NIS2 podruhé: revize EK z ledna 2026 a nová novela zákona č. 264/2025 Sb.
Český zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) nabyl účinnosti v listopadu 2025 a dopadá na více než 6 000 subjektů. Sotva firmy stihly nasadit první opatření, navrhla Evropská komise 20. 1. 2026 revizi směrnice NIS2 — což znamená, že čerstvě účinný český zákon se bude muset znovu novelizovat. Pro majitele firem to není akademická debata: je to přímé riziko utopených nákladů, opakovaných auditů a osobní odpovědnosti vedení.
Co se vlastně stalo a proč to firmy zasáhne
Evropská komise 20. 1. 2026 navrhla revizi směrnice NIS2 (zdroj: ACRESIA) s deklarovaným cílem „zjednodušení". Problém spočívá v načasování. Česká republika transponovala původní NIS2 zákonem č. 264/2025 Sb. o kybernetické bezpečnosti, který nabyl účinnosti v listopadu 2025. Mezi účinností českého zákona a návrhem jeho budoucí příčiny změny tak uplynuly řádově týdny.
Vznikla situace, kterou lze z pohledu řízení rizik označit za regulatorní nestabilitu: subjekt práva má povinnost splnit účinný zákon, přestože ví, že tento zákon bude muset být v dohledné době novelizován kvůli změně předpisu, který je jeho zdrojem. Firmy investují do compliance podle pravidel, jejichž životnost je omezená.
Tento mechanismus není v českém právu nový — je strukturálně zabudován do způsobu, jakým ČR přebírá unijní předpisy. I zákon o obchodních korporacích výslovně uvádí, že „zapracovává příslušné předpisy Evropské unie" (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗). Jakmile se mění unijní zdroj, musí se měnit i český zákon. U kyberbezpečnosti je ale tempo a dopad mnohem rychlejší a širší.
Koho se to týká: regulovaný subjekt, ne IT oddělení
Zásadní omyl, který v praxi vidíme, je vnímání kyberbezpečnosti jako „věci IT". Zákon č. 264/2025 Sb. rozlišuje subjekty na významné a základní podle sektoru, velikosti a kritičnosti služby. Dohromady spadá do regulace přes 6 000 subjektů — výrazně více než za předchozího režimu.
Klíčová změna oproti minulosti je posun odpovědnosti směrem nahoru. Povinnosti se neukládají „síti", ale regulovanému subjektu jako právnické osobě a jejímu statutárnímu orgánu. Pro jednatele a členy představenstva to znamená, že nasazení bezpečnostních opatření, jejich schvalování a kontrola jsou součástí péče řádného hospodáře. Selhání zde není provozní chybou technika — je to potenciální porušení povinností člena orgánu se všemi důsledky odpovědnosti za škodu.
Co konkrétně regulace vyžaduje
- registrace subjektu u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) ve stanovené lhůtě,
- zavedení bezpečnostních opatření přiměřených riziku (řízení aktiv, řízení dodavatelů, řízení incidentů, kontinuita činnosti),
- hlášení významných kybernetických incidentů,
- pravidelný přezkum a aktualizace opatření.
Právě poslední bod je tím, kde se regulatorní nestabilita potkává s rozpočtem firmy: opatření nasazená podle aktuálního znění bude nutné revidovat, jakmile revize NIS2 dopadne do české novely.
Co znamená „revize NIS2" v praxi přechodu na nová pravidla
Návrh Komise směřuje podle dostupných informací ke zjednodušení a snížení administrativní zátěže — zejména pro menší a střední subjekty a v oblasti reportingu. To je samo o sobě dobrá zpráva. Špatná zpráva je proces: než se z návrhu Komise stane účinné české právo, projde návrh řádným legislativním procesem na úrovni EU (Rada, Parlament), následně transpozicí do českého zákona a teprve poté nabude účinnosti.
Mezitím platí účinný zákon č. 264/2025 Sb. Firma se nemůže řídit „budoucím zněním" — musí plnit to současné. Tento princip není výjimkou; obdobně i v jiných oblastech práva platí, že účinnost se váže k pevnému okamžiku (srov. logiku ustanovení o účinnosti, např. § 786§ 786 ÚČINNOSTTento zákon nabývá účinnosti dnem 1. ledna 2014.Oficiální znění ↗ zákona o obchodních korporacích, kde zákon „nabývá účinnosti dnem 1. ledna 2014"). Změny pak nastupují až k dalšímu pevnému okamžiku — podobně jako změny stanov nabývají účinnosti dnem schválení, neplyne-li něco jiného ze zákona či usnesení (§ 554§ 554 § 554(1) Změny stanov nabývají účinnosti dnem, kdy je členská schůze schválila, ledaže plyne ze zákona nebo usnesení členské schůze, že nabývají účinnosti později. (2) Dojde-li ke změně stanov na základě právní skutečnosti, představenstvo družstva vyhotoví úplné znění stanov bez zbytečného odkladu poté, co se některý z člen…Oficiální znění ↗ odst. 1).
Pro firmu z toho plyne praktický závěr: nelze čekat na revizi a odložit compliance. Kdo dnes nesplní účinný zákon s odkazem na „chystanou změnu", porušuje právo bez ohledu na to, že se pravidla brzy zjemní.
Quadmond pohled: kvadrant Q1 a řízení regulatorního rizika
V systému řízení rizik QUADMOND™ patří tato situace jednoznačně do kvadrantu Q1 — riziko s vysokou pravděpodobností a vysokým dopadem, které je nutné aktivně řídit, nikoli přijmout nebo ignorovat. Důvody:
- Vysoká pravděpodobnost. Změna nepřijde „možná" — proces revize NIS2 už byl zahájen. Novelizace českého zákona je tedy téměř jistá.
- Vysoký dopad. Dotčeno je 6 000+ subjektů, sankce za nesplnění mohou být citelné a odpovědnost dopadá osobně na vedení.
- Časová tíseň. Účinný zákon platí teď; budoucí změna nezbavuje firmu dnešních povinností.
Strategická chyba č. 1 je „big bang" investice — jednorázové nákladné nasazení rigidního řešení šitého přesně na aktuální znění. Při novele se část investice znehodnotí (utopené náklady) a firma platí audit a reimplementaci znovu.
Strategická chyba č. 2 je paralýza — odklad opatření v očekávání, že se pravidla zjednoduší. To vystavuje vedení riziku sankce a osobní odpovědnosti za období, kdy zákon platil v plné síle.
Doporučená strategie: modulární a procesní compliance
Z Q1 logiky plyne řešení postavené na adaptabilitě:
- Procesy nad nástroje. Investujte primárně do řízení rizik, dokumentace a procesů (řízení incidentů, dodavatelů, kontinuity), které přežijí novelu. Nakupte technologie tak, aby byly modulární a vyměnitelné.
- Dokumentace „proč", ne jen „co". Pokud je opatření odůvodněno analýzou rizik, je obhajitelné i po změně pravidel. Princip průhledného odůvodnění zná i obchodní právo — např. povinnost uveřejnit stanovisko a zdůvodnění návrhů (§ 362§ 362 § 362(1) Návrhy a protinávrhy doručené společnosti nejpozději 3 dny před konáním valné hromady uveřejní představenstvo nebo správní rada bez zbytečného odkladu na internetových stránkách společnosti. Jsou-li návrhy a protinávrhy doručeny nejpozději 5 dnů před konáním valné hromady, uveřejní představenstvo nebo správní rada …Oficiální znění ↗ odst. 1 a 2), aby adresát chápal důvody.
- Mapování dodavatelského řetězce. Řízení dodavatelů je jádrem NIS2 i jeho revize. Tato práce se neznehodnotí.
- Watching brief. Sledujte legislativní vývoj revize a transpozici, ale neměňte plnění účinného zákona dříve, než novela nabude účinnosti.
Konkrétní dopady pro majitele firem a jednatele
- Rozpočet: počítejte se dvěma vlnami nákladů — splnění současného zákona a následná adaptace na novelu. Modulární přístup tyto náklady minimalizuje.
- Osobní odpovědnost: statutární orgán musí prokázat péči řádného hospodáře. Doporučujeme rozhodnutí o kyberbezpečnosti formálně projednat a zdokumentovat na úrovni orgánu, nikoli jen ústně delegovat na IT.
- Smlouvy s dodavateli: revidujte SLA a bezpečnostní doložky tak, aby umožnily promítnutí budoucích regulatorních změn bez renegociace celé smlouvy.
- Lhůty: nepodceňte registrační a oznamovací lhůty u NÚKIB — jejich zmeškání je nejčastější a zbytečné porušení.
- Pojištění: zvažte kybernetické pojištění a prověřte, zda nevylučuje plnění při nesplnění zákonných povinností.
Verdikt: oprávněná kritika, ale ne výmluva pro nečinnost
Kritika regulatorní nestability je věcně oprávněná. Transpozice zdrojového předpisu těsně před jeho revizí zatěžuje firmy dvojí adaptací a podkopává předvídatelnost — základní hodnotu právního prostředí. Zjednodušení NIS2 je vítané, ale jeho načasování je z hlediska firem nešťastné.
Z pohledu řízení rizik je ale závěr jednoznačný: regulatorní nestabilita je riziko, které se řídí, ne na které se čeká. Firma, která postaví compliance modulárně a procesně, projde oběma vlnami pravidel s minimálními ztrátami. Firma, která buď přeinvestuje, nebo odloží, prohraje v obou scénářích.
Jak vám pomůžeme / Další krok
V Legal Partners spojujeme právní analýzu s metodikou řízení rizik QUADMOND™. Pomůžeme vám zařadit vaši firmu do správné kategorie podle zákona č. 264/2025 Sb., nastavit modulární a obhajitelnou compliance, ošetřit osobní odpovědnost statutárního orgánu a připravit smlouvy s dodavateli tak, aby ustály i nadcházející revizi NIS2.
Nabízíme vám nezávaznou konzultaci zdarma s advokátem Legal Partners, na které posoudíme vaši konkrétní expozici a navrhneme další postup. Ozvěte se nám — čím dříve riziko zařadíte do Q1 a začnete ho řídit, tím levnější a klidnější bude obě vlny regulace zvládnout.
Časté dotazy
Musíme plnit zákon č. 264/2025 Sb. už teď, když se NIS2 bude měnit?
Ano. Zákon je účinný od listopadu 2025 a platí v plném rozsahu. Chystaná revize NIS2 ani budoucí novela vás dnešních povinností nezbavuje — účinné právo se nedá nahradit očekávaným zněním. Odklad opatření vystavuje vedení riziku sankce a osobní odpovědnosti.
Jak poznáme, zda naše firma do regulace spadá?
Záleží na sektoru, velikosti a kritičnosti poskytované služby; zákon rozlišuje subjekty významné a základní. Dohromady jde o více než 6 000 subjektů. Zařazení je právně i fakticky náročné a chyba v něm má přímé důsledky — proto doporučujeme posouzení s advokátem.
Jak investovat do kyberbezpečnosti, aby nás novela NIS2 nezničila rozpočtově?
Modulárně a procesně. Investujte primárně do řízení rizik, dokumentace a procesů, které přežijí novelu, a technologie volte vyměnitelné. Tím minimalizujete utopené náklady při budoucí adaptaci na revidovaná pravidla.
Nese odpovědnost za kyberbezpečnost jednatel, nebo IT?
Povinnosti dopadají na regulovaný subjekt a jeho statutární orgán. Pro jednatele a členy představenstva je řízení kyberbezpečnosti součástí péče řádného hospodáře, proto by rozhodnutí měla být formálně projednána a zdokumentována na úrovni orgánu.