Jednou z nejčastějších otázek, které slýcháme od ředitelů firem a členů představenstev, je: „Co se nám reálně stane, když NIS2 nesplníme?" Odpověď není příjemná. Zákon č. 264/2025 Sb. zavedl jeden z nejpřísnějších sankčních režimů v historii české regulace kybernetické bezpečnosti - a na rozdíl od GDPR je zde osobní odpovědnost managementu explicitně zakotvena přímo v zákoně.
Tento článek vysvětluje, kdo pokuty vymáhá, jaká jsou konkrétní čísla a co hrozí konkrétním lidem - nikoli jen firmě jako abstraktnímu subjektu.
NÚKIB: regulátor s reálnými zuby
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je hlavním dozorovým orgánem pro provádění zákona 264/2025 Sb. Na rozdíl od předchozí právní úpravy má NÚKIB nyní výrazně posílené pravomoci, které zahrnují:
- Provádění kontrol na místě bez předchozího upozornění u zásadních subjektů (Příloha I)
- Vyžadování dokumentace - veškerých politik, analýz rizik, záznamů o incidentech a auditů
- Nařizování nápravných opatření s konkrétními lhůtami
- Dočasný zákaz provozu systémů nebo služeb v případě bezprostředního ohrožení
- Ukládání pokut správním rozhodnutím
- Podávání podnětů k trestnímu řízení při podezření na trestný čin
Důležité je pochopit, že NÚKIB nekontroluje jen tehdy, když se něco stane. Plánované i neplánované kontroly mohou probíhat i u firem, které žádný incident nenahlásily. Samotná absence registrace nebo nesplnění povinnosti nahlásit incident je samostatným důvodem pro zahájení řízení.
Výše pokut: přesná čísla
Zákon rozlišuje dvě základní kategorie regulovaných subjektů a pro každou stanoví jiný strop pokut. Sankce jsou vždy vyměřovány jako vyšší z obou hodnot - absolutní limit nebo procentuální podíl z obratu.
| Kategorie subjektu | Maximální pokuta (absolutní) | Maximální pokuta (% obratu) |
|---|---|---|
| Zásadní subjekt (Příloha I) | 250 000 000 Kč | 2 % celosvětového ročního obratu |
| Důležitý subjekt (Příloha II) | 125 000 000 Kč | 1,4 % celosvětového ročního obratu |
Pro firmu s celosvětovým obratem 500 milionů Kč tedy maximální pokuta jako zásadní subjekt činí 10 milionů Kč (2 % z 500 mil.). Pro firmu s obratem 20 miliard Kč se uplatní absolutní strop 250 milionů Kč.
Vedle samotné pokuty může NÚKIB uložit:
- Povinnost zveřejnit informaci o porušení povinnosti (tzv. naming and shaming)
- Nápravná opatření s konkrétními termíny a sankcí za prodlení
- Při opakovaném nebo závažném porušení dočasné omezení nebo zákaz poskytování služby
Osobní odpovědnost managementu
Toto je aspekt, který mnozí ředitelé a členové představenstev stále podceňují. Zákon 264/2025 Sb. zavedl přímou osobní odpovědnost vedoucích osob - a to ve dvou rovinách.
1. Správní delikt vedoucí osoby
Pokud vedoucí osoba (člen statutárního orgánu, ředitel, prokurista nebo jiná osoba s rozhodovací pravomocí) závažně poruší nebo dlouhodobě opomíjí povinnosti plynoucí ze zákona, může NÚKIB uložit pokutu přímo fyzické osobě až do výše 5 000 000 Kč.
2. Dočasný zákaz výkonu funkce
Nejvážnější sankcí pro management je možnost NÚKIB navrhnout soudu dočasný zákaz výkonu řídící funkce. Toto opatření lze uplatnit tehdy, když:
- Firma opakovaně nebo závažně porušuje zákon a vedení bylo prokazatelně informováno
- Vedení aktivně bránilo nebo ztěžovalo výkon kontrolní činnosti NÚKIB
- Existuje bezprostřední hrozba závažného kybernetického incidentu v důsledku zanedbání povinností
Zákaz výkonu funkce není pouze symbolický trest - znamená, že dotčená osoba nesmí po dobu jeho trvání zastávat žádnou vedoucí pozici v jakékoli regulované organizaci. Délka zákazu se pohybuje od 3 měsíců do 2 let.
Jak vymáhání probíhá v praxi
Kontrolní proces NÚKIB má standardně několik fází:
- Oznámení o zahájení kontroly (u plánovaných kontrol; neplánované kontroly u zásadních subjektů probíhají bez předchozího oznámení)
- Sběr dokumentace - NÚKIB vyžaduje předložení politik, analýz rizik, záznamů o incidentech, výsledků auditů
- Kontrola na místě - inspektoři procházejí prostředí, provádějí pohovory s klíčovými pracovníky
- Protokol z kontroly - popis zjištění s lhůtou pro vyjádření kontrolovaného subjektu
- Nápravné opatření nebo zahájení správního řízení - při zjištění porušení zákona
- Rozhodnutí o pokutě - s odvolacím řízením dle správního řádu
Celý proces od zahájení kontroly do pravomocného rozhodnutí trvá typicky 6-18 měsíců. Pokuty jsou splatné po nabytí právní moci rozhodnutí.
Nejčastější důvody pro zahájení řízení
Na základě zkušeností z EU zemí, kde NIS2 vstoupilo v platnost dříve, jsou nejčastějšími spouštěči kontroly nebo řízení:
- Nenahlášení závažného incidentu ve stanovené lhůtě (24 hodin pro předběžné hlášení, 72 hodin pro podrobné)
- Absence registrace u regulátora přesto, že firma splňuje kritéria regulovaného subjektu
- Zjištění závažné bezpečnostní mezery při incidentu nebo na základě informace od třetí strany
- Opakované hlášení incidentů stejného typu - signalizuje neschopnost systémové nápravy
- Informace od zaměstnanců nebo dodavatelů o hrubém zanedbání bezpečnosti
Jak se připravit ještě dnes
Nejlepší obranou je proaktivní přístup. Než přijde kontrola NÚKIB, doporučujeme:
- Provést interní gap analýzu nebo využít bezplatný audit na nis2ok.cz
- Zajistit, aby vedení firmy bylo prokazatelně seznámeno s požadavky zákona a svou osobní odpovědností
- Sestavit a schválit základní bezpečnostní dokumentaci (politika, analýza rizik, plán reakce na incidenty)
- Nastavit proces hlášení incidentů NÚKIB s jasnou odpovědností a lhůtami
- V případě nejasností ohledně kategorizace nebo povinností konzultovat s odborníkem - nis2expert.cz
Pro průběžné sledování stavu compliance a přípravu na audit doporučujeme nástroj nis2manager.cz, který pomáhá organizacím udržovat přehled o plnění povinností a připravovat dokladovou dokumentaci.