Obchodní korporace

NIS2: Brusel mění pravidla, která ČR právě zavedla. Co to znamená pro firmy?

Evropská komise 20. ledna 2026 navrhla zjednodušení směrnice NIS2 – tedy pravidel, která český zákonodárce s vypětím sil dotransponoval zákonem o kybernetické bezpečnosti č. 264/2025 Sb. s účinností teprve od 1. listopadu 2025. Firmy, které do compliance investovaly statisíce až miliony korun, tak čelí regulatorní nejistotě: nastavovaly jste procesy podle pravidel, která už Brusel předělává? Odpověď zní: nepanikařte, ale nepřestávejte. Vysvětlíme proč a jak riziko uchopit systematicky.

Co se vlastně stalo – a proč to zní jako regulatorní chaos

Časová osa je na první pohled absurdní. Směrnice NIS2 (2022/2555) měla být do národních právních řádů transponována do 17. října 2024. Česká republika to nestihla – nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) nabyl účinnosti až 1. listopadu 2025, tedy s více než ročním zpožděním, za což ČR čelila řízení pro porušení smlouvy ze strany Komise. A sotva firmy začaly plnit nové povinnosti, přišel 20. ledna 2026 návrh Evropské komise na zjednodušení NIS2 (v rámci širšího „digital omnibus" balíčku na snižování administrativní zátěže).

Pro majitele firmy, který právě podepsal fakturu za bezpečnostní audit a interní směrnice, to vypadá jako výsměch: „Investoval jsem do pravidel, která už neplatí?" Realita je ale střízlivější – a právě v tom rozlišení leží klíč k správnému řízení rizika.

Rozlišujte návrh od platného práva – jinak uděláte drahou chybu

První a nejdůležitější orientační bod (fáze ORIENT metodiky OODA): návrh Komise není platné právo. Legislativní proces EU trvá typicky 18–36 měsíců – návrh musí projít Evropským parlamentem i Radou, kde se běžně zásadně mění nebo se části vypustí. Než případná revize NIS2 vstoupí v účinnost a než ji ČR znovu transponuje novelou zákona č. 264/2025 Sb., uplynou roky.

Mezitím platí zákon č. 264/2025 Sb. v plném rozsahu. Povinnosti účinné od 1. 11. 2025 – identifikace, zda jste regulovaným subjektem, registrace u NÚKIB, zavedení bezpečnostních opatření, hlášení incidentů – trvají bez ohledu na to, co Brusel navrhuje. Firma, která by přestala plnit s odůvodněním „vždyť se to bude měnit", se vystavuje sankcím, které NIS2 stanoví ve velmi citelné výši (u nejzávažnějších pochybení až 10 mil. EUR nebo 2 % celosvětového ročního obratu). To je řádově jiná liga než dřívější kybernetický zákon.

Čeho se zjednodušení pravděpodobně týká – a čeho ne

Podle dostupných informací ze zdroje (Acresia) a povahy „omnibus" iniciativ Komise se navrhované zjednodušení soustředí na:

  • snížení reportingové zátěže (méně duplicitních hlášení, sjednocení lhůt a formulářů),
  • jasnější kategorizaci subjektů (odstranění výkladových nejasností, kdo spadá do „důležitých" a kdo do „základních" subjektů),
  • omezení překryvů s dalšími předpisy (DORA pro finanční sektor, GDPR, CER směrnice),
  • úlevy pro menší subjekty, u nichž se zátěž ukázala jako nepřiměřená.

Co se ale téměř jistě nezmění: základní logika, že firmy v regulovaných odvětvích musí řídit kyberbezpečnost, mít technická a organizační opatření a odpovídat za incidenty. Jinými slovy – jádro compliance zůstává, mění se spíš forma a rozsah administrativy. Kdo dnes staví bezpečnost poctivě, o investici nepřijde; zjednodušení mu maximálně uleví v papírování.

Zasazení do českého práva: odpovědnost statutárního orgánu

Byť samotnou kyberbezpečnost upravuje zákon č. 264/2025 Sb., pro majitele a jednatele je rozhodující soukromoprávní odpovědnostní rovina podle zákona o obchodních korporacích. Kyberbezpečnostní compliance totiž není jen technická agenda IT – je součástí péče řádného hospodáře a povinnosti jednat s potřebnými znalostmi a pečlivostí.

Zákon o obchodních korporacích výslovně zapracovává předpisy Evropské unie (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗), což potvrzuje provázanost českého korporátního práva s evropským regulatorním rámcem – NIS2 nevyjímaje. Praktický důsledek: pokud jednatel či člen představenstva zanedbá zavedení přiměřených bezpečnostních opatření a firmu postihne pokuta nebo škoda z kybernetického incidentu, může být volán k odpovědnosti za způsobenou újmu, a to i celým svým majetkem.

Zároveň platí obecné dokumentační a evidenční povinnosti – například jednatel musí bez zbytečného odkladu vyhotovit a uložit úplné znění společenské smlouvy do sbírky listin při jakékoli změně (§ 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗). Analogicky by měl statutární orgán vést prokazatelnou dokumentaci o krocích ke splnění NIS2 – ne kvůli formalitě, ale proto, aby v případě sporu doložil, že jednal s péčí řádného hospodáře. Tato „důkazní stopa" je v řízení o odpovědnosti často rozhodující.

Řízení rizik pohledem QUADMOND™ (kvadrant Q1)

Situace „regulace se mění, zatímco ji plním" je učebnicovým příkladem rizika, které patří do kvadrantu Q1 – vysoký dopad, vysoká míra řiditelnosti. Nejde o nahodilou pohromu; jde o riziko, které lze systematickým rozhodováním výrazně snížit. Aplikujme cyklus OODA:

OBSERVE (pozoruj): Sledujte legislativní proces revize NIS2 na úrovni EU i případnou přípravu novely zákona č. 264/2025 Sb. Sledujte metodické pokyny a výklady NÚKIB – ten je primárním regulátorem a jeho stanoviska mají v praxi velkou váhu.

ORIENT (zorientuj se): Oddělte platné právo (zákon č. 264/2025 Sb. – plnit teď) od navrhovaného práva (revize NIS2 – zatím jen sledovat). Vyhodnoťte, zda jste vůbec regulovaným subjektem a v jaké kategorii.

DECIDE (rozhodni): Nastavte compliance modulárně a robustně – tak, aby se opíralo o principy (řízení rizik, řízení přístupů, kontinuita provozu), které přežijí jakoukoli revizi, nikoli o konkrétní formulářová minima, která se mohou změnit. Investujte do věcné bezpečnosti, nikoli do „papírového" splnění.

ACT (jednej): Splňte účinné povinnosti teď. Nečekejte na zjednodušení – zpoždění se sankcionuje, čekání ne.

Konkrétní dopady pro majitele firem – shrnutí

OblastDopad regulatorní nejistotyDoporučený postup
Sankční rizikoVysoké – pokuty dle NIS2 až v milionech EURPlnit zákon č. 264/2025 Sb. bez odkladu
Investice do complianceRiziko „vyhozených peněz" je nízkéStavět na principech, ne na minimech
Odpovědnost statutárůOsobní odpovědnost za škoduDokumentovat kroky (analogicky § 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗)
AdministrativaPravděpodobné budoucí úlevyNepřepálit „papírování", držet jádro
Přeshraniční působeníRiziko odlišné transpozice v EUSledovat harmonizaci, konzultovat

Klíčové sdělení: kritika mířená na „regulatorní chaos" je částečně oprávněná – zpožděná transpozice následovaná okamžitou revizí je pro firmy nekomfortní a poškozuje předvídatelnost práva. Ale prakticky nejde o důvod k paralýze. Firma, která staví kyberbezpečnost věcně a modulárně, je proti změnám regulace odolná. Firma, která nedělá nic a čeká na „finální verzi", akumuluje sankční i odpovědnostní riziko každým dnem.

Jak vám pomůžeme / Další krok

Nastavit compliance tak, aby přežilo revizi NIS2 a zároveň splnilo účinný zákon č. 264/2025 Sb., vyžaduje spojení právní a rizikové optiky. V Legal Partners posoudíme, zda a v jaké kategorii jste regulovaným subjektem, zrevidujeme vaše smlouvy a interní směrnice, nastavíme dokumentaci chránící statutární orgán před osobní odpovědností a připravíme vás na budoucí legislativní vývoj – vše v logice řízení rizik QUADMOND™.

Nabízíme vám nezávaznou konzultaci zdarma s advokátem Legal Partners. Během ní pojmenujeme vaše konkrétní rizika a navrhneme další postup. Ozvěte se – ať regulatorní nejistotu řešíte z pozice připraveného, ne dohánějícího.

Časté dotazy

Musíme plnit NIS2 (zákon č. 264/2025 Sb.) i teď, když Komise navrhla zjednodušení?

Ano. Návrh Komise z 20. 1. 2026 není platné právo – legislativní proces EU potrvá roky a poté bude nutná novela českého zákona. Zákon č. 264/2025 Sb. je účinný od 1. 11. 2025 a plně platí. Neplnění se sankcionuje pokutami až v řádu milionů eur, čekání na revizi ne.

Přijdeme o investice do kyberbezpečnostního compliance, když se pravidla změní?

Zpravidla ne. Zjednodušení míří na administrativu a reporting, nikoli na jádro povinností (řízení rizik, bezpečnostní opatření, hlášení incidentů). Pokud stavíte bezpečnost na principech a modulárně, revize vám maximálně uleví v papírování – investice do věcné bezpečnosti si zachová hodnotu.

Může jednatel osobně odpovídat za zanedbání kyberbezpečnosti?

Ano. Zajištění compliance je součástí péče řádného hospodáře podle zákona o obchodních korporacích. Zanedbá-li statutární orgán přiměřená opatření a vznikne pokuta či škoda z incidentu, může být volán k odpovědnosti za újmu. Proto je klíčové vést prokazatelnou dokumentaci o přijatých krocích.

nis2kybernetická bezpečnostobchodní korporacecomplianceřízení rizikodpovědnost jednateleaktuálně

Potřebujete jistotu u svého případu?

Tato odpověď je obecná. Konkrétní situaci s vámi nezávazně probere advokát Legal Partners.

Nezávazná konzultace →

Máte podobný, ale konkrétnější dotaz?

Zeptat se asistenta →

⚖️ Tento nástroj poskytuje obecnou právní orientaci, není to právní rada. Odpovědi mohou obsahovat chyby — vždy ověřte u citovaného paragrafu. U závažných nebo sporných případů konzultujte advokáta.

Obecná informace, nenahrazuje individuální právní poradu.

Související