syslog.eu
ČeskyDeutschEnglishFrançais
NIS2/syslog.eu·

Spadá vaše organizace pod NIS2? Praktický návod pro firmy a instituce

Praktický návod k prvnímu internímu posouzení dopadu NIS2: typické omyly, rozhodující faktory, scope a co si připravit před konzultací či registrací.

Firmy si často kladou otázku „spadáme pod NIS2?“, ale velmi často ji kladou příliš zjednodušeně. Hledají jednu odpověď, jeden seznam odvětví nebo jednu velikostní hranici, která vše rozhodne. V praxi je první užitečný krok jiný: pochopit, jakou službu organizace poskytuje, v jakém sektoru působí, jak je velká a jakou roli hraje v širším ekosystému.

To neznamená, že interní první posouzení je zbytečné. Naopak. Dobrý první screening pomůže odlišit firmy, které téma potřebují řešit okamžitě, od těch, které mají zatím spíš nepřímý tlak přes zákazníky nebo dodavatelský řetězec. Pomůže také vedení pochopit, že NIS2 není jen právnické cvičení, ale téma s dopadem na řízení rizik, důkazní stopu a schopnost obhájit připravenost.

Tento materiál nepředstavuje právní poradenství. Slouží jako praktický rámec pro interní první posouzení a přípravu podkladů pro detailnější analýzu.

Pro koho je tato stránka

Text je určený hlavně pro:

  • jednatele, ředitele a majitele firem,
  • IT manažery a vedoucí infrastruktury,
  • compliance, risk a security role,
  • externí správce a MSP, kteří pomáhají klientům s první orientací,
  • organizace, které si nejsou jisté, zda jsou v přímém rozsahu regulace.

Co si z ní odnesete

Po přečtení by mělo být jasné:

  • proč scope NIS2 nejde rozhodnout podle jedné položky,
  • jak se liší přímý regulační dopad od tlaku zákazníků a dodavatelského řetězce,
  • jak má vypadat rozumné interní první posouzení,
  • proč má smysl řešit logy a důkazní stopu ještě před finálním právním stanoviskem.

Co je špatná otázka a proč

Častá chyba zní: „Patříme do kritické infrastruktury, nebo ne?“ To je příliš hrubý filtr. Správnější otázky jsou:

  • poskytujeme službu, kterou český nebo evropský rámec považuje za regulovanou,
  • spadáme do odvětví, které NIS2 nebo národní implementace výslovně řeší,
  • splňujeme velikostní kritéria samostatně nebo jako součást skupiny,
  • máme takovou roli v dodavatelském řetězci, že se nás požadavky dotknou i nepřímo.

Rozdíl mezi „zajímá nás NIS2“ a „má na nás regulační dopad“ je zásadní. Téma může být relevantní pro téměř každou organizaci, ale to ještě neznamená, že na ni dopadnou konkrétní povinnosti podle zákona. Na druhou stranu je nebezpečné uklidnit se tím, že nejste velká korporace. Mnoho středních organizací spadá do rozsahu právě proto, že poskytují důležitou službu v regulovaném odvětví.

Obecný zájem o NIS2 vs. skutečný regulační dopad

O NIS2 se dnes zajímají i firmy, které samy nebudou regulovaným subjektem. Důvod je jednoduchý. Regulované organizace zvyšují nároky na své dodavatele, poskytovatele IT služeb a partnery. V praxi to znamená, že můžete být mimo přímý rozsah zákona, ale stále budete řešit:

  • bezpečnostní dotazníky od zákazníků,
  • požadavky na logování, auditní stopu a incident reporting,
  • smluvní podmínky týkající se řízení kybernetických rizik,
  • tlak na lepší evidenci a doložitelnost.

To je důvod, proč dává smysl řešit téma včas i tehdy, když jste si zatím neověřili formální status. Přímý dopad regulace a obchodní tlak z dodavatelského řetězce jsou dvě různé věci, ale v praxi se často překrývají.

Které sektory a typy organizací bývají relevantní

NIS2 a národní implementace se typicky týkají organizací v oblastech jako:

  • energetika,
  • doprava,
  • zdravotnictví,
  • digitální infrastruktura,
  • vybrané digitální služby,
  • veřejná správa,
  • voda, odpadní voda a další veřejně významné služby,
  • výroba kritických produktů a další důležité segmenty.

To ale není seznam, podle kterého by šlo rozhodnout bez dalšího kontextu. Stejný sektor může obsahovat subjekty s různým významem, různou velikostí a různou rolí. Důležitá je povaha služby, ne jen popisek firmy v obchodním rejstříku nebo marketing na webu.

Velikost organizace a povaha služby

Velikost je důležitá, ale sama o sobě nerozhoduje. NIS2 typicky pracuje s prahy pro střední a větší podniky, ale skutečné posouzení vychází z kombinace velikosti a charakteru poskytované služby.

Při interním prvním screeningu si ověřte:

  • počet zaměstnanců,
  • obrat nebo bilanční sumu,
  • to, zda jste samostatný podnik nebo součást skupiny,
  • to, zda poskytujete službu uvedenou v regulovaném sektoru,
  • to, zda nejste specifický případ, který může být posuzovaný odlišně kvůli významu služby.

Velikostní kritéria jsou tedy filtr, ne konečný verdikt.

Proč rozhoduje kombinace faktorů

Nejčastější interní omyl vzniká tehdy, když organizace najde jeden argument proti dopadu regulace a považuje to za konečný závěr. Typicky:

  • „jsme moc malí“,
  • „jsme jen dodavatel“,
  • „nejsme státní instituce“,
  • „poskytujeme jen IT služby“,
  • „jsme česká pobočka malé části skupiny“.

Ve skutečnosti je potřeba posoudit několik oblastí najednou:

  • sektor,
  • službu,
  • velikost,
  • skupinovou strukturu,
  • provozní význam,
  • národní výjimky nebo zvláštní pravidla.

Proto má první interní posouzení připravit podklady, ne vynášet kategorický právní rozsudek.

Nejčastější omyly

„Jsme malá firma, nás se to netýká“

I střední organizace mohou být v rozsahu. Navíc se často zapomíná na propojené a partnerské podniky.

„Jsme jen dodavatel, ne regulovaný subjekt“

To může být pravda, ale i tak na vás mohou dopadnout bezpečnostní požadavky zákazníků. Pokud zajišťujete správu infrastruktury, cloud, podporu nebo jiné citlivé služby, zákazníci pod NIS2 budou chtít vidět větší provozní zralost.

„Rozhoduje pouze obor“

Ne. Rozhoduje i to, jakou službu skutečně poskytujete, komu, v jakém měřítku a za jakých okolností.

„Jakmile si nejsme jistí, počkáme“

Čekání bez interní přípravy je riskantní strategie. I když se později ukáže, že nejste přímo regulovaní, budete potřebovat základní bezpečnostní a evidenční minimum kvůli zákazníkům, auditům a incidentům.

Jak udělat interní první posouzení

První screening by měl být strukturovaný a krátký. Cílem není simulovat právní analýzu, ale připravit podklady pro rozhodnutí, zda je nutné jít do detailnějšího posouzení.

1. Popsat, jakou službu organizace skutečně poskytuje

Ne marketingově, ale provozně. Co je klíčová služba? Kdo ji používá? Je výpadek společensky, ekonomicky nebo sektorově významný?

2. Zařadit službu do odvětví

Nestačí interní pocit. Potřebujete pracovní mapování na sektor a případně na NACE či jinou relevantní klasifikaci používanou v podpůrných materiálech.

3. Ověřit velikost a skupinu

Zkontrolujte:

  • zaměstnance,
  • obrat,
  • bilanční sumu,
  • propojené společnosti,
  • mateřské a sesterské firmy.

4. Posoudit vztah k regulovaným zákazníkům

I když nejste přímo v rozsahu, může být vaše organizace důležitou součástí provozu regulovaného subjektu. To mění priority managementu i IT.

5. Identifikovat kritické služby a systémy

Jaké systémy podporují poskytování regulované nebo důležité služby? Jaké identity, servery, síťové prvky a cloudové služby by bylo potřeba auditně doložit?

Tento bod přirozeně navazuje na téma Jaké logy potřebujete pro audit a NIS2.

Jaké podklady si připravit

Pokud chcete první posouzení zrychlit a vyhnout se dohadům, připravte si:

  • stručný popis poskytovaných služeb,
  • seznam hlavních zákaznických segmentů,
  • základní údaje o velikosti firmy a skupině,
  • seznam klíčových systémů a technologií,
  • informaci o tom, zda spravujete kritické služby pro jiné organizace,
  • přehled hlavních externích dodavatelů a MSP,
  • orientační stav logování a evidence.

Právě poslední bod bývá podceňovaný. Jakmile se ukáže, že organizace je v rozsahu nebo je pod silným tlakem zákazníků, nastane rychlá otázka: co umíme doložit? Pokud odpověď zní „logy máme jen lokálně po různých serverech“, je to slabý výchozí stav.

Proč má smysl řešit i odpovědnost vedení

Rozhodnutí, zda jde jen o monitoring legislativy, nebo o okamžitou interní prioritu, není čistě technické. Je to manažerské rozhodnutí. Proto dává smysl propojit první screening s otázkami:

  • kdo ve vedení téma vlastní,
  • kdo připraví další podklady,
  • jak rychle je třeba doplnit evidenci a logování,
  • kdo bude rozhodovat o prioritách a rozpočtu.

K tomu navazuje stránka NIS2 pro vedení firmy.

Proč doporučujeme použít oficiální kalkulačku a oficiální zdroje

Interní screening je užitečný, ale nemá nahrazovat oficiální vodítka. V českém prostředí má smysl pracovat s materiály NÚKIB, zejména:

  • s podpůrnými materiály k novému zákonu o kybernetické bezpečnosti,
  • s oficiální kalkulačkou pro orientační posouzení,
  • s průvodcem a FAQ k povinnostem a harmonogramu.

K 21. březnu 2026 už český nový zákon o kybernetické bezpečnosti běží a ohlašovací i další navazující kroky se řídí harmonogramem od účinnosti zákona a od registrace subjektu. Proto je lepší vycházet z aktuálních oficiálních materiálů než ze starších obecných článků.

Praktická doporučení pro další krok

Pokud si nejste jistí, postupujte takto:

  1. Udělejte krátké interní první posouzení podle služby, sektoru, velikosti a skupiny.
  2. Připravte podklady o kritických systémech, identitách a aktuálním stavu logování.
  3. Ověřte závěry proti oficiální kalkulačce nebo metodice.
  4. Pokud vyjde alespoň střední pravděpodobnost dopadu, předejte téma vedení jako prioritní.
  5. Začněte řešit minimální auditní a incidentní důkazní stopu, i když ještě nemáte finální právní stanovisko.

Tento postup snižuje riziko, že se organizace zasekne na právní nejistotě a odloží praktickou přípravu.

FAQ

Jsme dodavatel regulovaného subjektu. Znamená to automaticky, že spadáme pod NIS2?

Ne automaticky. Může to ale znamenat, že budete pod silným obchodním tlakem na bezpečnostní opatření, evidenci a auditní dohledatelnost.

Stačí posoudit počet zaměstnanců a obrat?

Nestačí. Velikost je důležitá, ale musí se spojit s povahou služby, sektorem, skupinovou strukturou a případně s dalšími národními pravidly.

Má smysl řešit logy už ve fázi interního posouzení?

Ano. Jakmile se ukáže, že regulace může dopadnout nebo že zákazníci budou chtít doložit připravenost, první praktická otázka bývá, co umíte prokázat. Bez centralizovaných logů mimo zdrojové systémy je odpověď obvykle slabá.

Má interní screening nahradit právní analýzu?

Ne. Má připravit podklady, odhalit zjevná rizika a pomoci rozhodnout, zda a jak rychle je potřeba jít do hlubšího posouzení.

Interní odkazy

Další krok

  • Stáhnout checklist pro první interní posouzení relevance NIS2.
  • Nechat si posoudit připravenost z pohledu scope, evidence a minimálního logovacího základu.
  • Požádat o orientační konzultaci k tomu, jak připravit další fázi bez zbytečného přestřelení.
← Zpět na přehled NIS2