Rok 2026 je první rok, kdy se z příprav stává ostrý provoz. Některé firmy už mají NÚKIB registraci za sebou, jiné teprve zjišťují, že se jich NIS2 směrnice týká také. Dobrá zpráva je, že NIS2 compliance není jen další papírová povinnost. Když se uchopí technicky správně, zlepší dostupnost služeb, řízení rizik, práci s dodavateli i schopnost reagovat na incident.

V Quantcomu v této vrstvě pomáháme tam, kde legislativa naráží na infrastrukturu. Především prostřednictvímbezpečné konektivity, datových sítí, DDoS ochrany, cloudu, housingu a kontinuity provozu.

Spadá vaše firma pod NIS2 a máte za sebou registraci u NÚKIB?

První otázka pro rok 2026 nezní, jaký bezpečnostní nástroj koupit. Zní jednodušeji: patří vaše firma mezi regulované subjekty podle NIS2, nebo ne? Orientačním vodítkem bývá hranice 50 a více zaměstnanců nebo roční obrat či bilanční suma nad 10 milionů EUR. Jenže u českých firem bývá realita složitější.

Do posouzení mohou vstoupit propojené a partnerské podniky, holdingové struktury nebo skupiny, kde výpadek jedné společnosti ovlivní provoz druhé. Mnoho firem si myslí, že jsou malé, ale protože patří do velkého holdingu, NIS2 se jich týká „skrze matku“.

NÚKIB pracuje s principem sebeidentifikace. Firma tedy nemá čekat, až jí někdo napíše. Musí sama vyhodnotit, zda poskytuje regulovanou službu, v jakém sektoru působí a zda spadá do režimu vyšších nebo nižších povinností.

Jaký je rozdíl mezi režimem vyšších a nižších povinností?

Co dělat, když jste registraci nestihli?

Registrace u NÚKIB měla proběhnout do konce roku 2025. Pokud jste ji nestihli, neřešte to mlčením, ale postupujte takto:

1. Ověřte, zda splňujete kritéria, včetně propojených a partnerských podniků v holdingu.
2. Určete odpovědnou osobu a sestavte evidenci aktiv: seznam regulovaných služeb, kontaktních osob, IP rozsahů, domén a klíčových systémů.
3. Proveďte ohlášení přes Portál NÚKIB (Portál digitálního státu).
4. Interně si nastavte harmonogram dalších kroků a termíny pro zavedení opatření.

Bez evidence aktiv se z registrace rychle stane improvizace. Bez seznamu toho, co vlastně chráníte (hardware, software, data), nelze NIS2 splnit.

Proč už se ředitel nemůže vymlouvat na IT?

Jednou z největších změn NIS2 je přesun odpovědnosti směrem k vedení firmy. Odpovědnost managementu za kybernetickou bezpečnost už není fráze z bezpečnostní politiky. Statutární orgány a vrcholové vedení mají schvalovat opatření, dohlížet na jejich plnění a rozumět rizikům, která firma přijímá. Věta „to je věc IT“ před regulátorem neobstojí.

To neznamená, že CEO musí konfigurovat firewall. Znamená to, že vedení musí vědět, které služby jsou kritické, jak dlouhý výpadek firma ustojí, kdo rozhoduje při incidentu a zda existuje plán obnovy. Součástí povinností je i pravidelné školení. A to nejen zaměstnanců, ale výslovně také samotného managementu.

Rizikem nejsou jen NIS2 pokuty, i když nejsou zanedbatelné. Směrnice NIS2 počítá se sankcemi až 10 milionů EUR nebo 2 % celosvětového ročního obratu, podle toho, co je vyšší.

U členů vedení navíc hrozí i pozastavení výkonu řídicí funkce, dokud firma nezjedná nápravu. Větší škody ale často vznikají výpadkem výroby, ztrátou dat, smluvními sankcemi nebo reputačním dopadem. Proto musí management řešit rozpočet, školení, dodavatele, kontinuitu provozu a pravidelné vyhodnocování rizik. Kyberbezpečnost už není technický detail. Je to součást řízení firmy.

Proč MFA, segmentace sítě a DDoS ochrana nejsou nadstandard?

Bezpečnostní opatření NIS2 sice nejsou nákupní seznam produktů, ale několik technických kroků se v roce 2026 objevuje téměř v každém rozumném plánu.

Kde všude musí být vícefaktorová autentizace?

Prvním krokem je vícefaktorová autentizace neboli MFA. Ta má být standardem pro administrátorské účty, vzdálený přístup, cloudové konzole, e-mail, kritické aplikace i účty dodavatelů. Heslo samo o sobě už nestačí.

Proč nestačí jedna plochá síť?

Druhým krokem je segmentace sítě. Výrobní technologie, kancelářská síť, zálohovací infrastruktura, servery, správa a hostovská Wi-Fi nemají být jedna plochá síť. U firem s více lokalitami dává smysl řešit segmentaci společně s návrhem datových služeb, tedy SD-WAN (Software-Defined Wide Area Network), MPLS (Multiprotocol Label Switching) a propojení poboček.

Jak souvisí dostupnost služeb s DDoS ochranou?

Třetí oblastí je dostupnost. NIS2 řeší kontinuitu provozu, a proto sem patří i ochrana před DDoS (Distributed Denial of Service) útoky. DDoS útok nekrade data. Bere dostupnost. Rekordní útok z přelomu let 2024 a 2025 dosáhl 5,6 Tbps a velikost útoků rok od roku roste. Pro e-commerce, logistiku, SaaS, výrobu nebo zákaznické portály může být výpadek stejně drahý jako ransomware. Jak rekordní útoky vypadají a jak se vyvíjely, popisujeme v článku Největší DDoS útoky v historii.

V Quantcomu mitigujeme DDoS útoky přímo v páteřní síti. To je zásadní rozdíl, protože zahlcený uplink nevyřeší firewall v serverovně. Jakmile je linka plná, provoz se k firewallu ani nedostane.

Ochrana musí začínat před zákaznickou přípojkou, tedy v síti operátora. Proto má pro NIS2 smysl řešit bezpečnostní služby společně s firemním internetem a návrhem celé síťové architektury.

Proč může být nejslabším článkem dodavatel a jak smluvně ošetřit spolupráci?

Dodavatelský řetězec je část NIS2, kterou firmy často podcení. Přitom externí správce, cloudová služba, poskytovatel konektivity, účetní systém, servisní firma nebo výrobní technologie mohou mít přístup k datům, síti nebo kritickým procesům. NIS2 proto nekončí u vašich zaměstnanců a vašich serverů.

V praxi to znamená zmapovat dodavatele, určit jejich dopad na provoz a upravit smlouvy tak, aby odpovídaly požadavkům nového zákona o kybernetické bezpečnosti. U kritických dodavatelů má smlouva řešit dostupnost, SLA(Service Level Agreement), hlášení incidentů, přístupy, auditovatelnost a postup při ukončení spolupráce. Dodavatelský účet bez MFA a bez jasného vlastníka je bezpečnostní dluh, ne provozní zkratka.

U konektivity a infrastruktury má výběr dodavatele přímý dopad na kybernetickou bezpečnost B2B. V Quantcomu provozujeme vlastní optickou infrastrukturu, B2B síťové služby a datová centra. Pro regulované firmy je důležité, že se neřeší jen cena linky za měsíc, ale dostupnost, dohled, incidentní komunikace a technická podpora 24/7. Proto dává smysl kombinovat vlastní optickou síť, záložní trasu, privátní propojení poboček a server housing.

Jak rychle musíte hlásit incident a proč u něj nezačínáte hledáním logů?

U incidentů rozhodují hodiny. U významného kybernetického incidentu se pracuje s prvotním hlášením do 24 hodin a doplněním informací do 72 hodin od zjištění. Jenže firma nemůže incident nahlásit včas, když o něm neví. Proto je hlášení kybernetických incidentů spíše technickým než právním problémem.

Základem je vědět, co je významný incident, kdo rozhoduje o eskalaci, kdo komunikuje s NÚKIB, kde jsou logy a kdo skládá časovou osu události. Bez centralizace logů, monitoringu a jasného incident response procesu je odpověď často jen odhad. Proto do NIS2 přípravy patří SIEM (Security Information and Event Management), případně SOC(Security Operations Center), pravidelné cvičení a dostupné kontakty na klíčové dodavatele.

Firmy při prvním testu často zjistí, že logují málo, zálohy nikdo neobnovoval, krizové kontakty jsou v e-mailu člověka na dovolené a komunikační kanál závisí na službě, která právě nefunguje.

Jak vám s NIS2 pomůže GAP analýza?

Nejlepší první krok není nákup platformy, ale GAP analýza NIS2. Ta porovná aktuální stav s požadavky zákona, vyhlášek a reálnými riziky firmy. Postupujte v pěti krocích:

1. Evidence aktiv. Sestavte přehled systémů, aplikací, dat, síťových prvků a jejich vlastníků. Bez toho nelze určit, které služby jsou kritické a jaký dopad by měl jejich výpadek.
2. Kontrola přístupů. Zjistěte, kde používáte vícefaktorovou autentizaci, kdo má privilegované účty, jak se připojují dodavatelé a které účty nemají jasného vlastníka.
3. Síťová architektura. Prověřte segmentaci, záložní trasy, DDoS ochranu a dohled nad provozem. Právě tady se často ukáže rozdíl mezi formální compliance a reálnou odolností.
4. Incidentní procesy a kontinuita. Nestačí mít obecný dokument, že firma „incidenty řeší". Musí být jasné, kdo rozhoduje o eskalaci, kde jsou logy, kdo komunikuje s NÚKIB a jak rychle lze obnovit kritické služby. Sem patří plány kontinuity BCP (Business Continuity Plan) a obnovy DRP (Disaster Recovery Plan), včetně zálohování a redundantních linek.
5. Dodavatelský řetězec. Zkontrolujte smlouvy s dodavateli, SLA, přístupy a povinnost hlásit incidenty.

Slabá místa, která GAP analýza neodhalí na papíře, prověří penetrační test. Co dělá etický hacker a proč ho firmy potřebují, popisujeme v samostatném článku Etický hacking jako prevence, která firmám šetří miliony.

Jak v Quantcomu řešíme technologickou vrstvu NIS2?

NIS2 často začíná u právní analýzy, ale v praxi se láme na provozu. Pokud firma nemá stabilní konektivitu, segmentovanou síť, dohled nad provozem, záložní scénáře a jasné SLA, compliance zůstane na papíře. 

Technologická vrstva NIS2 stojí na třech principech: dostupnost, oddělení a viditelnost. Služby musí běžet i při útoku nebo poruše. Kritické provozy nemají sdílet stejný síťový prostor jako běžná kancelářská zařízení. A bez logů, dohledových dat a provozní telemetrie není možné incident řídit.

Do této vrstvy vstupujeme jako B2B operátor s vlastní optickou sítí, přímým napojením na NIX.cz, datovými službami, cloudem, housingem a bezpečnostními službami. Pokud řešíte NIS2 povinnosti a potřebujete převést právní požadavky do síťové architektury, začněte u technologické vrstvy. Kontaktujte náš obchodní tým: +420 226 204 111 nebo sales@quantcom.cz. Provozní podporu poskytujeme 24/7 na +420 226 204 400 a noc@quantcom.cz.

TIP: Přečtěte si Průvodce kyberbezpečností pro české firmy 2026: od DDoS útoků po NIS2

Nejčastější otázky k NIS2 v roce 2026

Jak zjistím, jestli se NIS2 týká mojí firmy?

Začněte sebeidentifikací podle velikosti firmy, sektoru a typu poskytované služby. Orientačně se často řeší hranice 50 zaměstnanců nebo 10 milionů EUR obratu či bilanční sumy, ale rozhodující je konkrétní regulovaná služba. Pozor na propojené a partnerské podniky. Holdingová struktura může posouzení změnit a „malá" dcera velké skupiny může pod NIS2 spadnout také. Výsledek sebeidentifikace si zdokumentujte, abyste ho uměli obhájit při kontrole.

Co dělat, když jsme se nestihli registrovat u NÚKIB?

Nečekejte na výzvu. Ověřte, zda splňujete kritéria, určete odpovědnou osobu a připravte podklady pro ohlášení přes Portál NÚKIB. Současně začněte evidovat aktiva, kontakty, IP rozsahy, domény a kritické služby. Zpoždění registrace řešte aktivně, ne mlčením. Aktivní přístup je vždy lepší než čekání na dotaz regulátora.

Je vícefaktorová autentizace podle NIS2 povinná?

NIS2 není jednoduchý seznam produktů, ale MFA patří mezi základní opatření pro řízení přístupů. V praxi by měla být nasazena pro administrátory, vzdálený přístup, cloudové služby, e-mail a účty dodavatelů. Bez MFA je obtížné obhájit přiměřenou ochranu privilegovaných účtů. Důležité je řešit i výjimky a starší aplikace, které MFA nepodporují. Pro ně nastavte kompenzační opatření a plán náhrady.

Jak rychle musíme hlásit kybernetický incident?

U významných incidentů počítejte s prvotním hlášením do 24 hodin a doplněním informací do 72 hodin od zjištění. To vyžaduje monitoring, jasné role a předem připravený incident response playbook. Bez SIEM, SOC nebo centralizovaných logů firma často nezjistí incident včas. Lhůty proto začínají už u detekce. Vyplatí se proces nacvičit dřív, než ho poprvé spustí skutečný útok.

Proč NIS2 řeší dodavatele?

Dodavatel může mít přístup k síti, aplikacím, datům nebo kritickému provozu. NIS2 proto tlačí na řízení dodavatelského řetězce, smluvní povinnosti, incidentní komunikaci a kontrolu přístupů. Nestačí vědět, kdo dodává službu. Musíte vědět, co se stane při jeho výpadku nebo kompromitaci. U kritických dodavatelů proto upravte smlouvy, SLA a pravidla přístupů tak, aby odpovídaly zákonu č. 264/2025 Sb.