Tak, a je to. Silvestr je za námi, ohňostroje dozněly a s nimi i deadline pro registraci u NÚKIB. Pokud jste stihli odeslat ohlášení regulované služby před půlnocí 31. prosince 2025, gratulujeme – jste součástí téměř šestitisícové armády firem, které právě vstoupily do nové éry kybernetické bezpečnosti. A pokud jste nestihli... no, možná je čas zavolat právníkovi.
Ale teď vážně: registrace byla jen vstupní brána. Ten skutečný maraton teprve začíná. Máte před sebou dvanáct měsíců na implementaci bezpečnostních opatření a věřte, že to není období, kdy můžete sedět se založenýma rukama. Pojďme si rozebrat, co vás čeká, a hlavně jak to všechno zvládnout, aniž byste se zbláznili.
Co se děje teď (a co jste možná přehlédli)
Jakmile NÚKIB zpracuje vaše ohlášení a pošle vám datovou schránkou rozhodnutí o registraci, rozběhnou se dvoje hodiny současně.
Hodiny číslo jedna: 30 dní na kontaktní údaje. Do měsíce od doručení rozhodnutí musíte nahlásit kontaktní osoby odpovědné za kybernetickou bezpečnost a další technické údaje – IP adresy, rozsahy, doménová jména. Pokud jste to nestihli vyplnit už při prvotním ohlášení, teď je čas to dohnat.
Hodiny číslo dva: 12 měsíců na všechno ostatní. Tady se láme chleba. Do roka od doručení rozhodnutí musíte zavést a provádět bezpečnostní opatření podle příslušné vyhlášky – buď 409/2025 Sb. pro vyšší režim, nebo 410/2025 Sb. pro nižší režim. A také začít hlásit kybernetické incidenty.
Zní to jako spousta času? Možná. Ale vezměte v úvahu, že zavedení funkčního systému řízení bezpečnosti informací není otázka jednoho víkendu s kartonem Red Bullu a několika YouTube tutoriály.
Proč firmy záměrně odkládaly registraci (a proč to dává smysl)
Možná jste si všimli, že k polovině prosince bylo registrovaných jen asi 1 500 subjektů z očekávaných šesti tisíc. NÚKIB to nepřekvapilo – firmy totiž dobře vědí, že okamžikem registrace začínají běžet lhůty. Čím později se zaregistrujete, tím později musíte mít hotovo.
Je to legitimní taktika? Ano. Je to chytré? To záleží. Pokud jste těch pár týdnů navíc využili k přípravě, budete na tom líp. Pokud jste jen prokrastinovali... no, alespoň máte o čem přemýšlet.
První tři měsíce: Kde začít (a kde ne)
Máte před sebou rok, ale to neznamená, že můžete první měsíce prolenošit. Naopak – první kvartál je rozhodující pro to, jak celá implementace dopadne. Tady je plán:
Leden: Zmapujte terén
GAP analýza není sprosté slovo. Je to váš nejlepší kamarád. Vezměte si přílohu č. 1 z vyhlášky 410/2025 Sb. (nebo 409, podle vašeho režimu) – najdete tam přehlednou tabulku bezpečnostních opatření. Projděte ji položku po položce a buďte k sobě upřímní. Máte vícefaktorovou autentizaci všude, kde být má? Jsou vaše zálohy testované? Existuje vůbec nějaká bezpečnostní politika, nebo jen slovní dohoda, že "na to dáváme pozor"?
Výstupem by měl být přehled toho, co máte, co vám chybí a jak moc. NÚKIB tuto tabulku nepřipravil proto, aby vás mučil – je to skutečně praktický nástroj pro vyhodnocení stavu.
Tip: Pokud si nejste jistí, kde začít, použijte některý z online nástrojů pro rychlou samoanalýzu. Kraita Cyber One nabízí automatizovanou gap analýzu, která vám během minut ukáže, jak na tom jste.
Únor: Stanovte priority
Nemůžete dělat všechno najednou. A ani byste neměli – NÚKIB očekává postupnou implementaci, ne že se vaše firma zázračné přes noc promění v kyberpevnost.
Začněte tím, co vám hrozí nejvíc:
Rychlé výhry (Quick wins): Vícefaktorová autentizace na kritické systémy, aktualizace softwaru, základní pravidla pro hesla. Tohle zvládnete za týden a dramaticky to sníží riziko.
Střední priorita: Bezpečnostní politiky, dokumentace, školení zaměstnanců. Vyžaduje to víc času, ale není to raketová věda.
Dlouhodobé projekty: Kompletní systém řízení bezpečnosti informací, penetrační testy, audit. Tady počítejte s měsíci práce a taky s tím, že už to vlastně nikdy neskončí.
Březen: Rozjeďte to
Do konce prvního kvartálu byste měli mít hotovou analýzu, stanovené priority a rozběhnuté první změny. Zároveň byste měli vědět, co zvládnete sami a kde budete potřebovat pomoc zvenčí.
Protože pojďme si to říct na rovinu: většina středních firem nemá vlastní bezpečnostní tým. A to je v pořádku – zákon nevyžaduje, abyste najali armádu expertů. Vyžaduje ale, abyste měli jasně definovanou odpovědnou osobu a systém, který funguje.
Co vás čeká dál (preview na zbytek roku)
Q2 (duben–červen): Implementace technických opatření, nastavení procesů pro hlášení incidentů, první kola školení zaměstnanců.
Q3 (červenec–září): Testování, doladění, příprava dokumentace pro případnou kontrolu. Teď je čas na penetrační testy, pokud je potřebujete.
Q4 (říjen–prosinec): Finalizace, interní audit, ujištění se, že všechno skutečně funguje. A oslava, že jste to zvládli a že příští rok už to bude brnkačka.
Co když nestíhám?
Zákon je nekompromisní – po uplynutí lhůty musíte opatření zavádět a provádět. Ale NÚKIB není úřad, který by chtěl firmy likvidovat. Pokud děláte pokroky, máte plán a můžete ho doložit, je šance, že případná kontrola dopadne lépe, než kdybyste neudělali vůbec nic.
Nejhorší, co můžete udělat, je strčit hlavu do písku a doufat, že si vás nikdo nevšimne. Mezi šesti tisíci firmami možná nějakou dobu vydržíte, ale kybernetický útok doufáním neodvrátíte.
Místo závěru: Jeden praktický tip na cestu
Příloha vyhlášky obsahuje tabulku, kterou máte vyplnit. Neudělejte tu chybu, že ji necháte na poslední chvíli. Je to váš plán, váš checklist, váš důkaz pro NÚKIB. A hlavně – je to mapa, která vám ukáže, kam směřovat.
Začněte dnes. I kdyby to mělo být jen otevření té tabulky a upřímný pohled na první řádek.
Rok 2026 bude pro kybernetickou bezpečnost v Česku přelomový. Záleží jen na vás, jestli budete na straně těch, kteří ho zvládli, nebo těch, kteří dostali pokutu.
A pokuta může být až 250 milionů korun. Jen tak pro kontext ;)
Máte otázky k implementaci NIS2? Chcete vědět, jestli jste na správné cestě? Napište nám – rádi pomůžeme.
Shrnutí: Klíčové termíny a povinnosti
- 31. 12. 2025 – Deadline pro registraci u NÚKIB ✓
- 30 dní od rozhodnutí – Nahlášení kontaktních údajů
- 12 měsíců od rozhodnutí – Zavedení bezpečnostních opatření a hlášení incidentů
- Vyšší režim – Vyhláška 409/2025 Sb.
- Nižší režim – Vyhláška 410/2025 Sb.
- Sankce – Až 250 mil. Kč nebo 2 % celosvětového obratu