NIS2 a cloud: co musí česká firma reálně splnit
Od 1. listopadu 2025 platí nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), kterým Česko transponovalo evropskou směrnici NIS2. Zrušil dosavadní zákon 181/2014 Sb. a rozšířil okruh povinných subjektů ze stovek na více než šest tisíc. Pokud jste zvládli registraci u NÚKIB do konce roku, máte teď před sebou tu náročnější část: do jednoho roku zavést reálná bezpečnostní opatření.
Tenhle článek není právní rozbor. Je to pohled provozního týmu na jednu konkrétní otázku: co NIS2 znamená pro vaši cloudovou infrastrukturu a jak se ke shodě dostat, aniž byste ji každý rok ručně obhajovali před auditem.
Ve zkratce
- NIS2 v ČR = zákon 264/2025 Sb., účinný od 1. 11. 2025, dozor vykonává NÚKIB.
- Nově dopadá na ~6 000+ organizací v desítkách odvětví, ne jen na kritickou infrastrukturu.
- Bezpečnostní opatření je nutné zavést do jednoho roku od registrace.
- Cloud (AWS, Azure, GCP) je povolený, ale za jeho konfiguraci ručíte vy.
- Nejlevnější cesta ke shodě vede přes infrastrukturu jako kód, která se udržuje sama.
Spadá na nás NIS2 vůbec?
Zjednodušeně: pokud působíte v některém z regulovaných odvětví a jste alespoň středně velká firma (řádově od 50 zaměstnanců nebo 10 milionů eur obratu), pravděpodobně ano. Odvětví je přes dvě desítky a přibyla mezi nimi jména, která dřív o kybernetické regulaci neuvažovala: e-shopy, výroba, doprava, odpadové a vodní hospodářství, poskytovatelé cloudových a IT služeb, veřejná správa.
Zákon rozlišuje režim vyšších povinností a režim nižších povinností. Do kterého patříte, si určujete sami podle typu a velikosti služby. To je past i příležitost zároveň: nikdo vám nepřijde říct, že jste subjekt. Odpovědnost za správné zařazení leží na vedení firmy.
Co NIS2 chce od infrastruktury
Zákon a jeho prováděcí vyhláška popisují cíle v jazyce řízení rizik a konkrétní technologie nechávají na vás. Když to přeložíme do provozu cloudu, opakuje se pořád stejná sada oblastí. U každé přidáváme, jak ji řešíme v praxi.
Řízení přístupu. Vícefaktorové ověření na všech administrátorských účtech, princip nejmenších oprávnění, žádné sdílené „root“ přihlašování. V cloudu to znamená pořádně nastavené IAM role a federaci identit. Osobní klíče kolující v chatu jsou přesně to, na co se audit ptá.
Přehled o aktivech a konfiguraci. Musíte vědět, co provozujete a jak je to nastavené. Tady se vyplácí infrastruktura jako kód (Terraform, Ansible): celý stav prostředí je v Gitu, dohledatelný a verzovaný. Auditor si otevře repozitář a vidí skutečný stav.
Detekce a monitoring. Centralizované logy, měření dostupnosti, alerting na bezpečnostní události. Prakticky jde o sběr logů do jednoho místa (třeba stack ELK) a metriky s upozorněními v Prometheu a Grafaně. Bez centrálních logů incident ani nepopíšete, natož abyste ho stihli nahlásit včas.
Řízení zranitelností. Skenování image a závislostí přímo v CI/CD, pravidelný patching, jasný proces, kdo a kdy nasazuje opravy. Když je nasazování automatizované a časté, vyřešíte bezpečnou záplatu jedním během pipeline.
Zálohy a obnova. Otestovaná záloha a známý čas obnovy. „Máme zálohy“ bez vyzkoušeného obnovení není opatření, je to naděje.
Řízení dodavatelů. NIS2 explicitně tlačí na bezpečnost dodavatelského řetězce. Váš poskytovatel cloudu i každá knihovna ve vašem buildu jsou dodavatel. Přehled závislostí (SBOM) a kontrola image v pipeline vám dají doklad, který audit vyžaduje.
Hlášení incidentů. NIS2 počítá s rychlými lhůtami: včasné varování řádově do 24 hodin, oznámení do 72 hodin, závěrečná zpráva do měsíce. Nahlásit je stihnete jen tehdy, když máte incident čím podložit: logy, monitoring, jasné role při pohotovosti.
Proč to řešit přes kód, a ne přes dokument
Většina „NIS2 balíčků“ na trhu končí u směrnic ve Wordu a tabulky rizik. Papír je potřeba, ale sám o sobě nic nezabezpečí a před příštím auditem zestárne.
Náš názor je jednoznačný: opatření, která jsou zapsaná jako kód, se udržují sama. MFA, přístupová pravidla, šifrování, síťová izolace nebo politika záloh popsané v Terraformu a vynucené v pipeline platí pořád stejně, ať se dívá kdokoli. Odstraníte tím nejčastější důvody, proč firmy u kontroly propadnou: konfigurační drift, nedohledatelnost změn a opatření, které kdosi „dočasně“ vypnul a zapomněl vrátit.
Shoda s NIS2 se tak z jednorázového projektu mění na vlastnost provozu. A to je levnější rok co rok.
Kde začít tento týden
- Určete své zařazení. Spadáte pod zákon? Do jakého režimu? Bez toho neděláte nic dalšího správně.
- Udělejte gap analýzu proti sedmi oblastem výše. Upřímně, podle skutečného stavu cloudu.
- Vezměte nejrizikovější mezeru a zavřete ji jako kód. Nejčastěji to bývá přístup (chybějící MFA, příliš široká oprávnění) nebo chybějící centrální logy.
- Naplánujte zbytek do roční lhůty. Opatření po malých, ověřitelných krocích. Velký třesk den před auditem nikdy nedopadne dobře.
Pomáháme českým firmám dostat cloudovou infrastrukturu do stavu, který NIS2 obstojí, a hlavně ji tak i udržet. Rádi se podíváme, kde stojíte, a řekneme vám, co má smysl řešit jako první. Napište nám.
Časté dotazy
Na koho NIS2 v Česku dopadá?
Na organizace v odvětvích vymezených zákonem č. 264/2025 Sb., pokud splní velikostní práh (zpravidla 50+ zaměstnanců nebo obrat nad 10 milionů eur). Nově jde odhadem o více než 6 000 subjektů, zdaleka nejen banky a energetiku, ale i e-commerce, výrobu, dopravu, vodárenství, veřejnou správu nebo poskytovatele IT služeb. Zda spadáte do režimu vyšších, nebo nižších povinností, si určujete sami podle typu a velikosti služby.
Do kdy musíme být v souladu?
Registrace regulované služby přes portál NÚKIB měla proběhnout do 60 dnů od účinnosti zákona, tedy do konce roku 2025. Bezpečnostní opatření je pak nutné zavést nejpozději do jednoho roku od registrace. Pokud jste registraci zvládli, běží vám teď právě ta roční lhůta na technická a organizační opatření.
Můžeme používat AWS, Azure nebo Google Cloud a přesto splnit NIS2?
Ano. NIS2 nezakazuje hyperscalery. Odpovědnost za konfiguraci, přístupy, logování, zálohy a řízení dodavatele ale zůstává na vás, ne na poskytovateli. Model sdílené odpovědnosti znamená, že za nastavení cloudu ručíte vy, a přesně to audit zkoumá.
Jaké hrozí pokuty?
Až 250 000 000 Kč, nebo 2 % z čistého celosvětového obratu za poslední účetní období, podle toho, která částka je vyšší. Vedle pokuty je ale často větší riziko výpadek, ztráta zakázky u regulovaného zákazníka nebo osobní odpovědnost vedení.