NIS2 a kybernetická bezpečnost: co musí splnit vaše firma v roce 2026

Jednatel výrobní firmy mi říká: „Kybernetická bezpečnost? To se nás netýká, my nejsme IT firma." Ptám se ho: „Máte ve firmě e-mail? Používáte účetní software? Máte docházkový systém? Řídíte výrobu přes počítač?" Odpověď je čtyřikrát ano. „Takže vám ransomware může zastavit celou výrobu, zničit účetnictví a zablokovat přístup k dokumentaci BOZP, na které závisí vaše zákonné povinnosti."

Směrnice NIS2 (EU 2022/2555), kterou Česká republika transponuje do zákona o kybernetické bezpečnosti, rozšiřuje okruh povinných subjektů na tisíce firem, které se dosud kybernetickou bezpečností vůbec nezabývaly. A co má kybernetická bezpečnost společného s BOZP? Víc, než byste čekali. Když vám ransomware zašifruje server s dokumentací BOZP, přijde kontrola OIP a vy nemáte co ukázat. Když kybernetický útok vyřadí řídící systém stroje, ohrožuje to životy zaměstnanců stejně jako chybějící ochranný kryt.

Tento článek vysvětlí, co NIS2 znamená pro české firmy, jak souvisí s bezpečností a ochranou zdraví při práci a co konkrétně musíte udělat, abyste byli v souladu s novými požadavky. Nebudeme řešit detaily síťové architektury. Budeme řešit praktické dopady na fungování firmy, odpovědnost vedení a propojení s BOZP systémem, který už máte.

1. Co je NIS2 a proč by vás mělo zajímat

NIS2 je evropská směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti. Nahradila původní směrnici NIS z roku 2016 a výrazně rozšířila okruh povinných subjektů. V ČR se transponuje novelou zákona č. 181/2014 Sb. o kybernetické bezpečnosti.

Klíčová změna: NIS2 se už netýká jen kritické infrastruktury (energetika, doprava, zdravotnictví). Nově zahrnuje i:

• Výrobní podniky s více než 50 zaměstnanci nebo obratem nad 10 mil. EUR
• Potravinářské firmy (výroba, zpracování, distribuce)
• Odpadové hospodářství
• Poštovní a kurýrní služby
• Chemický průmysl
• Digitální služby (cloud, online tržiště, vyhledávače)
• Veřejná správa

Pokud vaše firma spadá do některé z těchto kategorií a má více než 50 zaměstnanců (nebo obrat nad 10 mil. EUR), NIS2 se vás týká. A pokuta za nedodržení může dosáhnout až 10 mil. EUR nebo 2 % celosvětového obratu.

2. NIS2 a BOZP: neočekávaný průnik

Na první pohled nemá kybernetická bezpečnost s BOZP nic společného. Ale v praxi jsou tyto oblasti propojené víc, než si většina firem uvědomuje:

2.1 Průmyslové řídící systémy (ICS/SCADA)

Moderní výrobní podniky řídí stroje a technologie přes počítačové systémy. CNC stroje, roboty, dopravníky, kotelny, vzduchotechnika, požární signalizace. Kybernetický útok na tyto systémy může způsobit fyzické ohrožení zaměstnanců: stroj se spustí bez varování, bezpečnostní systém se vypne, ventilace přestane fungovat, požární signalizace nereaguje na požár.

2.2 Dokumentace BOZP v digitální podobě

Většina firem dnes vede dokumentaci BOZP elektronicky: hodnocení rizik, směrnice, záznamy o školeních, evidence OOPP, požární kniha. Ransomware zašifruje váš server a vy nemáte přístup k žádné dokumentaci. Přijde kontrola OIP a vy nemůžete nic doložit. Nehledě na to, že po útoku možná ani nevíte, která dokumentace byla pozměněna.

2.3 Školení zaměstnanců

Školení BOZP přes LMS systém? Skvělé, dokud systém funguje. Po kybernetickém útoku nemáte přístup k evidenci školení, certifikátům ani školicím materiálům. Navíc: školení kybernetické bezpečnosti zaměstnanců je povinnost dle NIS2 a zároveň prevence rizik ve smyslu BOZP (ochrana digitálního pracovního prostředí).

2.4 Systémy řízení přístupu

Elektronické docházkové systémy, přístupové karty, kamerové systémy. Kybernetický útok může odemknout všechny dveře (včetně do nebezpečných prostor) nebo naopak zablokovat únikové cesty. Oboje je přímé ohrožení bezpečnosti zaměstnanců.

3. 10 opatření, která NIS2 vyžaduje

Směrnice v článku 21 stanoví minimální soubor opatření:

1. Politiky analýzy rizik a bezpečnosti informačních systémů. Obdoba hodnocení rizik v BOZP, ale pro IT prostředí.
2. Zvládání incidentů. Postup při kybernetickém útoku, obdoba postupu při pracovním úrazu.
3. Kontinuita provozu a krizové řízení. Co dělat, když IT systémy nefungují. Zálohy, obnova, náhradní postupy.
4. Bezpečnost dodavatelského řetězce. Vaši dodavatelé IT služeb musí splňovat bezpečnostní standardy.
5. Bezpečnost při pořizování, vývoji a údržbě systémů. Bezpečnost musí být součástí každého IT projektu.
6. Politiky a postupy pro hodnocení účinnosti opatření. Pravidelný audit, testování, penetrační testy.
7. Základní postupy kybernetické hygieny a školení. Školení zaměstnanců, silná hesla, vícefaktorová autentizace.
8. Politiky a postupy používání kryptografie a šifrování.
9. Bezpečnost lidských zdrojů, řízení přístupu a správa aktiv.
10. Vícefaktorová autentizace a zabezpečená komunikace.

4. Co musíte udělat: praktický checklist

Pokud vaše firma spadá pod NIS2, tady je postup:

4.1 Krok 1: Zjistěte, jestli se vás NIS2 týká

Kritéria: obor činnosti (viz seznam výše) + velikost (50+ zaměstnanců nebo obrat 10+ mil. EUR). Pokud si nejste jistí, kontaktujte NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), který je dozorovým orgánem.

4.2 Krok 2: Proveďte analýzu rizik

Zmapujte IT infrastrukturu: servery, síť, software, cloudové služby, průmyslové řídicí systémy. Identifikujte hrozby: ransomware, phishing, DDoS, insider threat. Ohodnoťte pravděpodobnost a dopad. Metoda je analogická hodnocení rizik v BOZP, jen se aplikuje na IT prostředí.

4.3 Krok 3: Implementujte opatření

Na základě analýzy rizik zavedete technická a organizační opatření: firewall, antivirus, zálohování, šifrování, vícefaktorovou autentizaci, segmentaci sítě, monitoring, plán obnovy po havárii (disaster recovery). A hlavně: školení zaměstnanců. 90 % kybernetických incidentů začíná lidskou chybou (klik na phishingový e-mail).

4.4 Krok 4: Školte zaměstnance

NIS2 vyžaduje pravidelné školení kybernetické bezpečnosti. Obsah: rozpoznání phishingu, bezpečná práce s hesly, práce na veřejných Wi-Fi, zacházení s citlivými daty, postup při podezření na incident. Školení musí být prokazatelné (evidence, test, certifikát). Online kurzy přes LMS jsou ideální řešení.

4.5 Krok 5: Zajistěte hlášení incidentů

NIS2 vyžaduje hlášení významných kybernetických incidentů do 24 hodin od zjištění (první varování) a podrobnou zprávu do 72 hodin. Finální zprávu do 1 měsíce. Musíte mít jasný interní postup: kdo incident detekuje, komu ho hlásí, kdo kontaktuje NÚKIB. Obdoba hlášení pracovních úrazů, ale pro kybernetické události.

Co je „významný incident" dle NIS2: incident, který způsobil nebo může způsobit závažné narušení provozu služby, finanční ztrátu nebo dopad na jiné osoby. V praxi: ransomware, únik dat, výpadek kritického systému na více než 4 hodiny, kompromitace účtů s administrátorským přístupem.

5. Odpovědnost vedení firmy podle NIS2

Zásadní novinka NIS2: osobní odpovědnost členů statutárního orgánu za kybernetickou bezpečnost. Článek 20 směrnice vyžaduje, aby řídící orgány (jednatelé, představenstvo) schvalovaly opatření v oblasti kybernetické bezpečnosti a dohlížely na jejich implementaci. A aby absolvovaly školení.

To znamená: jednatel se nemůže vymluvit na to, že „to řeší IT oddělení". Stejně jako v BOZP, kde odpovědnost za bezpečnost nese zaměstnavatel (§ 101 ZP) a deleguje ji na vedoucí zaměstnance (§ 302 ZP), v kybernetické bezpečnosti nese odpovědnost vedení firmy.

Pokud firma nesplní požadavky NIS2, členové statutárního orgánu mohou být osobně sankcionováni. Směrnice umožňuje členským státům zavést osobní odpovědnost včetně zákazu výkonu funkce. Pro jednatele je to stejný typ rizika jako trestní odpovědnost za pracovní úraz dle § 148 TZ.

Praktický dopad: jednatel musí absolvovat školení kybernetické bezpečnosti, rozumět rizikům a aktivně schvalovat bezpečnostní opatření. Ne jen podepsat směrnici, kterou mu připravilo IT oddělení, ale skutečně pochopit, co firma dělá pro ochranu svých systémů a dat.

6. Náklady na implementaci NIS2

Opatření	Orientační náklad
Analýza rizik (externí konzultant)	50 000 - 200 000 Kč
Technická opatření (firewall, zálohy, monitoring)	100 000 - 500 000 Kč
Školení zaměstnanců (online kurz)	200 - 500 Kč/osoba
Penetrační test	50 000 - 150 000 Kč
ISO 27001 certifikace (volitelné)	200 000 - 500 000 Kč
Průběžný monitoring a správa	10 000 - 50 000 Kč/měs.

Celkové náklady na základní implementaci pro firmu s 50 zaměstnanci: 200 000 až 500 000 Kč jednorázově + 10 000 až 30 000 Kč měsíčně. Srovnejte s pokutou až 10 mil. EUR. Nebo s náklady na ransomwarový útok: průměrná výše výkupného v ČR v roce 2025 byla 2,5 mil. Kč, k tomu prostoje výroby v řádu dnů až týdnů.

7. Reálné kybernetické útoky na české firmy: proč to není teorie

Kybernetické útoky na české firmy nejsou abstraktní hrozba. NÚKIB v roce 2025 zaznamenal přes 300 významných incidentů. Několik příkladů, proč by se měl každý bezpečák zajímat o kyberbezpečnost:

• Výrobní firma, ransomware na řídícím systému: Útočník zašifroval server, který řídil CNC stroje. Výroba stála 5 dní. Ztráta: 3,2 mil. Kč (prostoje) + 800 000 Kč (obnova systému). BOZP dopad: během výpadku řídícího systému nebylo možné ověřit nastavení bezpečnostních parametrů strojů.
• Logistická firma, phishing: Zaměstnanec otevřel přílohu falešného e-mailu. Útočník získal přístup k interní síti, stáhl databázi zaměstnanců včetně zdravotních prohlídek a pracovních úrazů. Porušení GDPR + ztráta důvěrné BOZP dokumentace.
• Nemocnice, útok na EPS: Kybernetický útok vyřadil systém elektronické požární signalizace na 12 hodin. Během této doby fungovala pouze ruční požární hlídka. Kombinované riziko: kybernetický incident + požární ohrožení.

Společný jmenovatel: kybernetický útok má vždy dopad na fyzickou bezpečnost. Ať už přímo (výpadek bezpečnostního systému) nebo nepřímo (ztráta dokumentace, neschopnost doložit splnění zákonných povinností).

8. NIS2 pro menší firmy: co dělat, i když pod směrnici nespadáte

Firma s 30 zaměstnanci formálně pod NIS2 nespadá. Ale to neznamená, že se jí kybernetická bezpečnost netýká. Základní opatření by měla zavést každá firma:

1. Zálohování. Pravidlo 3-2-1: tři kopie dat, na dvou různých médiích, jedna mimo budovu (cloud nebo sejf). Testujte obnovu ze zálohy minimálně 1× za čtvrt roku.
2. Aktualizace. Všechny operační systémy, software a firmware aktualizujte okamžitě po vydání bezpečnostních záplat. Většina útoků využívá známé, ale neopravené zranitelnosti.
3. Silná hesla + MFA. Vícefaktorová autentizace (kód z mobilu + heslo) pro všechny kritické systémy: e-mail, účetnictví, vzdálený přístup, administrace.
4. Školení. Naučte zaměstnance rozpoznat phishing. 90 % útoků začíná e-mailem. Stačí 30minutové online školení 1× ročně.
5. Antivirus + firewall. Základní ochrana. Na podnikovém levelu investujte do managed firewallu s aktivním monitoringem.

Náklady těchto základních opatření: 20 000 až 50 000 Kč jednorázově + 5 000 Kč měsíčně za správu. Pro srovnání: průměrný náklad ransomwarového útoku na malou firmu v ČR: 800 000 Kč (obnova + prostoje + reputace).

9. Jak propojit školení BOZP a kybernetické bezpečnosti

Ideální přístup pro firmy, které chtějí efektivně splnit obě povinnosti:

Vstupní školení (při nástupu): Kombinovaný kurz BOZP + PO + kybernetická bezpečnost. Zaměstnanec absolvuje jedno školení, které pokryje: fyzická bezpečnost pracoviště (BOZP), požární ochrana (PO), digitální bezpečnost (kyber). Rozsah: 4 hodiny (2h BOZP/PO + 2h kyber) nebo online kurz s oddělnými moduly.

Periodické přeškolení: 1× ročně kombinované školení. V BOZP části: legislativní změny, rozbor úrazů, aktualizace rizik. V kyber části: aktuální hrozby (jaké phishingové kampaně cílí na ČR), nové postupy (změny v MFA), rozbor incidentů ve firmě.

Evidence: Jeden LMS systém pro obě oblasti. Zaměstnanec vidí jeden přehled svých školení. Vedoucí vidí, kdo má splněno BOZP i kyber. Při kontrole (OIP pro BOZP, NÚKIB pro kyber) vytáhnete report za minutu.

Právě toto propojení nabízí platforma SafetyFrog: kurzy BOZP, PO a kybernetické bezpečnosti v jednom LMS systému. Jeden přihlašovací údaj, jeden dashboard, jedna evidence.

10. Kde se NIS2 potkává s BOZP: praktické propojení

Pokud jste OZO BOZP nebo bezpečnostní manažer firmy, tady je praktické propojení:

• Hodnocení rizik: Při hodnocení rizik na pracovišti zahrňte i kybernetická rizika: výpadek řídícího systému stroje, ztráta přístupu k bezpečnostní dokumentaci, nefunkčnost EPS nebo přístupového systému po kybernetickém útoku.
• Školení: Školení kybernetické bezpečnosti můžete integrovat do pravidelného školení BOZP. Zaměstnanci absolvují jedno školení, které pokrývá fyzickou i digitální bezpečnost.
• Dokumentace: Zálohujte dokumentaci BOZP. Mějte offline kopii klíčových dokumentů (hodnocení rizik, směrnice, prezenční listiny) pro případ, že IT systémy budou nedostupné.
• Incidentní plány: Propojte postup při kybernetickém incidentu s havarijním plánem BOZP. Kybernetický útok na průmyslový systém může vyžadovat evakuaci pracoviště.

---

Školení kybernetické bezpečnosti pro zaměstnance najdete v katalogu kurzů SafetyFrog. Online kurzy kompatibilní s požadavky NIS2: rozpoznání phishingu, bezpečná práce s hesly, postup při incidentu. Test, certifikát, evidence v LMS.

---

11. Časová osa NIS2: klíčové milníky

Přehled termínů, které musíte sledovat:

Datum	Událost
16. 1. 2023	Směrnice NIS2 vstoupila v platnost
17. 10. 2024	Deadline pro transpozici do národní legislativy
2025	ČR přijala novelu zákona o kybernetické bezpečnosti
2026	Povinné subjekty musí splnit základní požadavky
Průběžně	NÚKIB provádí kontroly a audity

Pokud jste dosud nic neudělali, začněte hned. Analýza rizik a implementace základních opatření trvá 3 až 6 měsíců. Čím déle čekáte, tím vyšší je riziko pokuty a tím vyšší jsou náklady na urychlení implementace.

12. Často kladené otázky

12.1 Týká se NIS2 mé firmy?

Pokud podnikáte v regulovaném odvětví (výroba, potravinářství, chemie, odpady, energetika, doprava, zdravotnictví, digitální služby, veřejná správa) a máte více než 50 zaměstnanců nebo obrat nad 10 mil. EUR, pak ano. Výjimky existují pro mikropodniky a malé podniky, ale pokud jste součástí dodavatelského řetězce většího regulovaného subjektu, můžete být dotčeni nepřímo: velcí odběratelé budou vyžadovat, abyste splňovali jejich bezpečnostní standardy jako dodavatel. V případě pochybností kontaktujte NÚKIB nebo specializovaného konzultanta na kybernetickou bezpečnost. Sebehodnocení je zdarma a trvá hodinu.

12.2 Jaká je pokuta za nedodržení NIS2?

Pro „základní" subjekty (energetika, doprava, zdravotnictví, vodárenství) až 10 mil. EUR nebo 2 % celosvětového obratu (podle toho, co je vyšší). Pro „důležité" subjekty (výroba, potraviny, odpady, pošta) až 7 mil. EUR nebo 1,4 % obratu. Navíc NÚKIB může nařídit opatření k nápravě a v krajním případě pozastavit činnost. Dle směrnice nesou osobní odpovědnost i členové statutárních orgánů.

12.3 Musí firma školit zaměstnance v kybernetické bezpečnosti?

Ano, NIS2 v článku 21 výslovně vyžaduje „základní postupy kybernetické hygieny a školení kybernetické bezpečnosti". Školení musí být pravidelné (doporučeno 1× ročně), prokazatelné (evidence, test) a pokrývat aktuální hrozby. Pro zaměstnance ve výrobě je vhodné kombinovat s fyzickou bezpečností (BOZP), pro administrativní pracovníky zaměřit na phishing, hesla a práci s daty. Vedení firmy musí absolvovat rozšířené školení zahrnující strategické řízení kybernetických rizik.

12.4 Jaký je vztah NIS2 a GDPR?

NIS2 a GDPR se doplňují. GDPR chrání osobní údaje, NIS2 chrání informační systémy a sítě. Pokud kybernetický incident vede k úniku osobních údajů, musíte hlásit dle obou předpisů: NÚKIB (NIS2, do 24 hodin) a ÚOOÚ (GDPR, do 72 hodin). Opatření se často překrývají: šifrování, řízení přístupu, monitoring, školení. Firma, která splní NIS2, bude mít pokryté i většinu technických požadavků GDPR.

12.5 Může OZO BOZP řešit i kybernetickou bezpečnost?

Částečně. OZO BOZP může integrovat kybernetická rizika do hodnocení rizik na pracovišti a školit zaměstnance v základní kybernetické hygieně. Ale technickou implementaci (firewall, monitoring, penetrační testy, správa identit) musí zajistit IT specialista nebo CISO. Ideální je spolupráce: OZO BOZP řeší propojení fyzické a digitální bezpečnosti, IT tým řeší technická opatření. V menších firmách může jeden člověk zastávat obě role, pokud má příslušné znalosti.

12.6 Co je to phishing a jak ho rozpoznat?

Phishing je podvodný e-mail nebo zpráva, která se tváří jako legitimní komunikace (banka, dodavatel, kolegové) a cílem je vylákat přihlašovací údaje, stáhnout malware nebo provést platbu na podvržený účet. Rozpoznávací znaky: urgentní tón („vaše účet bude zablokován"), neznámý odesílatel, gramatické chyby, podezřelé odkazy (najeďte myší bez kliknutí a ověřte skutečnou URL), přílohy s neobvyklými příponami (.exe, .js, .scr). Nový trend: spear phishing, kde útočník zná jméno vašeho nadřízeného a tváří se jako on. Při podezření: neklikejte, nepřeposílejte, kontaktujte IT oddělení nebo nadřízeného. Organizujte simulované phishingové kampaně pro zaměstnance, abyste zjistili, jak jsou na tom s rozpoznáváním.

12.7 Jak často testovat zálohy?

Minimálně 1× za čtvrtletí. Test obnovy ze zálohy je jediný způsob, jak ověřit, že záloha skutečně funguje. Mnoho firem zálohuje pravidelně, ale nikdy netestovalo obnovu. Při reálném útoku pak zjistí, že zálohy jsou poškozené, neúplné nebo zastaralé. Testujte celý proces: od výběru zálohy po spuštění systému a ověření integrity dat. Zaznamenejte výsledek testu: čas obnovy (RTO), stáří zálohy (RPO), nalezené problémy. Uchovávejte záznamy jako doklad o péči o kybernetickou bezpečnost.