Domů FAQ — Otázky o NIS2/KSC
Poslední aktualizace: Červen 2026

Nejčastěji kladené otázky o NIS2 a KSC v České republice (FAQ 2026)

Odpovědi na 25 nejčastěji kladených otázek českými firmami podléhajícími zákonu o krajském systému kybernetické bezpečnosti.

Základy NIS2 a KSC

NIS2 je směrnice Parlamentu Evropského a Rady EU 2022/2555 o bezpečnosti sítě a informací — druhá úroveň unijních požadavků na kybernetickou bezpečnost, přijatá v prosinci 2022. Směrnice sama o sobě na firmy přímo nedopadá — musela být transponována do národního práva.

KSC (zákon o krajském systému kybernetické bezpečnosti) je český zákon, který implementuje NIS2 v českém právním řádu. Nabyl účinnosti 3. dubna 2026. Na české firmy se vztahuje KSC — nikoli přímo směrnice.

Praktický rozdíl: KSC může obsahovat přísnější předpisy než minimum NIS2 (české právo může ukládat další povinnosti). Informace o národní interpretaci naleznete u českých regulačních orgánů (NÚKIB, MEYS).

Český zákon KSC transponující NIS2 nabyl účinnosti 3. dubna 2026. Lhůta sebeidentifikace subjektů je 3. října 2026 (6 měsíců po nabytí účinnosti). Plné technické požadavky vstupují v platnost 3. dubna 2027.

Kriticky důležité entity (Essential Entities): velké firmy (250+ zaměstnanců nebo obrat > 50 mil. EUR) ze sektorů Přílohy I (energie, doprava, bankovnictví, zdravotnictví, voda, digitální infrastruktura, veřejná správa, kosmický sektor). Podléhají aktivním kontrolám — regulační orgán provádí audity z vlastní iniciativy. Pokuty: až 10 mil. EUR nebo 2 % obratu.

Důležité entity (Important Entities): střední firmy z Přílohy I nebo firmy jakékoli velikosti z Přílohy II (poštovní služby, výroba, chemikálie, potraviny, digitální služby). Podléhají reaktivním kontrolám — audit pouze po incidentu nebo stížnosti. Pokuty: až 7 mil. EUR nebo 1,4 % obratu.

Technické požadavky jsou podobné pro obě — liší se intenzita dohledu a výše pokut.

Ano, obecně. Mikropodniky (méně než 10 zaměstnanců a roční obrat pod 2 mil. EUR) a malé podniky (méně než 50 zaměstnanců a obrat pod 10 mil. EUR) jsou vyключeny z rozsahu KSC.

Důležité výjimky: malé firmy mohou podléhat KSC pokud: jsou jediným poskytovatelem kritické služby v České republice; poskytují služby důvěry (kvalifikované elektronické podpisy); spravují rejstříky doménových jmen; jsou poskytovateli služeb DNS; nebo je regulační orgán považuje za kritické vzhledem k bezpečnostnímu dopadu.

Lhůty a povinnosti

Lhůta sebeidentifikace vypršíá 3. října 2026 — přesně 6 měsíců od dne nabytí účinnosti zákona. Do tohoto data musí každý subjekt podléhající KSC:

  1. Posoudit, zda splňuje kritéria kriticky důležité nebo důležité entity
  2. Zaregistrovat se v příslušném rejstříku spravovaném příslušným sektorovým orgánem
  3. Jmenovat osobu odpovědnou za kybernetickou bezpečnost

Absence registrace do 3. října 2026 může vést k sankci.

Plná technická shoda (zavedená opatření řízení rizik, postupy, ISMS) je vyžadována do 3. dubna 2027 — rok od nabytí účinnosti zákona. Externí audit kybernetické bezpečnosti pro kriticky důležité entity je vyžadován do 3. dubna 2028.

Zákon vyžaduje jmenování osoby nebo týmu odpovědného za řízení kybernetické bezpečnosti. Nemusí to být fulltime CISO — může to být:

  • Interní IT pracovník s rozšířenými povinnostmi
  • Externí konzultant nebo servisní firma (MSSP)
  • Ředitel nebo vedoucí v případě malých důležitých entit

Klíčové je formální jmenování této role v dokumentaci a její skutečné plnění.

KSC vyžaduje třístupňové hlášení bezpečnostních incidentů v kybernetice:

  • 24 hodin od odhalení: brzké varování regulačnímu orgánu (NÚKIB nebo sektorový regulační orgán)
  • 72 hodin od odhalení: úplné hlášení incidentu s posouzením jeho dopadu
  • 1 měsíc od odhalení: podrobná závěrečná zpráva s analýzou příčin a přijatými opatřeními

Hlášení se týká pouze závažných incidentů mající podstatný vliv na kontinuitu služeb — ne každého bezpečnostního upozornění.

Technické požadavky a implementace

Článek 21 směrnice NIS2 (implementovaný prostřednictvím KSC) vyžaduje nejméně:

  1. Politiky analýzy rizik a bezpečnosti informačních systémů
  2. Postupy zpracování bezpečnostních incidentů (detekce, hlášení, reagování)
  3. Řízení kontinuity provozu (zálohování, obnova po havárii, krizové řízení)
  4. Bezpečnost dodavatelského řetězce (posouzení dodavatelů a partnerů)
  5. Bezpečnost nákupu, vývoje a údržby sítě a systémů
  6. Politiky a postupy posouzení účinnosti opatření řízení rizik
  7. Základní postupy kybernetické hygieny a školení
  8. Politiky a postupy týkající se kryptografie a šifrování
  9. Bezpečnost lidských zdrojů, kontrola přístupu, řízení majetku
  10. Uplatňování vícefaktorového ověřování (MFA) nebo SSO

Nástroje ISMS pokrývají všechny tyto požadavky — porovnej nástroje →

Zcela mě nezvalňuje, ale výrazně usnadňuje splnění požadavků. ISO 27001 a KSC/NIS2 mají překrývající se rozsah — odhaduje se, že firma s certifikátem ISO 27001 splňuje přibližně 80-85 % technických požadavků KSC.

Zbývajících 15-20 % jsou prvky specifické pro NIS2: postupy hlášení incidentů veřejným orgánům, posouzení bezpečnosti dodavatelského řetězce podle kritérií KSC, registrace v rejstříku subjektů. Posedání ISO 27001 však může zmírnit pokuty a je pozitivně hodnoceno regulačními orgány.

Není žádný právní požadavek na nákup konkrétního softwaru. KSC vyžaduje splnění technických a procedurálních požadavků — neurčuje, jak firma tyto procesy bude řídit.

V praxi si velké firmy (kriticky důležité entity) budou potřebovat nástroj GRC na správu dokumentace, důkazů a monitorování — ruční správa je nerealistická pro 50+ kontrol. Malé důležité entity mohou začít s bezplatným plánem Reglyze nebo Microsoft Purview. Porovnej možnosti →

ISMS (Information Security Management System) je systém řízení bezpečnosti informací — soubor politik, procedur, procesů a kontrol sloužících k řízení kybernetických bezpečnostních rizik. Standardem definujícím ISMS je ISO/IEC 27001.

NIS2/KSC nevyžaduje certifikaci ISO 27001, ale vyžaduje zavedení prvků ISMS (bezpečnostní politiky, řízení rizik, postupy řešení incidentů). Nástroje jako Reglyze, Secfix nebo ISMS.online automatizují budování a údržbu ISMS speciálně pro NIS2.

Nástroje, náklady a poskytovatelé

Náklady implementace se výrazně liší v závislosti na přístupu a velikosti firmy:

  • Malé firmy (důležitá entita, 50-100 zaměstnanců): €2 000–15 000 jednoráz + €500–2 000/rok na nástroje a údržbu
  • Střední firmy (100-250 zaměstnanců): €10 000–50 000 implementace + €3 000–8 000/rok
  • Velké firmy (kriticky důležitá entita): €50 000–250 000+ implementace + €15 000–50 000/rok

Náklady auditu ISO 27001 (volitelné, ale užitečné) jsou dalších €8 000–25 000 v závislosti na auditorské společnosti.

Pro malé firmy (důležitá entita, 50-100 zaměstnanců) doporučujeme začít s:

  1. Reglyze (bezplatný plán) — proveď sebeidentifikaci a posouzení mezer. Vygeneruj bezpečnostní politiky pomocí AI. Ideální výchozí bod, bez nákladů.
  2. Microsoft Purview (pokud máš M365 E3+) — připravená šablona NIS2 v nástroji, který již máš zaplacený. Doplň Reglyze monitoringem v Purview.
  3. Po posouzení mezer: rozhodnutí, zda potřebuješ placený nástroj (ISMS.online od £375/měsíc) na základě konkrétních nedostatků.

Použij kalkulátor KSC → abys nejdříve zkontroloval, jaký status má Tvá firma.

Nástroje se sídlem a zpracováním dat v EU:

Nástroje z USA (Vanta, Drata, Sprinto) a Velké Británie (ISMS.online) mohou zpracovávat data mimo EU — předtím než se rozhodneš, zkontroluj jejich DPA (Data Processing Agreement) a SCCs. Microsoft Purview může zpracovávat data v regionech Azure — lze nakonfigurovat EU Data Boundary.

Kontroly, audity a pokuty

Kriticky důležité entity:

  • 10 000 000 EUR nebo 2 % celkového ročního celosvětového obratu (vyšší z částek)
  • Zákaz řídících funkcí osobám odpovědným za porušení

Důležité entity:

  • 7 000 000 EUR nebo 1,4 % celkového ročního celosvětového obratu (vyšší z částek)

Regulační orgány mohou ukládat pokuty za: neregistraci, chybějící ISMS, neohlášení incidentů, nesplnění technických požadavků. První pokuty se očekávají po skončení přechodného období (po 3. dubnu 2027).

Dohled nad KSC v České republice provádějí různé orgány v závislosti na sektoru:

  • NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) — celkové řízení, sektor veřejné správy
  • Ministerstvo průmyslu a obchodu (MPO) — sektor energetiky
  • Český telekomunikační úřad (ČTÚ) — digitální infrastruktura a telekomunikace
  • Česká národní banka (ČNB) — sektor bankovnictví a financí
  • Ministerstvo zdravotnictví — sektor zdravotnictví
  • Ministerstvo dopravy, Letiště Václava Havla apod. — sektor dopravy

Kriticky důležité entity podléhají aktivním audytům z iniciativy orgánu. Důležité entity — reaktivním kontrolám (po incidentu nebo stížnosti).

Nie wiesz czy Twoja firma podlega KSC? Bezpłatny quiz zajmuje 2 minuty.

Zrób quiz →

Pobierz bezpłatny przewodnik NIS2

Dowędz się dokładnie co musisz zrobić przed 3 października 2026. Przewodnik krok po kroku dla polskich firm.

Bez spamu. Wypisz się w każdej chwili.