Obchodní korporace

NIS2 a zákon o kybernetické bezpečnosti: compliance za pohyblivého terče

Evropská komise 20. 1. 2026 navrhla zjednodušení směrnice NIS2 – necelé tři měsíce poté, co u nás nabyl účinnosti nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb., účinný od 1. 11. 2025). Firmy tak budují compliance na pravidlech, která se mohou znovu změnit. Pro majitele a jednatele to neznamená vyčkávat, ale řídit riziko aktivně – povinnosti platí dál a odpovědnost statutára trvá.

Co se vlastně stalo: chronologie, kterou musíte znát

Časová osa je zdánlivě paradoxní. Česká republika transponovala směrnici NIS2 zákonem č. 264/2025 Sb. o kybernetické bezpečnosti, který nabyl účinnosti 1. 11. 2025. Tisíce firem se rozběhly do registrace u NÚKIB, zaváděly bezpečnostní opatření a upravovaly smluvní řetězce. A necelé tři měsíce nato, 20. 1. 2026, Evropská komise předložila návrh na zjednodušení (zeštíhlení) směrnice NIS2 v rámci širší „omnibus" deregulační agendy (zdroj: acresia.com).

Pro firmu to vytváří klasickou situaci pohyblivého terče: investujete do compliance podle pravidel, o nichž se na unijní úrovni už diskutuje, že se zmírní nebo zúží. Otázka, kterou si dnes klade každý odpovědný jednatel, zní: Mám čekat, nebo plnit?

Odpověď je jednoznačná a níže ji rozebereme z pohledu metodiky řízení rizik QUADMOND™. Stručně: vyčkávání je nejdražší varianta.

Právní podstata: směrnice se mění pomalu, povinnost trvá hned

Klíčové je rozlišit dvě roviny:

  1. Návrh Komise není účinné právo. Jde o začátek řádného legislativního procesu (Komise → Rada → Evropský parlament → trialog → finální text → transpoziční lhůta). Zkušenost ukazuje, že i u „zjednodušujících" omnibusů jde o měsíce až roky vyjednávání. Do té doby platí stávající znění NIS2 i český zákon č. 264/2025 Sb. beze změny.

  2. Český zákon o kybernetické bezpečnosti je už účinný a vymahatelný. NÚKIB má pravomoc kontrolovat, ukládat opatření a sankcionovat. Žádný unijní návrh nepozastavuje národní povinnosti. Argument „počkáme, až se to v Bruselu zjednoduší" tedy nemá oporu – riziko pokuty a osobní odpovědnosti běží dnes.

Tady stojí za to připomenout obecnou logiku transpozice unijního práva. Stejně jako zákon o obchodních korporacích výslovně uvádí, že „zapracovává příslušné předpisy Evropské unie" (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗ ZOK), i zákon o kybernetické bezpečnosti je národním provedením směrnice. Změní-li se směrnice, nemění se tím automaticky český zákon – ten je nutné novelizovat samostatným legislativním procesem v Parlamentu ČR. To je další zdroj zpoždění a tedy další období, kdy platí dnešní pravidla.

Proč je „pohyblivý terč" past pro jednatele

Zákon o obchodních korporacích ukládá členům volených orgánů jednat s péčí řádného hospodáře. To zahrnuje i řízení regulatorních a provozních rizik. Klíčové je, že tato povinnost se neposuzuje podle výsledku, ale podle procesu rozhodování v daném okamžiku.

Pro majitele a jednatele z toho plynou tři konkrétní důsledky:

  • Pasivita je rozhodnutí. Pokud statutár vědomě neplní účinný zákon s odůvodněním „možná se to zmírní", nejde o péči řádného hospodáře, ale o spekulaci s cizím (firemním) majetkem. V případě incidentu nebo kontroly nese odpovědnost on.
  • Dokumentace rozhodovacího procesu chrání. I při právní nejistotě obstojí jednatel, který má doloženo, proč zvolil danou úroveň opatření, jaké podklady měl a koho konzultoval. Bez záznamu se obhajuje obtížně.
  • Osobní majetková odpovědnost. Při porušení péče řádného hospodáře ručí člen orgánu za škodu celým svým majetkem; v insolvenci může soud rozhodnout o ručení za dluhy korporace.

Co se pravděpodobně bude měnit – a co naopak ne

Zjednodušující návrhy v oblasti NIS2 typicky míří na administrativní zátěž, nikoli na jádro bezpečnostních povinností. Reálně lze očekávat úpravy v těchto směrech (s opatrností – text se bude měnit):

Pravděpodobně se zjednodušíPravděpodobně zůstane
Reportingové a oznamovací formalityPovinnost zavést bezpečnostní opatření
Duplicitní výkaznictví napříč předpisyŘízení rizik dodavatelského řetězce
Prahové hodnoty pro některé subjektyOdpovědnost vrcholového vedení
Administrativa pro menší entityHlášení významných incidentů NÚKIB

Jinými slovy: podstata zůstane, mění se obal. Firma, která zavede funkční bezpečnostní opatření a procesy řízení rizik, nepřijde o investici ani po zjednodušení – jen jí možná ubude papírování. Naopak firma, která nezavedla nic, ztratí čas i bezpečnost.

Pohled QUADMOND™: jak řídit compliance za nejistoty

V systému řízení rizik QUADMOND™ patří tato situace do kvadrantu Q1 – vysoký dopad, vysoká vymahatelnost při zachovalé nejistotě o detailech. Strategie není „čekat na finální text", ale stavět odolně a modulárně:

1. Oddělte „jádro" od „formy"

Investujte primárně do substantivních opatření (segmentace sítí, řízení přístupů, zálohování, plán reakce na incidenty, prověření dodavatelů). Tyto prvky platí napříč všemi verzemi NIS2 a nezastarají. Naopak nepřeinvestujte do formálních procesů, které návrh Komise může zrušit.

2. Postavte compliance modulárně

Navrhněte interní dokumentaci tak, aby šla rychle upravit. Stejně jako u korporátních dokumentů, kde jednatel musí „bez zbytečného odkladu" po změně vyhotovit a uložit úplné znění společenské smlouvy do sbírky listin (§ 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗ ZOK), i bezpečnostní směrnice firmy by měly mít jasného „vlastníka" a režim aktualizace. Verzování a revizní cyklus = připravenost na novelu.

3. Mapujte dodavatelský řetězec smluvně

NIS2 stojí a padá s řetězcem dodavatelů. Promítněte bezpečnostní požadavky do smluv (SLA, audity, hlášení incidentů). Tady se vyplatí poučení z férovosti změn závazků: i v ZOK platí, že např. veřejný návrh smlouvy nelze jednostranně zhoršit a změna se může projevit i ve všech již uzavřených smlouvách jen za zákonných podmínek (§ 326§ 326 § 326(1) Veřejný návrh smlouvy nelze odvolat, jakmile byl učiněn. Změnit veřejný návrh smlouvy je možné pouze tehdy, je-li to v jeho podmínkách výslovně uvedeno nebo bude-li to pro zájemce výhodnější; takové změny se projeví i ve všech již uzavřených smlouvách. (2) Ustanovení zákona o nabídkách převzetí, o uzavírání smlouvy…Oficiální znění ↗ ZOK). Smluvní mechanismus pro aktualizaci bezpečnostních povinností dodavatele proto formulujte předem a transparentně.

4. Sledujte legislativní vývoj systematicky

Nejistota se neřídí ignorováním, ale monitoringem. Stejně jako ZOK počítá s lhůtami a procesy, v nichž regulátor zasahuje (např. role ČNB při veřejných návrzích s lhůtou 15 pracovních dnů – § 331§ 331 § 331(1) Česká národní banka může ve lhůtě 15 pracovních dnů ode dne doručení veřejného návrhu smlouvy vydat rozhodnutí o zákazu učinit veřejný návrh smlouvy, nebo výzvu k odstranění vad návrhu včetně nedostatečného odůvodnění přiměřenosti protiplnění. (2) Vydání rozhodnutí o zákazu učinit veřejný návrh smlouvy je prvním úk…Oficiální znění ↗), i v kyberbezpečnosti platí, že stát a NÚKIB jednají v procesních lhůtách. Mít přehled o stavu novely a o oznamovacích povinnostech znamená nebýt zaskočen.

Konkrétní dopady pro majitele firem

  • Náklady neutečou, jen se přesunou. I když Komise „zjednoduší", jádro bezpečnosti zůstane. Odložení investice nešetří – pouze přesouvá riziko do období incidentu.
  • Reputační a smluvní tlak roste. Velcí odběratelé už dnes požadují prokázání NIS2 compliance po dodavatelích. Bez ní přijdete o zakázky bez ohledu na to, co se děje v Bruselu.
  • Pojistitelnost kyberrizik. Pojišťovny zohledňují úroveň zabezpečení. Bez doložených opatření buď nepojistí, nebo zdraží.
  • Kontrola NÚKIB nečeká na novelu. Vymahatelnost je tady a teď.

Závěr: nejistota není důvod k pasivitě, ale k chytré strategii

Návrh Komise z 20. 1. 2026 nemění jednu věc: český zákon o kybernetické bezpečnosti je účinný a vaše povinnosti trvají. Zjednodušení směrnice je příležitost optimalizovat administrativu, nikoli alibi pro odklad. Firmy, které postaví compliance na pevném bezpečnostním jádru a modulární dokumentaci, projdou každou novelou bez šoku. Firmy, které čekají, riskují pokuty, ztrátu zakázek a osobní odpovědnost statutárů.

Jak vám pomůžeme / Další krok

V Legal Partners propojujeme korporátní právo, řízení rizik (QUADMOND™) a kyberbezpečnostní compliance do jediné strategie, která vydrží i opakované změny pravidel. Pomůžeme vám:

  • posoudit, zda a do jaké kategorie podle zákona č. 264/2025 Sb. spadáte,
  • nastavit modulární compliance odolnou vůči chystané novele NIS2,
  • ochránit jednatele dokumentací rozhodovacího procesu (péče řádného hospodáře),
  • promítnout bezpečnostní požadavky do dodavatelských smluv.

Domluvte si nezávaznou konzultaci zdarma s advokátem Legal Partners. Společně určíme, kam dnes investovat a co naopak odložit, abyste neplýtvali prostředky na pravidla, která se mohou změnit – a přitom byli plně chráněni už teď.

Časté dotazy

Můžeme s implementací zákona o kybernetické bezpečnosti počkat, až EU NIS2 zjednoduší?

Ne. Návrh Komise z 20. 1. 2026 není účinné právo a legislativní proces potrvá měsíce až roky. Český zákon č. 264/2025 Sb. je účinný od 1. 11. 2025 a NÚKIB může kontrolovat a sankcionovat již dnes. Vyčkávání navíc ohrožuje statutáry, kteří mají povinnost jednat s péčí řádného hospodáře.

Přijdeme o investici do compliance, pokud se NIS2 zjednoduší?

Zpravidla ne. Zjednodušení míří hlavně na administrativní zátěž a reporting, nikoli na jádro bezpečnostních opatření a řízení rizik dodavatelského řetězce. Funkční bezpečnostní opatření zůstanou potřebná v každé verzi. Proto doporučujeme investovat do substantivního jádra a dokumentaci stavět modulárně.

Jaké riziko nese jednatel, pokud firma povinnosti neplní?

Jednatel může porušit péči řádného hospodáře podle zákona o obchodních korporacích a odpovídat za škodu celým svým majetkem, v krajním případě ručit za dluhy korporace. Ochranou je doložený rozhodovací proces a zavedení opatření odpovídajících účinnému zákonu, nikoli spoléhání na budoucí zmírnění pravidel.

nis2kybernetická bezpečnostcomplianceřízení rizikodpovědnost jednatelequadmondaktuálně

Potřebujete jistotu u svého případu?

Tato odpověď je obecná. Konkrétní situaci s vámi nezávazně probere advokát Legal Partners.

Nezávazná konzultace →

Máte podobný, ale konkrétnější dotaz?

Zeptat se asistenta →

⚖️ Tento nástroj poskytuje obecnou právní orientaci, není to právní rada. Odpovědi mohou obsahovat chyby — vždy ověřte u citovaného paragrafu. U závažných nebo sporných případů konzultujte advokáta.

Obecná informace, nenahrazuje individuální právní poradu.

Související

NIS2 podruhé: zákon č. 264/2025 Sb. vs. zjednodušení EU – co hrozí firmám

EU navrhuje zjednodušení NIS2, ČR ji ale už implementovala zákonem č. 264/2025 Sb. Hrozí firmám re-implementace a dvojí náklady? Analýza rizik a řešení pro SME.

nis2kybernetická bezpečnostcomplianceřízení rizik

NIS2 podruhé: revize EK z ledna 2026 a nová novela zákona č. 264/2025 Sb.

EK navrhla revizi NIS2 jen měsíce po účinnosti českého zákona o kyberbezpečnosti. Co regulatorní nestabilita znamená pro 6 000+ firem a jak řídit riziko.

nis2kyberbezpečnostcomplianceřízení rizik

Nový zákon o kybernetické bezpečnosti: NIS2 a odpovědnost statutárů

Zákon č. 264/2025 Sb. přenáší odpovědnost za kyberbezpečnost na jednatele. Hrozí pokuty až 10 mil. EUR. Zjistěte, zda vaše firma spadá pod NIS2 a co dělat.

nis2kybernetická bezpečnostodpovědnost jednatelepéče řádného hospodáře

NIS2 a kybernetická bezpečnost: na koho dopadá a co s tím

NIS2 a nový zákon o kybernetické bezpečnosti: zjistěte, zda vaše firma spadá pod regulaci, jaké máte povinnosti, jak hlásit incidenty a čím ručí vedení.

nis2kybernetická bezpečnostgdprcompliance