NIS2, nový český ZoKB a změny z Bruselu: co teď musí řešit jednatelé
Firmy sotva utratily statisíce za compliance podle nového zákona o kyberbezpečnosti účinného od listopadu 2025 — a 20. ledna 2026 přišel Brusel s návrhem, jak NIS2 „zjednodušit". Vzniká tak paradox: český zákon je platný, evropský rámec se mění a jednatel nese osobní odpovědnost za obojí. V tomto článku vysvětlíme, co je jistota, co je jen návrh a kde firmy nejvíc riskují peníze a osobní ručení statutárů.
Co se vlastně stalo — a proč to řešit hned teď
Česká republika transponovala evropskou směrnici NIS2 novým zákonem o kybernetické bezpečnosti (ZoKB), který nabyl účinnosti v listopadu 2025. Tisíce firem — od výrobců přes logistiku a zdravotnictví až po digitální služby — v posledních měsících hektiky prováděly analýzu, zda spadají do režimu „vyššího" nebo „nižšího" významu, zaváděly bezpečnostní opatření, jmenovaly odpovědné osoby a registrovaly se u NÚKIB.
A pak, 20. ledna 2026, Evropská komise navrhla zjednodušení NIS2 (viz zdroj Acresia). Pro majitele firem to zní jako výsměch: právě jsem doinvestoval compliance a Brusel už pravidla mění.
Klíčové je ale hned na začátku oddělit jistotu od nejistoty:
- Jistota: český ZoKB je účinný, povinnosti z něj plynou a NÚKIB podle něj postupuje už dnes.
- Nejistota: návrh Komise je zatím jen návrh. Musí projít řádným legislativním procesem EU (Rada, Evropský parlament), pravděpodobně se změní a teprve poté by se promítl do českého práva novelou ZoKB.
Praktický závěr pro firmu je proto jednoznačný a možná překvapivý: návrh z Bruselu nic neruší a neodkládá. Kdo by čekal na „zjednodušení", riskuje sankce podle platného zákona za období, kdy návrh ještě nebyl a možná ani nebude schválen.
Proč EU mění pravidla, která právě začala platit
Zjednodušení NIS2 je součástí širší vlny omnibusů a deregulace (zjednodušení reportingu, ESG, administrativní zátěže), kterou Komise prosazuje kvůli konkurenceschopnosti evropských firem. Cílem má být zejména:
- odbourání duplicitních reportovacích povinností,
- proporcionalita požadavků vůči menším subjektům,
- zpřehlednění vztahu NIS2 k dalším předpisům (např. DORA pro finanční sektor, kybernetická pravidla pro produkty).
Motiv je legitimní — praxe ukázala, že NIS2 dopadá na širší okruh subjektů, než mnozí čekali, a náklady na compliance u menších firem byly disproporční. Kritika ovšem míří na načasování: měnit rámec ve chvíli, kdy členské státy teprve dokončily transpozici, vytváří regulatorní nejistotu, která je sama o sobě nákladem. Firma nemůže plánovat investice do bezpečnosti na tři roky dopředu, když neví, jaká bude cílová podoba pravidel.
Zasazení do českého práva: kde je hranice mezi EU a národním zákonem
Zde je důležitý ústavní a systémový bod. Směrnice (na rozdíl od nařízení) není přímo účinná — zavazuje stát k výsledku, ale právní povinnosti pro firmy vznikají až národním provedením. To je stejný princip, na kterém stojí i řada jiných předpisů; například zákon o obchodních korporacích výslovně uvádí, že „zapracovává příslušné předpisy Evropské unie" (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗).
Z toho plyne pro řízení firmy zásadní logika:
- Dokud Komise návrh jen navrhla, český ZoKB se nemění a platí v plném rozsahu.
- Změna v Bruselu by nejprve musela být schválena jako novela směrnice.
- Teprve pak by ČR musela (v transpoziční lhůtě) ZoKB novelizovat — a firmy by dostaly nový, jasně ohraničený čas na úpravu.
Jednatel tedy nesmí zaměňovat „politický signál z Bruselu" za „platnou úpravu". Právní jistotu dnes tvoří výhradně účinný český zákon.
Řízení rizik pohledem QUADMOND™: proč to spadá do kvadrantu Q1
V systému řízení rizik QUADMOND™ patří kybernetická compliance dnes jednoznačně do kvadrantu Q1 — vysoká pravděpodobnost dopadu, vysoká závažnost. Důvody:
- Sankce jsou reálné a vysoké. ZoKB (v návaznosti na NIS2) počítá s pokutami, které mohou dosáhnout milionů korun, resp. procentního podílu na obratu. To není teoretické riziko — je to riziko účinné hned.
- Osobní odpovědnost statutárů. Jednatel či člen představenstva odpovídají za péči řádného hospodáře. Zanedbání kybernetické compliance (nezavedení opatření, neregistrace, nenahlášení incidentu) může být kvalifikováno jako porušení péče řádného hospodáře s rizikem náhrady škody z vlastního majetku.
- Provozní riziko. Kybernetický incident bez zavedených opatření znamená nejen sankci, ale i výpadek provozu, ztrátu dat a reputační škodu.
Zásada Q1 zní: rizika s vysokou pravděpodobností i závažností se neodkládají, řeší se přednostně a proaktivně. Čekání na bruselský vývoj je typická chyba „paralýzy z nejistoty", kterou QUADMOND™ výslovně identifikuje jako past.
Konkrétní dopady pro majitele firem a jednatele
Rozeberme, co návrh Komise reálně mění na vašem to-do listu:
1. Nic neodkládejte. Registrace u NÚKIB, zavedení bezpečnostních opatření a nastavení procesu hlášení incidentů zůstávají povinné podle platného ZoKB. Odklad = riziko sankce za mezidobí.
2. Dokumentujte rozhodování. Statutár se chrání tím, že prokáže informované a odborné rozhodnutí. Zápisy z jednání, analýzy dopadu, smlouvy s dodavateli IT bezpečnosti — to je materiál, který v případě sporu prokazuje péči řádného hospodáře. Doporučujeme, aby zásadní kroky schvaloval příslušný orgán a byly řádně zdokumentovány, obdobně jako je pečlivě evidována jakákoli změna zakladatelského dokumentu (srov. povinnost jednatele bez zbytečného odkladu vyhotovit úplné znění společenské smlouvy a uložit ji do sbírky listin dle § 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗).
3. Nastavte compliance modulárně. Chytré řešení není postavit vše „na míru dnešnímu znění", ale nastavit bezpečnostní architekturu tak, aby snesla budoucí zpřísnění i zmírnění. Modulární přístup minimalizuje náklady na budoucí novelu.
4. Prověřte dodavatelský řetězec. NIS2 i ZoKB kladou důraz na bezpečnost dodavatelů. Toto téma v bruselském návrhu nezmizí — naopak. Revize smluv s IT a cloud dodavateli (odpovědnost, hlášení incidentů, auditní práva) je bez ohledu na novelu vysoká priorita.
5. Sledujte legislativní proces, ale neřiďte se návrhem. Nastavte si monitoring vývoje směrnice a připravovaných novel ZoKB. Reagujte až na schválené znění, ne na tiskovou zprávu.
Kritika versus realismus: náš verdikt
Frustrace firem je oprávněná — měnit pravidla ihned po transpozici je špatná regulatorní praxe a zvyšuje náklady na nejistotu. Zároveň je ale férové říct, že navrhované zjednodušení je pro většinu firem dobrou zprávou: směřuje k proporcionalitě a nižší administrativní zátěži, nikoli k novým povinnostem.
Skutečné riziko tedy nespočívá v tom, že se pravidla mění. Spočívá v chybné reakci firem — v odkládání compliance v naději, že „to Brusel stejně zruší". To je z pohledu QUADMOND™ nejnebezpečnější scénář: firma zůstane bez ochrany podle platného zákona a zároveň nebude připravena na finální podobu úpravy.
Analogii lze najít i v regulaci kapitálového trhu, kde české právo předepisuje přesné procesní lhůty a dohledové mechanismy (např. lhůty a role ČNB u veřejných návrhů podle § 331§ 331 § 331(1) Česká národní banka může ve lhůtě 15 pracovních dnů ode dne doručení veřejného návrhu smlouvy vydat rozhodnutí o zákazu učinit veřejný návrh smlouvy, nebo výzvu k odstranění vad návrhu včetně nedostatečného odůvodnění přiměřenosti protiplnění. (2) Vydání rozhodnutí o zákazu učinit veřejný návrh smlouvy je prvním úk…Oficiální znění ↗ a § 332§ 332 § 332Povinný veřejný návrh smlouvy podle § 330 lze učinit až poté, co marně uplyne lhůta pro vydání rozhodnutí o zákazu učinit tento veřejný návrh smlouvy podle § 331, ledaže Česká národní banka před uplynutím lhůty podle § 331 oznámí navrhovateli, že ukončila přezkum.Oficiální znění ↗). Regulace se vyvíjí, ale povinnosti platí v každém okamžiku podle aktuálně účinného znění — přesně tak je třeba přistupovat i k ZoKB.
Jak vám pomůžeme / Další krok
Kybernetická compliance dnes stojí na křižovatce: platný český zákon vyžaduje okamžité kroky, zatímco evropský rámec se mění. Advokáti Legal Partners v rámci systému QUADMOND™ pomáhají firmám:
- posoudit, zda a v jakém režimu spadáte pod ZoKB,
- nastavit compliance odolnou vůči budoucím změnám NIS2,
- ochránit statutáry před osobní odpovědností správnou dokumentací rozhodování,
- revidovat smlouvy s IT a cloud dodavateli.
Nabízíme vám nezávaznou konzultaci zdarma s advokátem Legal Partners. Během ní vyhodnotíme vaši aktuální expozici a řekneme vám konkrétně, co je nutné udělat teď a co počká na finální novelu. Ozvěte se — o vaší připravenosti dnes rozhoduje jistota platného zákona, ne návrh z Bruselu.
Časté dotazy
Ruší návrh Evropské komise z 20. 1. 2026 povinnosti podle českého ZoKB?
Ne. Jde zatím pouze o návrh, který musí projít legislativním procesem EU a následně by se do českého práva promítl až novelou zákona o kybernetické bezpečnosti. Do té doby platí ZoKB účinný od listopadu 2025 v plném rozsahu a firmy podle něj musí plnit své povinnosti.
Může jednatel odpovídat osobně za zanedbání kybernetické compliance?
Ano. Nezavedení požadovaných opatření, neregistrace u NÚKIB nebo nenahlášení incidentu může být posouzeno jako porušení péče řádného hospodáře. Statutár pak riskuje náhradu škody z vlastního majetku. Ochranou je informované, doložitelné a odborně podložené rozhodování.
Má smysl odkládat compliance a počkat na zjednodušení NIS2?
Nedoporučujeme. Odklad znamená riziko sankce za období, kdy návrh ještě nebyl schválen a možná ani nebude v navržené podobě. Vhodnější je nastavit bezpečnostní opatření modulárně, aby snesla budoucí zpřísnění i zmírnění pravidel.
Koho se ZoKB vlastně týká?
Okruh subjektů je oproti předchozí úpravě širší a zahrnuje firmy v tzv. režimu vyššího a nižšího významu napříč odvětvími (energetika, doprava, zdravotnictví, výroba, digitální služby aj.). Zda spadáte pod zákon a v jakém režimu, je vhodné individuálně posoudit — s tím vám pomůžeme na nezávazné konzultaci.