NIS2 podruhé: zákon č. 264/2025 Sb. vs. zjednodušení EU – co hrozí firmám

O co přesně jde: dva právní vlaky na jedné koleji

Česká republika transponovala směrnici NIS2 zákonem o kybernetické bezpečnosti č. 264/2025 Sb., účinným od 1. 11. 2025. Tisíce firem – nově zařazených mezi „regulované subjekty" v režimu vyšších i nižších povinností – právě teď utrácejí za audity, řízení rizik, bezpečnostní opatření, smluvní revize a školení.

Současně Evropská komise 20. 1. 2026 představila balíček na zjednodušení (omnibus / „digital simplification") povinností plynoucích z NIS2. Výsledek: česká úprava je účinná dříve, než se evropský rámec ustálil. Pokud Brusel směrnici změní, změna se musí promítnout do již platného českého zákona – tedy do předpisu, podle kterého firmy už dnes nastavují procesy a uzavírají smlouvy.

Pro majitele firem to je učebnicový příklad regulatorní nejistoty s rozpočtovým dopadem: investice do compliance jsou utopené (sunk cost) v okamžiku, kdy ještě není jisté, jak bude vypadat cílový stav. To je přesně typ rizika, který v systému QUADMOND™ patří do kvadrantu Q1 – vysoká pravděpodobnost, vysoký dopad, nutnost aktivního řízení teď.

Zdroj k tématu: Acresia – Evropská komise navrhuje zjednodušení NIS2.

Proč evropská změna „prosákne" až do českého zákona

České korporátní i sektorové předpisy systematicky zapracovávají právo EU – princip, který v obchodním právu výslovně vyjadřuje i závěrečné ustanovení zákona o obchodních korporacích (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗): „Tento zákon zapracovává příslušné předpisy Evropské unie." Stejnou logikou je postaven i zákon o kybernetické bezpečnosti: je to nástroj transpozice směrnice.

Důsledek je zásadní. Směrnice sama o sobě firmu přímo nezavazuje – závazný je český transpoziční zákon. Když se ale změní směrnice, členský stát má povinnost ji znovu transponovat, tedy novelizovat již účinný zákon. Firma proto nemůže spoléhat na to, že „bruselské zjednodušení" automaticky uleví jejím povinnostem; uleví jim až tehdy, kdy se promítne do české právní úpravy – a do té doby platí to, co je účinné dnes.

To vytváří tři možné scénáře, s nimiž je nutné v řízení rizik počítat:

1. Zjednodušení sníží zátěž – část dnešních investic se ukáže jako „nadstandard", ale zůstane využitelná.
2. Zjednodušení změní rozsah subjektů či kategorií – firma může vypadnout z přísnějšího režimu, nebo naopak zůstat, ale s jinak nastavenými povinnostmi.
3. Implementace se zpozdí – ČR bude muset novelizovat, čímž vznikne přechodné období dvojí logiky (starý zákon vs. připravovaná novela).

Kde firmám reálně vznikají náklady – a kde se překrývají

Riziko nepřekrývajících se nákladů (firma platí dvakrát za totéž) se koncentruje do několika oblastí:

• Smluvní dokumentace v dodavatelském řetězci. NIS2 nutí regulované subjekty kaskádovat bezpečnostní požadavky na dodavatele. Pokud se po novele EU změní definice nebo rozsah opatření, bude nutné re-negociovat desítky až stovky smluv. To je nejdražší a časově nejnáročnější položka, zejména u SME, které nemají vlastní právní oddělení.
• Technická a organizační opatření. Bezpečnostní investice (segmentace sítí, řízení přístupů, logování) mají dlouhou životnost; tady je riziko re-implementace nižší. Naopak dokumentace, politiky a směrnice se mění snadno – a budou se měnit.
• Reportingové a oznamovací procesy. Nastavení hlášení incidentů a komunikace s dohledem (NÚKIB) je citlivé na každou změnu lhůt a prahů. Princip „bez zbytečného odkladu", který český právní řád používá napříč povinnostmi – obdobně jako u korporátních oznamovacích povinností (§ 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗, § 334§ 334 § 334Představenstvo nebo správní rada bez zbytečného odkladu oznámí rozhodnutí valné hromady o vyřazení účastnických cenných papírů z obchodování na evropském regulovaném trhu České národní bance a organizátorovi regulovaného trhu, na němž se s nimi obchoduje, a uveřejní je způsobem stanoveným tímto zákonem a stanovami pro …Oficiální znění ↗, § 384§ 384 § 384(1) Představenstvo nebo správní rada podá bez zbytečného odkladu po přijetí usnesení valné hromady návrh na jeho zápis do obchodního rejstříku. Současně usnesení valné hromady a závěry znaleckého posudku, je-li vyžadován, uveřejní způsobem určeným tímto zákonem a stanovami pro svolání valné hromady společnosti a uloží …Oficiální znění ↗) – znamená, že firma musí mít procesy připravené průběžně, ne ad hoc.

Pohled řízení rizik (QUADMOND™ Q1): nejistotu nelze odstranit, jde ji ohradit

Kvadrant Q1 systému QUADMOND™ pracuje s předpokladem, že u rizik s vysokým dopadem a vysokou pravděpodobností se nečeká na vyjasnění situace – riziko se aktivně ohraničuje. Konkrétně to znamená:

1) Modularita compliance jako pojistka proti re-implementaci

Nejúčinnější obranou proti dvojím nákladům je modulární architektura compliance: oddělit jádro (technická opatření, governance), které se nemění, od „regulatorní obálky" (rozsah subjektu, prahy, lhůty, smluvní doložky), kterou lze měnit bez zásahu do jádra. Pokud je dokumentace navržena tak, že parametry citlivé na novelu jsou izolované, znamená budoucí změna úpravu, ne přepis.

2) Doložitelnost a „defensible position"

I kdyby přišla změna, klíčové je, aby firma uměla doložit, že k datu účinnosti jednala podle platného práva. Doložitelná due diligence (datovaná analýza rizik, rozhodnutí statutárního orgánu, evidence opatření) chrání jednatele před odpovědností za škodu i před sankcí dohledu. To je obrana, kterou žádná pozdější novela retroaktivně neznehodnotí.

3) Smluvní mechanismus „regulatory change"

Do smluv s dodavateli i odběrateli patří doložka o regulatorní změně – mechanismus, který umožní jednostrannou nebo zjednodušenou úpravu bezpečnostních požadavků, pokud se změní právní rámec. To dramaticky snižuje náklady budoucí re-negociace. Logika obdobná korporátní praxi, kdy zákon u některých návrhů umožňuje změnu jen tehdy, je-li výslovně vyhrazena nebo výhodnější pro druhou stranu (srov. princip v § 326§ 326 § 326(1) Veřejný návrh smlouvy nelze odvolat, jakmile byl učiněn. Změnit veřejný návrh smlouvy je možné pouze tehdy, je-li to v jeho podmínkách výslovně uvedeno nebo bude-li to pro zájemce výhodnější; takové změny se projeví i ve všech již uzavřených smlouvách. (2) Ustanovení zákona o nabídkách převzetí, o uzavírání smlouvy…Oficiální znění ↗), ukazuje, že dopředu zakotvený mechanismus změny je vždy levnější než pozdější vyjednávání bez opory.

4) Časování investic podle životnosti

Investice s dlouhou životností (technologie) lze realizovat hned. Investice citlivé na novelu (rozsáhlé hromadné re-kontraktování, drahá externí certifikace nad rámec povinného minima) je vhodné fázovat a vázat na milníky evropského legislativního procesu.

Specifika SME a dodavatelského řetězce

U malých a středních firem je problém dvojí. Jednak nemají vnitřní kapacity na sledování dvou paralelních legislativních procesů (EU + ČR). Jednak jsou nejčastěji v roli dodavatele regulovaného subjektu – povinnosti na ně dopadají smluvně, ne přímo ze zákona. To je past: zatímco velké firmy reagují na novelu samy, SME budou muset reagovat na to, jak novelu vyloží jejich odběratel, a to často s krátkou lhůtou.

Praktické doporučení pro SME:

• Trvat na přiměřenosti smluvních bezpečnostních požadavků (požadavky musí odpovídat skutečnému rozsahu povinností odběratele).
• Vyjednat přechodná období pro implementaci změn vyvolaných novelou.
• Nepřebírat smluvně povinnosti přísnější, než plynou ze zákona, jen „pro jistotu".

Co tedy dělat teď – a čeho se vyvarovat

Dělat:

• Dokončit jádro technických opatření – ta jsou „bezpečná" bez ohledu na novelu.
• Zmapovat, které části compliance jsou citlivé na změnu rozsahu/prahů.
• Vložit do smluv regulatory-change doložky.
• Vést datovanou evidenci rozhodování statutárního orgánu.

Nedělat:

• Nezastavovat compliance s odůvodněním „počkáme na Brusel" – do účinnosti novely platí současný zákon a sankce hrozí dnes.
• Nepředávat hromadně dodavatelům maximalistické požadavky bez mechanismu jejich budoucí úpravy.
• Nepodceňovat odpovědnost jednatele za řádnou péči – nejistota právního rámce není omluvou pro nečinnost.

Jak vám pomůžeme / Další krok

Otázka „investovat teď, nebo počkat na evropské zjednodušení" má jasnou odpověď: investovat chytře a modulárně, aby vás budoucí novela stála úpravu, ne novou implementaci. To ale vyžaduje právně i procesně promyšlenou architekturu compliance a smluv.

Advokáti Legal Partners v rámci systému řízení rizik QUADMOND™ (kvadrant Q1) vám pomohou nastavit compliance odolnou vůči chystaným změnám NIS2, doplnit do smluv mechanismy regulatorní změny a doložit jednatelskou péči řádného hospodáře. Nezávaznou konzultaci zdarma s naším advokátem si domluvte ještě dnes – vyhodnotíme, kde u vás hrozí dvojí náklady, a navrhneme, jak je eliminovat dřív, než přijdou.