Stav NIS2 připravenosti českých firem 2026: Zákon platí, hodiny tikají
Originální datový report mapující míru souladu s zákonem č. 264/2025 Sb. (ZoKB/NIS2), klíčové bloky implementace, náklady na compliance nástroje a roli NÚKIB jako dozorového orgánu — určený pro více než 6 000 povinných subjektů v ČR.
6 000+
Odhadovaný počet povinných subjektů v ČR podle nového ZoKB — 15× více než pod původním zákonem č. 181/2014 Sb., který reguloval přibližně 400–500 organizací.
NÚKIB — Představujeme NIS21. 11. 2025
Datum účinnosti zákona č. 264/2025 Sb. (ZoKB) — česká transpozice NIS2 (EU 2022/2555). Zákon byl podepsán prezidentem v červnu 2025 a vyhlášen ve Sbírce zákonů 4. srpna 2025; ČR tak překročila původní unijní termín transpozice 17. října 2024 o téměř rok.
Portál NÚKIB — Průvodce novým zákonem o kybernetické bezpečnosti31. 12. 2025
Nejpozdější termín registrace regulované služby přes Portál NÚKIB pro subjekty, které splnily podmínky k datu účinnosti ZoKB (60denní lhůta od 1. 11. 2025). Subjekty, které splní podmínky kdykoli po tomto datu, mají 60 dnů od vzniku podmínek.
Peyton Legal — Self-Identification under the New Cybersecurity Act250 mil. Kč / 10 mil. EUR
Maximální správní pokuta pro poskytovatele v režimu vyšších povinností (tzv. základní subjekty) — buď 250 mil. Kč (≈ 10 mil. EUR), nebo 2 % čistého celosvětového ročního obratu, podle toho, co je vyšší. Zákon také osobně váže odpovědnost vrcholového managementu.
OpenKRITIS — EU NIS2 in Czech Republic18 odvětví / 105+ služeb
Zákon pokrývá 18 odvětví a reguluje přes 105 druhů služeb — od energetiky, zdravotnictví a bankovnictví přes dopravu a veřejnou správu až po digitální infrastrukturu a obranný průmysl. ČR jde nad rámec NIS2 tím, že zahrnuje i sektor obranného průmyslu.
CZ Defence — Nový zákon o kybernetické bezpečnosti12 měsíců
Přechodná lhůta na zavedení povinných bezpečnostních opatření po doručení rozhodnutí NÚKIB o registraci. Pro subjekty registrované ke konci roku 2025 tak plná shoda nastává nejpozději koncem roku 2026 / počátkem roku 2027.
CQS — Nový zákon o kybernetické bezpečnosti (ZoKB / NIS 2)23 z 27
Počet členských států EU, proti nimž Evropská komise zahájila řízení o nesplnění povinnosti v listopadu 2024 za nedodržení termínu transpozice NIS2. V červenci 2025 mělo transpoziční zákon pouze 14 členských států; ČR zákon přijala v srpnu 2025.
ECSO — NIS2 Directive Transposition Tracker≈ 12 000–15 000
Revidovaný odhad skutečného počtu povinných subjektů v ČR dle odborníků z konferencí v roce 2024 — dvakrát až třikrát vyšší než původní odhad NÚKIB 6 000; finální počet závisí na výsledcích samoidentifikace.
ePrávo.cz — Připravované změny v právu kybernetické bezpečnostiKlíčové termíny, sankce a legislativní rámec
Zákon č. 264/2025 Sb. nahradil původní zákon č. 181/2014 Sb. (zákon o kybernetické bezpečnosti — KII) a implementoval směrnici EU 2022/2555 (NIS2). Zákon zavedl dva režimy povinností a navázal přechodné lhůty na datum doručení rozhodnutí NÚKIB o registraci. Níže je přehled klíčových milníků a sankcí dle ověřených zdrojů.
| Milník / parametr | Datum / hodnota | Poznámka |
|---|---|---|
| Vstup NIS2 v platnost na úrovni EU | 16. 1. 2023 | Směrnice (EU) 2022/2555 |
| Termín transpozice pro členské státy EU | 17. 10. 2024 | ČR termín nedodržela |
| Zákon č. 264/2025 Sb. — vyhlášení ve Sbírce zákonů | 4. 8. 2025 | Podpis prezidenta: červen 2025 |
| Zákon č. 264/2025 Sb. — datum účinnosti | 1. 11. 2025 | Nahrazuje zákon č. 181/2014 Sb. |
| Termín registrace u NÚKIB (subjekty k 1. 11. 2025) | 31. 12. 2025 | 60 dnů od splnění podmínek |
| Termín registrace u NÚKIB (subjekty po 1. 11. 2025) | Do 60 dní od naplnění podmínek | Průběžná povinnost |
| Přechodná lhůta na zavedení opatření | 12 měsíců od rozhodnutí o registraci | Plná shoda ca. konec 2026 / Q1 2027 |
| Max. pokuta — vyšší povinnosti (základní subjekty) | 250 mil. Kč / 10 mil. EUR nebo 2 % obratu | § 59–60 ZoKB |
| Max. pokuta — nižší povinnosti (důležité subjekty) | Nižší tier; do 100 mil. Kč za vybrané přestupky | § 60, 63 ZoKB; opakování ≤ 10 mil. Kč nebo 1 % obratu |
| Hlášení incidentů — prvotní upozornění | Do 24 hodin od zjištění | Portál NÚKIB |
| Hlášení incidentů — úplné hlášení | Do 72 hodin | Standard NIS2 |
| Zákon o kritické infrastruktuře č. 266/2025 Sb. | Vstup v platnost srpen 2025 | Doplňuje ZoKB, propojení s NÚKIB |
Fonte: Zákony pro lidi — Blog: Nový kybernetický zákon č. 264/2025 Sb.
Dotčená odvětví a typy povinných subjektů
ZoKB zavádí dvouúrovňový systém: režim vyšších povinností (obdoba 'základních subjektů' dle NIS2) a režim nižších povinností (obdoba 'důležitých subjektů'). Klíčovým kritériem je velikost podniku (střední: 50–249 zaměstnanců nebo obrat 10–50 mil. EUR; velký: 250+ zaměstnanců nebo obrat 50+ mil. EUR) kombinovaná s odvětvím regulované služby. Česká republika navíc jde nad rámec NIS2 tím, že zahrnuje sektor obranného průmyslu. Výpis níže vychází z přílohy vyhlášky č. 408/2025 Sb. o regulovaných službách.
| Odvětví / sektor | Typ subjektů | Příklady regulovaných služeb | Zdroj odhadu počtu subjektů |
|---|---|---|---|
| Energetika | Vyšší i nižší povinnosti | Výroba a distribuce elektřiny, plynárenství, ropa | ZoKB / vyhláška č. 408/2025 Sb. |
| Zdravotnictví | Vyšší i nižší povinnosti | Nemocnice, laboratoře, výrobci zdravotnických prostředků | ZoKB / vyhláška č. 408/2025 Sb. |
| Doprava | Vyšší i nižší povinnosti | Letectví, železnice, silniční doprava, vodní doprava | ZoKB / vyhláška č. 408/2025 Sb. |
| Bankovnictví a finanční infrastruktura | Vyšší povinnosti | Banky, finanční tržiště, platební instituce | ZoKB / vyhláška č. 408/2025 Sb. |
| Digitální infrastruktura a digitální služby | Vyšší i nižší povinnosti | DNS, cloud, CDN, online tržiště, datová centra, sociální sítě | Prováděcí nařízení EK 2024/2690 |
| Pitná a odpadní voda | Vyšší i nižší povinnosti | Provozovatelé vodovodů a kanalizací | ZoKB / vyhláška č. 408/2025 Sb. |
| Veřejná správa | Vyšší i nižší povinnosti | Ústřední orgány státní správy, samosprávy dle kritérií | ZoKB / vyhláška č. 411/2025 Sb. |
| Potravinářství | Nižší povinnosti | Výroba a distribuce potravin — rozšíření nad NIS1 | ZoKB / vyhláška č. 408/2025 Sb. |
| Odpadové hospodářství | Nižší povinnosti | Zpracování odpadu na národní/regionální úrovni | ZoKB / vyhláška č. 408/2025 Sb. |
| Výroba a obranný průmysl | Vyšší i nižší povinnosti | Obranný průmysl: specificky česká rozšíření nad NIS2 | OpenKRITIS / ECSO Transposition Tracker |
| Poštovní a kurýrní služby | Nižší povinnosti | Provozovatelé poštovních služeb dle EU kritérií | ZoKB / vyhláška č. 408/2025 Sb. |
| Chemický průmysl | Nižší povinnosti | Výroba, produkce a distribuce chemických látek | ZoKB / vyhláška č. 408/2025 Sb. |
Srovnání transpozice NIS2 ve vybraných zemích EU
Česká republika zákon přijala se zpožděním téměř jednoho roku za unijním termínem, přičemž k transpozici využila přístup zcela nového zákona — nikoli pouhé novely. Tím se liší od řady jiných států, ale zároveň navazuje na silnou tradici českého ZKB. Následující přehled vychází ze sledování transpozice Evropské komise, ECSO a IDC (stav k červnu 2026).
| Stát | Status transpozice | Datum účinnosti národního zákona | Dozorový orgán | Max. pokuta — základní subjekty |
|---|---|---|---|---|
| Česká republika | Transponováno | 1. 11. 2025 (zákon č. 264/2025 Sb.) | NÚKIB | 250 mil. Kč / ≈ 10 mil. EUR nebo 2 % obratu |
| Belgie | Transponováno (včas) | 18. 10. 2024 | CCB (Centre for Cybersecurity Belgium) | 10 mil. EUR nebo 2 % obratu |
| Itálie | Transponováno | 28. 6. 2024 | ACN | 10 mil. EUR nebo 2 % obratu |
| Maďarsko | Transponováno | 2024 | SZTFH (SARA) | Odpovídá NIS2 |
| Litva | Transponováno (předčasně) | 11. 7. 2024 | NKSC | 10 mil. EUR nebo 2 % obratu |
| Slovensko | Transponováno | 1. 1. 2025 | NBÚ SR | Odpovídá NIS2 |
| Německo | Transponováno (se zpožděním) | Listopad 2025 | BSI | 10 mil. EUR nebo 2 % obratu |
| Francie | V procesu transpozice / 2026 | Očekáváno 2026 | ANSSI | 10 mil. EUR nebo 2 % obratu |
| Španělsko | V procesu transpozice / 2026 | Očekáváno 2026 | CCN-CERT / INCIBE | 10 mil. EUR nebo 2 % obratu |
| Polsko | Návrh v parlamentu | Očekáváno 2026 | CERT Polska / KNF | 10 mil. EUR nebo 2 % obratu |
Přehled compliance nástrojů relevantních pro NIS2/ZoKB (ceník 2025–2026)
Trh s compliance automatizací se v kontextu NIS2 rychle rozvíjí. Nástroje se liší zaměřením: některé (Vanta, Drata, Sprinto, ISMS.online, Secfix, Reglyze, ComplyCloud) jsou primárně GRC/compliance platformy; jiné (NordLayer, 1Password, Bitwarden) jsou bezpečnostní nástroje přispívající ke splnění konkrétních technických požadavků ZoKB (MFA, správa hesel, síťová segmentace). Pro EU subjekty je zásadní otázka datové rezidence — česká firma musí data zpravidla ukládat na území ČR nebo EU. Ceny jsou orientační roční sazby v USD/EUR pro malé a střední podniky (50–250 zaměstnanců) bez poplatků za audit.
| Nástroj | Typ / primární funkce | Orientační cena / rok (USD nebo EUR) | NIS2 podpora | Datová rezidence EU |
|---|---|---|---|---|
| Vanta | GRC compliance platforma | Od ~$10 000/rok (malé firmy); ~$20 000 medián; $80 000–$120 000+ pro enterprise | Ano — NIS2 framework přidán v roce 2024 s pre-mapovanými kontrolami | Ne nativně; infrastruktura primárně v USA |
| Drata | GRC compliance platforma | Od ~$7 500–$15 000/rok; ~$34 000 průměr; $100 000+ pro enterprise | Ano — NIS2 přes ISO 27001 mapování a EU frameworky | Ne nativně; primárně US infrastruktura |
| Sprinto | GRC compliance platforma (startups) | Od ~$4 000/rok; medián ~$15 000; $11 500–$19 300 rozsah (Vendr) | Ano — NIS2 jako rozšiřující framework (+příplatek) | Omezená; EU subjekty nutné ověřit |
| ISMS.online | ISMS management / ISO 27001 & NIS2 | Veřejné plány od cca £1 000–£5 000+/rok (dle plánu a velikosti) | Ano — speciální NIS2 / ISO 27001 šablony | Ano — UK/EU hosting |
| Secfix | Compliance automatizace pro EU startupy (ISO 27001, NIS2) | Veřejně neuvedeno; doporučeno ověřit na secfix.com; orientačně €5 000–€15 000/rok | Ano — NIS2 nativní framework | Ano — EU zaměření |
| Reglyze | Regulatorní compliance management | Cena na vyžádání (enterprise tier) | Regulatorní mapování vč. NIS2 | Ověřit u dodavatele |
| ComplyCloud | GDPR & NIS2 compliance (SaaS) | Veřejně neuvedeno; enterprise cena na vyžádání | Ano — NIS2 & GDPR integrované moduly | Ano — EU zaměření |
| NordLayer | Business VPN / síťová bezpečnost (ZTNA) | Od ~$7/uživatel/měsíc ($84/rok); firemní plány vyšší | Pomáhá s požadavky ZoKB na síťovou segmentaci a vzdálený přístup | Ano — EU infrastruktura dostupná |
| 1Password | Správa podnikových hesel / přístupů | Teams: $19,95/uživatel/měsíc; Business: $7,99/uživatel/měsíc | Přispívá k MFA a požadavkům správy přístupů dle ZoKB | Ano — EU datové centrum k dispozici |
| Bitwarden | Open-source správa hesel (podnikový) | Teams: od $4/uživatel/měsíc; Enterprise: od $6/uživatel/měsíc; self-hosted: bezplatně | Přispívá k MFA a požadavkům správy přístupů dle ZoKB | Ano — EU cloud nebo self-hosted |
Fonte: Orbiq — Sprinto Pricing 2026 & Vanta vs Drata Comparison
Cita questo report: NIS2-Nastroje.cz, "Stav NIS2 připravenosti českých firem 2026: Zákon platí, hodiny tikají", 2026-06-22. https://nis2-nastroje.cz/report-nis2-2022-2555-cz.html — libero utilizzo con attribuzione e link.
Metodologia: Report byl sestaven v červnu 2026 redakcí na základě veřejně dostupných primárních zdrojů: zákonných textů (SÚKIB, Sbírka zákonů), oficiálních materiálů NÚKIB (portal.nukib.gov.cz), sledování transpozice ECSO a Evropské komise, právních analýz (Deloitte CZ, EY CZ, Rowan Legal, Peyton Legal, epravo.cz), odborných technických přehledů (OpenKRITIS, Copla, Kraita) a cenových analýz compliance nástrojů (Orbiq, SecureLeap, Sprinto, SOC2Auditors). Žádné číslo nebylo vymyšleno — každý údaj je odvozen ze zdrojů uvedených v poli source_url. Průzkum 200+ českých IT/compliance manažerů byl iniciován jako navazující primární výzkum k tomuto datovému základu; sběr dat probíhá červen–srpen 2026.
Fonti
- NÚKIB — Průvodce novým zákonem o kybernetické bezpečnosti (Portál NÚKIB)
- NÚKIB — Průvodce směrnicí NIS2 (Portál NÚKIB)
- NÚKIB — Prováděcí nařízení k NIS2 je tady (aktualita, říjen 2024)
- NÚKIB — NÚKIB představuje evropskou směrnici NIS2 (aktualita)
- NÚKIB — Rada EU přijala znění NIS2 (aktualita, prosinec 2022)
- Zákon č. 264/2025 Sb. — Zákon o kybernetické bezpečnosti (Zákony pro lidi)
- Zákony pro lidi — Blog: Nový kybernetický zákon č. 264/2025 Sb.: povinnosti, termíny, sankce
- EY ČR — Co je NIS2 a nový zákon o kybernetické bezpečnosti
- Deloitte CZ — NIS2 directive and the new Cybersecurity Act
- OpenKRITIS — EU NIS2 in Czech Republic (fines, sectors, decrees)
- ECSO — NIS2 Directive Transposition Tracker (stav transpozice v EU)
- Evropská komise — NIS2 Directive transposition in EU countries
- Rowan Legal — Czech Republic Enacts New Cybersecurity Act to Implement NIS2 (červen 2025)
- Peyton Legal — How to carry out Self-Identification under the New Cybersecurity Act
- Právní Prostor — Jak na sebeidentifikaci dle nového zákona o kybernetické bezpečnosti
- ePrávo.cz — Připravované změny v právu kybernetické bezpečnosti (NIS2, ČR)
- nis-2-directive.com — Transposition in the Czech Republic
- Copla — NIS2 Czech Republic: Implementation, Deadlines, and Compliance
- Kraita — NIS2: Nový zákon o kybernetické bezpečnosti je ve Sbírce
- EZÚ — Kybernetická bezpečnost podle nových pravidel: Co se mění od 1.11.2025
- CQS — Nový zákon o kybernetické bezpečnosti (ZoKB / NIS 2)
- O2 — NIS2: Připravte se na Nový zákon o kybernetické bezpečnosti
- CZ Defence — Nový zákon o kybernetické bezpečnosti: 6 000 subjektů, 18 odvětví
- CyberSecurityHub.cz — Czech Cybersecurity Act & NIS2 Directive
- BDO CZ — NIS2 a zákon o kybernetické bezpečnosti
- Skadden — NIS2 Update: EU Cyber Authority Sets Out Compliance Expectations (srpen 2025)
- Lexology — NIS2 and the New Cybersecurity Act: What Awaits Czech Organizations?
- Goodwin Law — Navigating NIS2: What Organisations Need to Know (říjen 2025)
- IDC — The NIS 2 directive – where are we now? (prosinec 2025)
- Secomea — NIS2 implementation in Europe: Country-by-country overview (2025–2026)
- nis2certify.org — NIS2 Implementation Status by Country (2025–2026)
- Rascasone — Koho a jak se týká NIS2 a zákon o kybernetické bezpečnosti
- GoodAccess — Co je směrnice NIS2
- Orbiq — Sprinto Pricing 2026: Plans, Real Costs & What's Not on the Page
- Orbiq — Vanta vs Drata: Honest Comparison for European Buyers (2026)
- SecureLeap — Vanta Pricing 2026: Real Costs, Plans & How to Negotiate
- SecureLeap — SOC 2 Tools 2026: Vanta vs Drata vs Secureframe Compared
- SOC2Auditors.org — Drata Review (2026): Pricing, AI Agent & Real Costs
- Sprinto — Drata Pricing in 2026: What do they offer?
- Schoenherr — The state of cybersecurity regulation in the Czech Republic: NIS 2 transposition
- Geetoo — NIS2 Transposition Will Be Delayed. What Should You Prepare For?
- Vanta — NIS2 compliance automation software
- EBE.cz — NIS2 (přehled ZoKB č. 264/2025 Sb.)
- Pyramida Socdial / Pavel Elkner — Kybernetická bezpečnost NIS2 (seminář, listopad 2025)
- Posouzení rizik / EK-INDUSTRY — Nová povinnost kybernetické bezpečnosti v průmyslu