2. Znalostní báze
  3. Řízení shody NIS2
  4. Jaké jsou povinnosti dle NIS2?

Jaké jsou povinnosti dle NIS2?

Datum poslední aktualizace: 14. 06. 2026
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
48 z celkových 48 článek pomohl.

Shrnutí základních povinností a opatření k NIS2

Nařízení NIS2, prostřednictvím Zákona o kybernetické bezpečnosti definuje řadu povinností a opatření, které musí povinné organizace splnit. Cílem NIS2 je zvýšit odolnost organizací proti kybernetickým útokům a hrozbám napříč EU a ti, kterých se to týká musí zavést preventivní opatření stejně jako musí umět na kybernetické útoky správně reagovat a reportovat je národním autoritám. V zásadě musí firma mít 

1. Samoidentifikace a nahlášení 

  • Každá střední firma musí sama aktivně posoudit, zda splňuje kritéria (velikost nad 50 zaměstnanců nebo obrat nad 250 milionů Kč a zároveň poskytování vybrané regulované služby).
  • Pro usnadnění tohoto kroku spustil úřad na Portálu NÚKIB interaktivní formulář.
  • Následně musí ohlásit regulované služby na základě kterých začínají běžet zákonné lhůty na zavedení všech technických a organizačních opatření
  • Zde je kalkulačka NÚKIB, kde zjistíte, jestli se vás povinnosti NIS2 týkají

2. Organizační, manažerská a technická opatření

  • Firma musí zavést organizační a technická opatření na základě analýzy aktiv a rizik
  • Povinnosti a opatření by měla být přiměřená finančním možnostem firmy a hodnotě jejích dat. 

3. Provozní povinnosti

  • Povinnost zaregistrovat se v Portálu NÚKIB do určené lhůty od chvíle, kdy firma splní kritéria.
  • Hlášení incidentů: Povinnost nahlásit významný kybernetický incident.

Jaká organizační a technická opatření firma musí mít kvůli NIS2?  

Opatření a povinnosti, které budou muset organizace a firmy kvůli NIS2 zavést lze stručně shrnout do těchto 10-ti základních kroků a oblastí, které musí organizace zvládnout. Co musíte mít zavedeno nebo co musíte prokázat:

  1. zavést vnitřní směrnice, politiky a odpovědnosti lidí a vedení firmy
  2. musíte vědět, co potřebujete chránit, jaká máte data a další důležitá aktiva
  3. vědět, jaké jsou vaše slabiny a rizika, to znamená zavést identifikaci, hodnocení a řízení rizik
  4. řídit přístup k informacím, zajistit bezpečnost a ochranu dat
  5. zajistit bezpečnost vaší sítě
  6. zavést šifrování
  7. řídit vaše IT: aplikace, software, hardware a další IT vybavení
  8. zvládat nakupované IT služby a jejich dodavatele
  9. omezit lidské chyby pomocí vzdělávání zaměstnanců
  10. chránit se proti útokům a umět reagovat útoky a incidenty 
  11. umět zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
  12. zajistit trvalé fungování a zlepšování výše uvedeného

Každá organizace je jiná a tak jednotlivá konkrétní opatření. Jednotlivá konkrétní opatření budou v každé organizaci jiná, protože i každá organizace je jiná.

Doporučujeme znát
Kam pokračovat dále