Koho se týká nový Zákon o Kybernetické Bezpečnosti? Kompletní průvodce sektory, limity a výjimkami

Proč znát svou kategorii ještě před příchodem auditorů

Směrnice NIS2 výrazně rozšiřuje okruh organizací, které musí prokazovat kybernetickou odolnost. Už nejde jen o kritickou infrastrukturu a banky – přibývají výrobní podniky střední velikosti, poskytovatelé digitálních služeb i menší firmy, pro které bývala regulace okrajovou záležitostí.

Rychlý odhad: podle analýz NÚKIBu přibude v ČR 6-12 tisíc nově regulovaných subjektů. Většina se o svých povinnostech dozví pozdě – často až ve chvíli, kdy do datové schránky dorazí auditorský dotazník.

Vyplatí se tedy předem zjistit, kam na mapě NIS2 patříte, a včas vyčlenit rozpočet i kapacity.

1 | Dvě kategorie, dva režimy dohledu

Essential = subjekty poskytující klíčovou službu pro chod státu.
Important = organizace, jejichž výpadek má značný, ale ne existenční dopad.

Kategorie

Typické sektory

Příklady organizací

Dohled státu & pokuty

Essential entities

Energie, plyn, voda, zdravotnictví, doprava, banky, digitální infrastruktura

ČEZ Distribuce, Správa železnic, VZP, páteřní datoví operátoři

Přímý dohled NÚKIBu; kontroly na místě, pokuty až 10 mil. € / 2 % globálního obratu

Important entities

Výroba (chemie, potraviny, kovovýroba), poštovní služby, odpadové hospodářství, ICT B2B služby, digitální platformy

Madeta, Česká pošta, EKO‑KOM, cloudový hosting pro e‑shopové systémy

Dohled spíše ex post; kontrola přichází po incidentu či na podnět

2 | Velikostní kritéria („250 / 50 / 43“)

NIS2 zavádí univerzální velikostní práh (👥 250 / 💶 50 mil. € / 🏦 43 mil. €). Pokud působíte v uvedeném sektoru a překročíte alespoň jednu z hodnot, stáváte se regulovanou entitou.

• ≥ 250 zaměstnanců
  
  
• ≥ 50 mil. € ročního obratu
  
  
• ≥ 43 mil. € bilanční sumy
  
  

Mikro a malé podniky (pod 50 zaměstnanců a pod 10 mil. € obratu) jsou v zásadě vyňaty, ale výjimka neplatí, pokud poskytují službu kritické infrastruktuře.

Příklady z praxe

Scénář

Zařazení

Důvod

Mléčný závod, 300 zaměstnanců, obrat 42 mil. €

important

Překročen limit zaměstnanců; sektor „výroba potravin“

Krajská nemocnice, 180 zaměstnanců, obrat 25 mil. €

essential

Zdravotnictví je kritický sektor, velikost nehraje roli

FinTech startup, 90 zaměstnanců, obrat 18 mil. €, platební brána

important

Digitální platební služba spadá do Annexu II

Místní vodárna, 35 zaměstnanců, obrat 9 mil. €

essential

Provoz kritické infrastruktury „zásobování vodou“

3 | Specifika pro Českou republiku

Český transpoziční zákon (květen 2025) přebírá evropské kategorie, ale zpřesňuje lokální prahy v připravovaných vyhláškách NÚKIBu a MMR:

1. Energetika: essential už od 10 000 odběrných míst nebo 150 GWh roční dodávky.
   
   
2. Doprava: essential pro městskou MHD s > 50 vozidly a > 1 mil. cestujících ročně.
   
   
3. Potravinářství: important od kapacity 30 000 t/rok, bez ohledu na obrat.
   
   
4. ICT služby: cloud provider s > 100 firemními klienty přechází do režimu important.
   
   

Důsledek: Firma, která by v jiné zemi spadala do výjimky, může být v ČR regulovaná.

4 | Jak zjistit svou kategorii – 5 kroků

1. Určete odvětví podle hlavní i vedlejší činnosti (NACE kódy).
   
   
2. Shromážděte data – počet FTE, konsolidovaný obrat, bilanční suma.
   
   
3. Ověřte národní specifika – sledujte web NÚKIBu, vyhlášky se očekávají ve 3Q 2025.
   
   
4. Zvažte dodavatelské řetězce – regulovaný zákazník může přenést požadavky i na vás.
   
   
5. 💡 Tip pro CFO: Sledujte tříleté klouzavé průměry; pokud se blížíte limitům, alokujte rozpočet na compliance včas.
   
   

5 | Co dělat v „šedé zóně“

Máte 240 zaměstnanců a 48 mil. € obratu v automotive? Na papíře do NIS2 nespadáte, přesto doporučujeme:

• zavést minimální bezpečnostní standardy (MFA, patch management, školení),
  
  
• připravit krizový plán – incident u OEM partnera může spustit dominový efekt,
  
  
• začít evidovat aktiva a dodavatele dřív, než to bude povinné,
  
  
• sledovat revizi směrnice (2028) – limity se mohou snížit.
  
  

6 | Nejčastější mýty o NIS2

Mýtus

Realita

„NIS2 se nás netýká, jsme jen dodavatel.“

Dodavatel kritické služby může vznést požadavky smluvně.

„ISO 27001 nám stačí.“

ISO řeší část témat, ale NIS2 přidává povinné reportingové lhůty a konkrétní metriky.

„Dokud nemáme 250 lidí, jsme v klidu.“

Velikostní limit neplatí pro kritické sektory ani firmy s významným dopadem (např. regionální nemocnice).

Shrnutí – 3 klíčové body

1. Kategorie ovlivňuje dohled, ne samotné povinnosti – požadavky na řízení rizik jsou stejné pro všechny.
   
   
2. Limit 250 / 50 / 43 je orientační; české vyhlášky jej mohou zpřísnit.
   
   

Dodavatelský řetězec je klíčový – požadavky se smluvně propíšou i na vaše partnery, proto je prověřujte včas.