Evropská unie posílila pravidla kybernetické bezpečnosti přijetím nové směrnice NIS 2 (SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)). Tato směrnice zásadně rozšiřuje okruh subjektů i odvětví s povinnostmi v oblasti bezpečnosti sítí a informací a klade vyšší nároky na ochranu před kybernetickými hrozbami. Pro české podnikatele působící v Polsku (např. jednatele společností se sídlem v Polsku) je důležité porozumět, na koho se nová regulace vztahuje, jaké povinnosti zavádí a kdy začne v Polsku platit. Níže přinášíme srozumitelný přehled směrnice NIS 2, aktuální stav její implementace v Polsku a praktická doporučení, jak se na nové požadavky připravit.
Co je směrnice NIS 2 a proč byla přijata?
Směrnice NIS 2 je akt EU zaměřený na zvýšení kybernetické bezpečnosti napříč členskými státy. Navazuje na původní směrnici NIS z roku 2016 (tzv. NIS 1) a reaguje na rostoucí počet kyberútoků ohrožujících kritické služby a podniky v Evropě. NIS 2 vstoupila v platnost v lednu 2023 na úrovni EU a členské státy měly povinnost ji promítnout do své národní legislativy do 17. října 2024. Směrnice sjednocuje právní rámec kyberbezpečnosti v EU – stanoví společné požadavky na řízení kybernetických rizik a ohlašování incidentů, zavádí přísnější dohled a vymahatelnost a posiluje spolupráci mezi státy. NIS 2 tak zvyšuje celkovou „laťku“ kybernetické odolnosti v Evropě, aby se lépe předešlo narušením služeb důležitých pro ekonomiku a společnost.
Klíčovým důvodem přijetí NIS 2 bylo rozšířit dosah a aktualizovat povinnosti oproti původní směrnici. Zatímco NIS 1 se vztahovala jen na několik odvětví a velké provozovatele, NIS 2 pokrývá více sektorů a nově se dotýká i středně velkých firem. Směrnice rovněž zdůrazňuje odpovědnost vedení společností za kybernetickou bezpečnost – vrcholový management musí na dodržování předpisů dohlížet a v případě závažného zanedbání mu hrozí postih. Cílem je přenést otázky bezpečnosti digitálních systémů až do úrovně představenstev a zajistit, že podniky budou aktivně spravovat svá kybernetická rizika, nikoli pouze reagovat až po útoku.
Koho se NIS 2 týká? Nové sektory a dotčené subjekty
Okruh působnosti NIS 2 je výrazně širší než u předchozí úpravy. Směrnice dopadá na veřejné i soukromé organizace ve vybraných kritických odvětvích – zejména na střední a velké podniky v těchto sektorech. Konkrétně NIS 2 zahrnuje všechna odvětví dříve regulovaná NIS 1 (energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, zásobování pitnou vodou, digitální infrastruktura) a nově přidává další sektory. Mezi nově dotčené oblasti patří například:
- Elektronické komunikace a digitální služby: Poskytovatelé veřejných komunikačních sítí a služeb (telekomunikace) a velké online platformy, jako jsou sociální sítě či internetová tržiště.
- Odpadní hospodářství: Služby nakládání s odpady a odpadními vodami[5].
- Výroba kritických produktů: Například výroba a distribuce chemikálií a potravinářská produkce. Dále také některé oblasti průmyslu (např. výroba zdravotnických prostředků, elektroniky či dopravních prostředků) budou zřejmě podřazeny pod kritické sektory v národní úpravě.
- Poštovní a kurýrní služby: Logistické a doručovací společnosti nově spadají do rámce NIS 2.
- Veřejná správa: Orgány veřejné správy na úrovni státu i samospráv (kraje/vojvodství, obce) budou podléhat požadavkům směrnice.
- Prostor a kosmické aktivity: Podniky působící v kosmickém sektoru (např. satelitní operátoři) jsou nově zahrnuty.
- Další kritická odvětví: Mezi „ostatní kritické sektory“ směrnice řadí také výzkum, širší segment průmyslové výroby, správu (registraci) doménových jmen a poskytovatele digitálních služeb (např. cloudové služby).
Aby se Směrnice na subjekt aplikovala, ten musí splňovat následující podmínky:
- vykonávat činnost uvedenou v příloze I nebo II Směrnice,
- mít alespoň status středního podniku ve smyslu doporučení Komise 2003/361/ES 5) nebo jej překročit,
- vykonávat podnikatelskou činnost na území Evropské unie.
Směrnice se vztahuje na všechny subjekty, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení Komise 2003/361/ES (5) nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku a které poskytují služby nebo vykonávají činnost v Unii.
Střední podnik ve smyslu článku 2 přílohy doporučení Komise 2003/361/ES (5) je podnik, který zaměstnává nejméně 50 osob a jehož roční obrat a/nebo roční bilanční suma přesahuje 10 milionů EUR.
Výjimkou však jsou některé speciální služby, které směrnice pokrývá bez ohledu na velikost organizace – zejména: poskytovatelé služeb důvěry (certifikační autority), správci domén nejvyšší úrovně a registrátoři domén a poskytovatelé veřejných komunikačních služeb, výhradní poskytovatelé služeb, jež mají zásadní význam pro zachování kritických společenských nebo hospodářských činností. Tyto subjekty jsou považovány za natolik důležité pro fungování digitálního ekosystému, že i narušení kyberbezpečnosti v zdánlivě malém subjektu může představovat významné riziko pro ekonomiku, státní bezpečnost nebo fungování společnosti (např. malý registrátor domén by mohl útočníkům otevřít cestu k mnoha jiným doménám).
Směrnice rovněž automaticky zahrnuje veřejnoprávní organizace v daných sektorech (např. státní úřady v energetice či zdravotnictví).
Jaké povinnosti NIS 2 přináší?
Směrnice NIS 2 ukládá dotčeným organizacím řadu povinností zaměřených na zvýšení úrovně zabezpečení jejich sítí, systémů a dat. Hlavními okruhy požadavků jsou:
- Zavedení řízení rizik a bezpečnostních opatření: Podniky, na které se vztahuje NIS 2 musejí přijmout vhodná technická a organizační opatření k řízení kybernetických rizik. Směrnice záměrně nestanovuje detailní technické standardy pro každého, ale vyžaduje systematický risk management – každá firma má pravidelně vyhodnocovat rizika a přijímat adekvátní bezpečnostní opatření dle povahy hrozeb a za účelem předcházení incidentům. V polském prováděcím zákoně se počítá s uložením subjektům povinností vytvořit systém řízení bezpečnosti informací (system zarządzania bezpieczeństwem informacji), který zahrne např.: pravidelné analýzy rizik, zavádění přiměřených opatření (technických i procesních), sledování kybernetických hrozeb a zranitelností používaných systémů, řízení incidentů a opatření pro prevenci a minimalizaci dopadů incidentů. Jednoduše řečeno, firmy budou muset mít procesně ošetřeno, jak předcházejí útokům a jak reagují, pokud k incidentu dojde.
- Ohlašování incidentů: Další stěžejní povinností je oznamovat závažné bezpečnostní incidenty příslušným orgánům. NIS 2 zavádí dvoustupňový systém hlášení – nejpozději do 24 hodin od zjištění incidentu musí subjekt odeslat předběžné oznámení (tzv. early warning) a do 72 hodin podrobnější hlášení s vyhodnocením a přijatými opatřeními. V Polsku se počítá s tím, že hlášení budou probíhat elektronicky přes centrální systém (označovaný S46) přímo příslušným týmům CSIRT (Cyber Security Incident Response Team). Týká se to incidentů, které mohou významně narušit službu či způsobit škody – např. rozsáhlý výpadek IT systémů, únik citlivých dat, ransomware útok paralyzující provoz apod. Rychlé nahlášení má umožnit státním orgánům (a CSIRT týmům) koordinovat reakci, varovat ostatní a případně poskytnout napadené firmě podporu. Nesplnění ohlašovací povinnosti bude pod hrozbou sankcí.
- Osobní odpovědnost vedení a školení: Novinkou NIS 2 je zdůraznění role top managementu – vrcholní vedoucí (jednatelé, členové představenstva) budou odpovědní za dodržování povinností v oblasti kyberbezpečnosti. Polská úprava výslovně zavede povinnost, aby vedoucí daného podniku absolvoval školení v kybernetické bezpečnosti, a pokud firma své povinnosti závažně zanedbá, může vedoucí čelit osobním sankcím. Cílem je, aby se agenda kybernetické bezpečnosti dostala na jednání managementu – odpovědní manažeři se nemohou vymlouvat na neznalost a musí proaktivně zajistit, že firma plní, co má.
- Pravidelné audity a dohled: Orgány státního dozoru získají širší kompetence kontrolovat stav kyberbezpečnosti u podniků. V Polsku budou příslušné resortní úřady (např. ministerstvo pro daný sektor, telekomunikační úřad UKE, finanční regulátor KNF apod.) moci nařizovat provedení bezpečnostních auditů či testů a kontrol systémů u firem v jejich sektoru. Klíčové subjekty budou navíc pod stálým dozorem – úřady k nim budou moci jmenovat styčného úředníka pro sledování plnění povinností. Polský návrh zákona rovněž počítá s periodickými audity ze strany firem: aktuálně se diskutuje cyklus auditu jednou za 3 roky. Každopádně lze očekávat, že firmy budou muset pravidelně vyhodnocovat účinnost svých opatření a výsledky dávat k dispozici dozorovým orgánům.
- Další povinnosti: Směrnice i polský návrh obsahují řadu dalších ustanovení. Například povinnost registrovat se – subjekty spadající pod zákon se budou muset zapsat do státního rejstříku subjektů, které jsou povinny řídit se povinnostmi dle zákona implementujícího NIS 2. Dále se zavádí proces pro označení „dodavatele s vysokým rizikem“ – pokud stát vyhodnotí určitého dodavatele ICT jako ohrožení (např. z důvodu napojení na cizí mocnost), budou jej muset podniky v kritické infrastruktuře eliminovat ze svých systémů. V praxi to znamená možnost plošně zakázat například používání určitého hardwaru či softwaru od rizikového výrobce (s přechodnou lhůtou na odstranění až 7 let).
- Sankce: Nesplnění výše uvedených povinností bude podléhat výrazným sankcím. Směrnice NIS 2 stanovila maximální pokuty až 10 mil. € nebo 2 % obratu dosahovaného firmou na celém světě (podle toho, co je vyšší) při vážných porušeních, přičemž u kritických subjektů jde o poloviční hranici (5 mil. € / 1 %). Polská implementace navrhuje pokuty odstupňované dle druhu prohřešku – například za neprovedení povinného auditu či neohlášení v registru může hrozit pokuta v řádu stovek tisíc zlotých.
Pro úplně nejzávažnější případy, kdy by jednání firmy způsobilo přímé a vážné ohrožení bezpečnosti státu a jeho obranyschopnosti či bezpečnosti veřejného pořádku, se dokonce zvažuje sankce až 100 milionů PLN (cca 500 mil. Kč). Kromě finančních postihů mohou úřady uložit nápravná opatření a zvažuje se i možnost dočasného zákazu výkonu funkce odpovědným osobám. Důležité je, že sankce mohou být ukládány opakovaně (např. za každý zjištěný nedostatek či incident) a jejich výše má být nastavena tak, aby odrazovala od zanedbání povinností.
Celkově lze říci, že směrnice NIS 2 zavádí komplexní regulační rámec kybernetické bezpečnosti – od prevence (analýza rizik, bezpečnostní opatření, školení) přes hlášení incidentů až po následný dohled a vymahatelnost. Přístup je risk-based (založený na posouzení rizik) namísto přesného diktování technických standardů. To dává podnikům určitou flexibilitu: mohou zavést taková opatření, která odpovídají jejich velikosti, oboru a konkrétním hrozbám. Zároveň však firmy nemohou bezpečnost ignorovat – musejí svou kybernetickou ochranu aktivně řešit a průběžně zlepšovat.
Stav implementace v Polsku a předpokládaný harmonogram
Přestože směrnice NIS 2 stanovila lhůtu pro přijetí národních zákonů do října 2024, Polsko transpozici nestihlo a s implementací se zpožďuje. Práce na novelizaci polského zákona o krajovém systému kybernetické bezpečnosti (ustawa o krajowym systemie cyberbezpieczeństwa) (dále jen „Novelizace KSC“), který zavedl požadavky NIS 1, začaly teprve na jaře 2024. Ministerstvo „cyfryzacji“ (polský rezort pro digitalizaci) zveřejnilo návrh novely KSC dne 24. dubna 2024 a od té doby probíhaly odborné i veřejné konzultace. Návrh byl několikrát upraven – poslední (pátá) verze spatřila světlo světa v únoru 2025.
Současně, na začátku listopadu 2025, Polská vláda (Rada Ministrów) teprve končí práce nad návrhem Novelizace KSC po jeho změnách a připomínkování v jednotlivých organizačních složkách vlády. To znamená, že vládní návrh zákona bude putovat do polského parlamentu (Sejmu) více než rok po uplynutí transpoziční lhůty uvedené ve směrnici NIS 2. Zpoždění si vysloužilo upozornění ze strany Evropské komise – v květnu 2025 byla Polsku (a dalším 18 státům) zaslána formální výzva k nápravě, jinak hrozí řízení před Soudním dvorem EU.
Harmonogram dalšího postupu nyní závisí na legislativním procesu v polském parlamentu. Podle dostupných informací vláda předpokládá přijetí zákona do konce roku 2025. Legislativní proces je obdobný jak v případě jiných zákonů – návrh musí schválit Sejm a Senát a poté podepsat prezident, aby vstoupil v platnost. Lze tedy očekávat, že nové povinnosti začnou v Polsku účinně platit v průběhu roku 2026 (v optimistickém případě již v první polovině roku 2026). Například v Nizozemsku je účinnost implementačního zákona plánována na 2. čtvrtletí 2026, Polsko však bude zřejmě chtít tempo dohnat dříve, aby minimalizovalo riziko sankcí ze strany EU.
Do doby plné účinnosti nové úpravy zůstává v platnosti stávající zákon o KSC (z roku 2018, transpozice NIS 1). Ten ovšem pokrývá jen omezený okruh sektorů a většina rozšíření podle NIS 2 zatím nemá oporu v závazné polské legislativě. Firmy z nově doplněných odvětví (jako je odpadové hospodářství, poštovní služby, výroba chemikálií apod.) tedy prozatím nemají zákonnou povinnost kybernetická opatření dle NIS 2 zavádět – to se však brzy změní. Stejně tak středně velké podniky, které dříve nespadaly pod KSC, budou po účinnosti novely regulovány.
Dobrou zprávou je, že opožděné zavedení polské vnitrostátní úpravy dává podnikatelům určitý čas navíc na přípravu. Nový polský zákon patrně stanoví ještě i přechodná období (např. několik měsíců na provedení prvního auditu či na vytvoření povinné dokumentace). Přesto nelze doporučit vyčkávat – kybernetická rizika jsou reálná už nyní a připravit se v předstihu je rozumné i obchodně. Polské Ministerstvo digitalizace zdůraznilo, že posunutí termínu neznamená zmírnění požadavků nebo zúžení rozsahu regulace – probíhající konzultace řeší jen upřesnění detailů ohledně vymezení subjektů a mechanismů dohledu. Nároky NIS 2 tedy podniky neminou, jen přijdou s několikaměsíčním odkladem. Vyplatí se proto využít tohoto času na systematickou přípravu, aby firmy nové povinnosti splnily hladce a vyhnuly se potížím.
Polské orgány průběžně informují o vývoji na svých oficiálních webech. Aktuální informace lze nalézt např. na stránkách Ministerstva Cyfryzacji (které publikovalo tiskové zprávy k NIS 2) či v legislativní databázi (portal Legislacja.gov.pl obsahuje celý návrh zákona a stav jeho projednávání). Pro podnikatele v Polsku dává smysl tyto zdroje sledovat, aby měli přehled o přesném znění budoucích povinností a termínech účinnosti.
Doporučení pro podnikatele: jak se připravit už nyní?
I když v Polsku začne směrnice NIS 2 platit až v nadcházejících měsících, podniky by neměly otálet s přípravami. Kybernetické útoky nečekají na legislativu a včasné zavedení bezpečnostních opatření může předejít vážným škodám. Zde je několik praktických kroků, které mohou čeští podnikatelé působící v Polsku podniknout již nyní:
- Posuďte, zda se na váš podnik NIS 2 vztahuje. Projděte si seznam sektorů a kritéria velikosti – patří vaše firma do regulovaného odvětví a je střední či velká? Pokud ano, je velmi pravděpodobné, že budete spadat mezi povinné „důležité“ či „klíčové“ subjekty. Ujistěte se, že rozumíte tomu, jak vás polská úprava klasifikuje (případně zda nejste z působnosti vyňati jako malý podnik). Vedení firmy by mělo téma kybernetické bezpečnosti povýšit na jednu ze svých priorit – ideálně jmenovat zodpovědnou osobu či tým, který bude compliance s NIS 2 řídit. Už v této fázi se vyplatí nastudovat základní požadavky směrnice (případně konzultovat experty), abyste věděli, co se od vás očekává.
- Proveďte předběžný kybernetický audit* (analýzu stavu bezpečnosti). Zmapujte své aktuální systémy, data a opatření a *identifikujte slabá místa. Cílem je zjistit, jak si stojíte vůči požadavkům NIS 2 – například, zda máte definovány bezpečnostní politiky, zda používáte dostatečné technické zabezpečení (firewally, antiviry, šifrování, zálohy apod.), jak byste detekovali a řešili incident, jak školíte zaměstnance atd. Tento audit kybernetické odolnosti odhalí mezery, které je potřeba zaplnit. Pokud nemáte interní odborníky, zvažte využití specializované firmy či konzultanta na kyberbezpečnostní audit. Výstupem by měl být konkrétní seznam opatření ke zlepšení.
- Zaveďte potřebné bezpečnostní politiky, opatření a procesy. Na základě výsledků auditu začněte doplňovat a posilovat ochranu. Klíčové je vytvořit nebo aktualizovat vnitřní směrnice a postupy pro řízení bezpečnosti – např. Bezpečnostní politiku informačních systémů, Řád pro správu přístupů, Postup pro hlášení a reakci na incidenty a Plán kontinuity činnosti/obnovy dat. Tyto dokumenty by měly být v souladu s požadavky NIS 2 a polského zákona. Implementujte též technická opatření: možná bude nutné pořídit nové bezpečnostní nástroje (např. systémy detekce průniků, bezpečnostní monitorovací software), zavést dvoufaktorovou autentizaci, šifrování citlivých dat, segmentaci sítě, pravidelné zálohování atd. Nezapomeňte na správu zranitelností – nastavte proces pro instalaci bezpečnostních záplat a aktualizací systému. Tento krok může vyžadovat investice, ale odkládání by se mohlo vymstít; experti varují, že nesplnění nových standardů povede k vyšším rizikům útoků i případným pokutám.
- Školte své zaměstnance a management. Lidský faktor je často nejslabším článkem bezpečnosti. Připravte program školení kybernetické bezpečnosti pro různé úrovně – od základní osvěty zaměstnanců (např. jak rozpoznat phishingový e-mail) až po specializované tréninky pro IT personál a vedoucí pracovníky. Vrcholové vedení by mělo absolvovat školení zaměřené na jejich nové povinnosti v rámci NIS 2, aby chápalo závažnost situací a umělo přijmout informovaná rozhodnutí při řízení rizik. Zvažte i nácvik postupů – například simulaci incidentu (tzv. table-top exercise), kde si tým prakticky vyzkouší reakci na kyberútok. Pravidelným školením vytvoříte ve firmě kulturu bezpečnosti, což je nejlepší prevence.
- Nastavte mechanismus detekce a hlášení incidentů. Pokud dosud nemáte, zaveďte interní proces pro hlášení bezpečnostních událostí. Každý zaměstnanec by měl vědět, kam nahlásit podezřelý e-mail či anomálii v systému. Určete osobu (nebo skupinu), která bude příchozí hlášení vyhodnocovat a která v případě skutečného incidentu spustí incident response plán. Připravte si kontakty na národní CSIRT a příslušný dozorový úřad – v Polsku bude dohled rozdělen podle sektoru, ale centrální roli hraje pobočka CSIRT při NASK (výzkumný institut spravující kyberbezpečnost) a Úřad pro ochranu osobních údajů (UODO), který má nově koordinovat dohled nad kyberbezpečností u některých digitálních služeb. Mějte předvyplněné vzory hlášení, abyste v případě incidentu splnili 24hodinovou lhůtu na odeslání oznámení. Včasné odhalení a ohlášení incidentu může výrazně snížit jeho následky, případně zamezit řetězovým škodám u partnerů a klientů.
- Sledujte vývoj legislativy a buďte připraveni na formální kroky. Finalizaci polského zákona se vyplatí bedlivě monitorovat – drobné změny v poslaneckém procesu mohou upřesnit některé povinnosti. Jakmile bude zákon přijat, prověřte finální znění a porovnejte s vašimi opatřeními, zda vše odpovídá. Připravte se také na formální požadavky, které zákon stanoví: zejména registraci vaší firmy do státního rejstříku povinných subjektů (to bude jedním z prvních úkolů po účinnosti zákona). K registraci patrně bude nutné uvést informace o vaší společnosti, sektoru, kontaktní osobě pro kyberbezpečnost atd. Dále se připravte na případné povinné audity: můžete si už nyní vytipovat akreditované auditory nebo certifikační společnosti, které případně prověří váš systém řízení bezpečnosti (Polsko může umožnit prokázat shodu i např. certifikací podle ISO 27001 apod.). Zůstaňte ve spojení s oborovými asociacemi či právními poradci, kteří mohou poskytovat aktuální interpretace nových pravidel.
- Využijte dostupné zdroje a doporučení. Nejste v tom sami – oficiální instituce zveřejnily řadu návodů a doporučení, jak NIS 2 implementovat. Například Evropská agentura pro kyberbezpečnost ENISA připravila přehledné materiály (infografiky, příručky) vysvětlující hlavní koncepty NIS 2 a praktická opatření. Sledujte oficiální weby – kupříkladu stránka Ministerstva Cyfryzacji obsahuje sekci k NIS 2 a aktuality k národní strategii kyberbezpečnosti. Pokud působíte i v ČR, inspirací může být i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který na svém webu zveřejňuje FAQ a metodiky k nové české legislativě obdobně transponující NIS 2.
Dodržení těchto kroků nejenže zajistí připravenost na zákonné povinnosti, ale hlavně reálně posílí kybernetickou odolnost vašeho podnikání. I menší investice do prevence mohou zabránit mnohem větším ztrátám, které hrozí při úspěšném kybernetickém útoku. Zároveň tím budujete důvěru zákazníků a partnerů – v prostředí, kde jsou incidenty na denním pořádku, se stává silná bezpečnostní politika konkurenční výhodou.
Závěr
Směrnice NIS 2 představuje zásadní milník v regulaci kybernetické bezpečnosti. Pro podnikatele působící v Polsku to znamená, že v dohledné době budou (pokud spadají do dotčených sektorů) podléhat novým zákonným povinnostem. Tyto povinnosti nejsou samoúčelné – reagují na reálné hrozby a mají za cíl zvýšit odolnost kritických služeb a dodavatelských řetězců v digitální éře. Ačkoli legislativní proces v Polsku nabral zpoždění, nelze spoléhat na status quo. Firmy by měly brát NIS 2 jako příležitost posoudit a zlepšit své zabezpečení dříve, než se na ně zaměří kontroly regulátorů.
Českým podnikatelům, kteří v Polsku podnikají (např. prostřednictvím dceřiných společnosti), doporučujeme nezůstat pozadu – seznámit se s novými pravidly a zahájit interní projekty k naplnění požadavků. Kroky jako provedení auditů, zavedení řízení rizik, školení zaměstnanců či vypracování plánů odezvy na incidenty lze realizovat již nyní, bez ohledu na formální účinnost zákona. Jakmile polský parlament normu přijme, budete tak ve výhodě a vyhnete se hektickému dohánění na poslední chvíli.