Implementace směrnice NIS2 a nového zákona o kybernetické bezpečnosti vyvolává v roce 2026 stále mnoho nejasností. Pro majitele firem a IT manažery jsme sestavili tento přehledný seznam nejčastějších dotazů, které vám pomohou rychle se zorientovat v nových povinnostech.
Základní otázky k NIS2
1. Týká se NIS2 i mé malé firmy?
Obecně NIS2 dopadá na střední a velké podniky (nad 50 zaměstnanců nebo obrat nad 10 mil. EUR). Nicméně, pokud jste součástí kritického dodavatelského řetězce (např. dodáváte IT služby pro banku nebo energetiku), může po vás splnění norem vyžadovat váš zákazník bez ohledu na vaši velikost.
2. Co musím udělat jako úplně první krok?
Prvním krokem je samoidentifikace. Musíte zjistit, zda spadáte do režimu s vyššími nebo nižšími povinnostmi. Pokud ano, musíte se registrovat v portálu NÚKIB. Podrobný návod najdete v našem článku NIS2 v kostce.
3. Jaké hrozí pokuty za neplnění v roce 2026?
Sankce jsou nastaveny velmi vysoko. Mohou dosáhnout až 10 milionů EUR nebo 2 % z celosvětového ročního obratu. Kromě finančních postihů může být managementu dočasně pozastaven výkon funkce statutárního orgánu.
Technické dotazy a infrastruktura
4. Musím mít kvůli NIS2 vlastní DNS resolver?
Zákon nevyžaduje, abyste provozovali vlastní hardware. Vyžaduje však, aby váš DNS provoz byl zabezpečený a odolný. Toho nejsnáze dosáhnete využitím profesionálního resolveru s podporou DoH/DoT a DNSSEC, který nabízí například český WEDOS.
5. Stačí mi pro splnění shody běžný webhosting?
U kritických služeb pravděpodobně ne. Běžný hosting postrádá pokročilou DDoS ochranu, geografickou redundanci a certifikace ISO, které auditoři vyžadují. Pro shodu s NIS2 doporučujeme přechod na vysokokapacitní infrastrukturu připravenou na kybernetické hrozby dneška.
6. Co je to hlášení incidentu „do 24 hodin“?
Jde o první varování NÚKIBu, že jste detekovali podezřelou aktivitu. Nemusíte znát příčinu, stačí nahlásit, že došlo k narušení. Aby vám tato lhůta neutekla, je nezbytné mít nastavený aktivní monitoring služeb.
Řízení rizik a dodavatelé
7. Jak mám prověřit své IT dodavatele?
V rámci řízení dodavatelského řetězce byste měli vyžadovat doklady o zabezpečení. Ptejte se na certifikace ISO 27001, existenci vlastního CSIRT týmu a garance dostupnosti (SLA). Pokud váš partner tyto dokumenty nemá, vystavujete se riziku.
8. Proč by měl management absolvovat školení kyberbezpečnosti?
NIS2 ukládá vedení firem povinnost vzdělávat se v oblasti kybernetických rizik. Je to proto, aby statutární orgány mohly odpovědně schvalovat rozpočty na bezpečnost a rozuměly hrozbám, kterým firma čelí.
Závěrečné doporučení
Neřešte NIS2 jako jednorázový úkol, ale jako proces neustálého zlepšování. Klíčem k úspěchu v roce 2026 je partnerství s technologickými lídry, kteří již mají potřebné certifikace a infrastrukturu vybudovanou.
Potřebujete technické řešení pro NIS2?
Nechte si poradit od expertů, kteří chrání největší část českého internetu. Vsaďte na stabilitu, certifikace a špičkovou podporu.
Máte další otázky k NIS2? Projděte si naši celou sekci o kybernetické bezpečnosti nebo nás kontaktujte pro konzultaci.
