kam na mapě NIS2 patříte, a včas vyčlenit rozpočet i kapacity.

Dvě kategorie, dva režimy dohledu

Essential = subjekty poskytující klíčovou službu pro chod státu.
Important = organizace, jejichž výpadek má značný, ale ne existenční dopad.

Kategorie Typické sektory Příklady organizací Dohled státu & pokuty
Essential entities Energie, plyn, voda, zdravotnictví, doprava, banky, digitální infrastruktura ČEZ Distribuce, Správa železnic, VZP, páteřní datoví operátoři Přímý dohled NÚKIBu;
kontroly na místě;
pokuty až
10 mil. € / 2 %
globálního obratu
Important entities Výroba (chemie, potraviny, kovovýroba), poštovní služby, odpadové hospodářství Madeta, Česká pošta, EKO-KOM, cloudový hosting pro e-shopové systémy Dohled spíše ex post;
kontrola přichází po incidentu či na podnět
ICT B2B služby, digitální platformy

Velikostní kritéria („50+ / 10 / 10“)

NIS2 zavádí univerzální velikostní práh (👥 50+ / 💶 10 mil. € / 🏦 10 mil. €). Pokud působíte v uvedeném sektoru a překročíte alespoň jednu z hodnot, stáváte se regulovanou entitou.

  • ≥ 50 zaměstnanců

  • ≥ 10 mil. € ročního obratu

  • ≥ 10 mil. € bilanční sumy

Detailní vymezení řeší zákon a prováděcí předpisy

Mikro a malé podniky (pod 50 zaměstnanců a pod 10 mil. € obratu) jsou v zásadě vyňaty, ale výjimka neplatí, pokud poskytují službu kritické infrastruktuře.

Příklady z praxe

Scénář Zařazení Důvod
Mléčný závod, 300 zaměstnanců, obrat 42 mil. € important Překročen limit zaměstnanců; sektor „výroba potravin“
Krajská nemocnice, 180 zaměstnanců, obrat 25 mil. € essential Zdravotnictví je kritický sektor, velikost nehraje roli
FinTech startup, 90 zaměstnanců, obrat 18 mil. €, platební brána important Digitální platební služba spadá do Annexu II
Místní vodárna, 35 zaměstnanců, obrat 9 mil. € essential Provoz kritické infrastruktury „zásobování vodou“

Specifika pro Českou republiku (navrhovaná/indikativní)

Český transpoziční zákon (květen 2025) přebírá evropské kategorie, ale zpřesňuje lokální prahy v připravovaných vyhláškách NÚKIBu a MMR:

  1. Energetika: essential už od 10 000 odběrných míst nebo 150 GWh roční dodávky.

  2. Doprava: essential pro městskou MHD s > 50 vozidly a > 1 mil. cestujících ročně.

  3. Potravinářství: important od kapacity 30 000 t/rok, bez ohledu na obrat.

  4. ICT služby: cloud provider s > 100 firemními klienty přechází do režimu important.

Důsledek: Firma, která by v jiné zemi spadala do výjimky, může být v ČR regulovaná.

Jak zjistit svou kategorii – 5 kroků

  1. Určete odvětví podle hlavní i vedlejší činnosti (NACE kódy).

  2. Shromážděte data – počet FTE, konsolidovaný obrat, bilanční suma.

  3. Ověřte národní specifika – sledujte web NÚKIBu, vyhlášky se očekávají ve 3Q 2025.

  4. Zvažte dodavatelské řetězce – regulovaný zákazník může přenést požadavky i na vás.

  5. 💡 Tip pro CFO: Sledujte tříleté klouzavé průměry; pokud se blížíte limitům, alokujte rozpočet na compliance včas.

Co dělat v „šedé zóně“

Máte 40 zaměstnanců a 8 mil. € obratu v automotive? Na papíře do NIS2 nespadáte, přesto doporučujeme:

  • zavést minimální bezpečnostní standardy (MFA, patch management, školení),

  • připravit krizový plán – incident u OEM partnera může spustit dominový efekt,

  • začít evidovat aktiva a dodavatele dřív, než to bude povinné,

  • sledovat revizi směrnice (2028) – limity se mohou snížit.

Nejčastější mýty o NIS2

Mýtus Realita
„NIS2 se nás netýká, jsme jen dodavatel.“ Dodavatel kritické služby může vznést požadavky smluvně.
„ISO 27001 nám stačí.“ ISO řeší část témat, ale NIS2 přidává povinné reportingové lhůty a konkrétní metriky.
„Dokud nemáme 50 lidí, jsme v klidu.“ Velikostní limit neplatí pro kritické sektory ani firmy s významným dopadem (např. regionální nemocnice).

Shrnutí – 3 klíčové body

  1. Kategorie ovlivňuje dohled, ne samotné povinnosti – požadavky na řízení rizik jsou stejné pro všechny.
  2. Limit 50+ / 10 / 10 je orientační; české vyhlášky jej mohou zpřísnit.
  3. Dodavatelský řetězec je klíčový – požadavky se smluvně propíšou i na vaše partnery, proto je prověřujte včas.
Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies