Tato stránka je určena fintech společnostem, procesorům plateb, neobankám a platformám digitálního půjčování klasifikovaným jako důležité subjekty podle NIS2. Dozvíte se konkrétní povinnosti v oblasti řízení ICT rizik, bezpečnosti platebních rozhraní a hlášení bezpečnostních incidentů relevantních pro NÚKIB.
Fintech společnosti, platební processory, neobanky a platformy digitálního půjčování se sídlem v České republice jsou klasifikovány jako důležité subjekty NIS2, pokud poskytují kritické digitální služby v oblasti financí a plateb. Mezi ně patří subjekty s alespoň 500 zaměstnanci nebo s roční podnikatelskou činností přesahující 50 milionů EUR, které zpracovávají citlivé finanční údaje a zajišťují provoz platebních systémů. Mikropodniky s méně než 10 zaměstnanci mohou mít zmírněné požadavky, ale středně velké a velké fintech subjekty musí splnit všechny povinnosti do 19. března 2026.
Fintech subjekty musí zavést a udržovat systém řízení ICT rizik proporcionální ke kritičnosti jejich služeb a velikosti organizace. Pro platební processory a neobanky to znamená minimálně: analýzu ICT rizik včetně hrozeb cloudových služeb, formální bezpečnostní politiku, plán obnovy po havárii a testování kontinuity služeb minimálně ročně. Dokumentace musí být dostupná NÚKIB při kontrole.
Všechny platební rozhraní (API), mobilní aplikace a webové portály musí být podrobeny bezpečnostnímu testování nejméně jedenkrát za 12 měsíců, nebo před každou větší změnou v kódu. Testování musí zahrnovat penetrační testy, analýzu zranitelností a validaci autentizace. Pro neobanky a platformy digitálního půjčování je kritické testovat také integrace s třetími stranami a OAuth/OpenID Connect implementace podle PSD2 standardů.
Fintech subjekty musí zajistit soulad mezi NIS2 povinnostmi řízení ICT rizik a GDPR/PSD2 požadavky na ochranu osobních údajů. To znamená: šifrování údajů v klidu i při přenosu, audit přístupu k citlivým datům, omezení principem nejmenšího práva, a ochrana údajů zákazníků při dělení údajů s třetími stranami. Dokumentace musí prokázat, že kontroly NIS2 a GDPR jsou navzájem provázány.
Fintech subjekty jsou povinny hlásit NÚKIB incidenty, které vedly k přerušení nebo degradaci platebního zpracování, Loss of Availability nebo Loss of Integrity kritických systémů. Hlášení musí být provedeno bez zbytečného odkladu, nejpozději do 24 hodin od detekce. Hlášení musí obsahovat popis incidentu, dopad na služby, přijaté protiopatření a kontakt na odpovědnou osobu.
Fintech subjekty musí formálně ověřit bezpečnost všech kritických dodavatelů, zejména poskytovatelů cloudových služeb, certifikačních institucí a platebních bran. Smlouvy s dodavateli musí obsahovat explicitní bezpečnostní požadavky, včetně auditů bezpečnosti, notifikace incidentů a práv inspekce. Dodavatelé podstatné důležitosti (klíčoví cloud poskytovatelé) musí mít alespoň ISO 27001 nebo ekvivalentní certifikaci.
Hlášení je povinné při incidentu, který vede k přerušení nebo vážné degradaci poskytovaných kritických digitálních služeb (zejména platebního zpracování), nebo k Loss of Availability/Integrity/Confidentiality kritických systémů. V praxi: pádu payments API, vyčerpání kapacity serveru na delší dobu, nebo rozsáhlému úniku dat zákazníků. Hranice není počet uživatelů, ale dopad na kontinuitu služby — hlášení je bez zbytečného odkladu, nejpozději do 24 hodin.
Neobanky a platform digitálního půjčování klasifikované jako důležité subjekty musí splnit všechny NIS2 povinnosti bez výjimek. Mikropodniky (do 10 zaměstnanců) mají možnost zjednodušeného přístupu, ale fintech subjekty typicky překračují tuto hranici. Proporčnost se vztahuje na složitost a rozsah kontroly ICT rizik, ne na samotné povinnosti — menší tým musí mít stejné bezpečnostní politiky, jen s méně detailní dokumentací.
Právním základem je zákon č. 181/2014 Sb. o kybernetické bezpečnosti v České republice. Za porušení povinností hrozí pokuty až do výše 1 % z celkového ročního obratu na celosvětové úrovni nebo až do 10 milionů EUR (v závislosti na tom, která je vyšší), což se řídí stejně jako GDPR sankčním schématem. NÚKIB provádí inspekce a má právo přístupu k dokumentaci a systémům — první vlna inspekčních činností se očekává v druhé polovině 2026.