Co jsou střední a velké firmy z hlediska povinností směrnice NIS2
Směrnice NIS2 představuje zásadní evropský regulatorní rámec v oblasti kybernetické bezpečnosti, který vstoupil v platnost v České republice v listopadu roku 2025 a který přináší zcela nové a výrazně přísnější povinnosti pro celou řadu subjektů působících v sektorech považovaných za klíčové pro bezproblémové a nepřetržité fungování moderního státu.
Kdo skutečně podléhá povinnostem NIS2 – rozptýlení nejčastějšího omylu
Jedním z nejrozšířenějších a zároveň nejnebezpečnějších nedorozumění, se kterými se v praxi při aplikaci směrnice NIS2 setkáváme, je mylná představa mnoha podnikatelů a manažerů, že se jich tato regulace jednoduše netýká, protože jejich společnost vnímají jako relativně malý, samostatný a přehledný podnik bez výrazného vlivu na kritickou infrastrukturu státu. Tato zdánlivě logická úvaha však velmi často naráží na tvrdou realitu moderního podnikatelského prostředí, které je charakteristické složitými, vícevrstvými a mnohdy velmi nepřehlednými vlastnickými a provozními strukturami, v nichž jsou jednotlivé zdánlivě samostatné společnosti ve skutečnosti navzájem pevně provázány personálními, kapitálovými nebo obchodními vazbami. Právě tato propojenost je klíčovým faktorem, který rozhoduje o skutečném zařazení konkrétního podniku do kategorie středního nebo velkého podniku ve smyslu směrnice NIS2, přičemž kritéria pro toto zařazení nevycházejí pouze z interních čísel dané společnosti, ale zahrnují konsolidovaně také data všech propojených a partnerských podniků v rámci celé skupiny. Mnoho jednatelů a vlastníků tak stojí před nepříjemným překvapením, když zjistí, že jejich firma, která sama o sobě zaměstnává například třicet nebo čtyřicet lidí a dosahuje zdánlivě skromného obratu, je ve skutečnosti součástí rozsáhlejší firemní struktury, jejíž souhrnné ukazatele již jednoznačně překračují zákonné prahy a řadí celé seskupení do kategorie středního, případně dokonce velkého podniku se všemi z toho plynoucími povinnostmi v oblasti kybernetické bezpečnosti.
Přesná definice velkého a středního podniku podle NIS2
Aby bylo možné správně posoudit, zda konkrétní subjekt skutečně podléhá povinnostem vyplývajícím ze směrnice NIS2, je naprosto nezbytné důkladně porozumět přesným definicím jednotlivých kategorií podniků, jak jsou tyto kategorie vymezeny platnou evropskou legislativou, od níž se česká právní úprava implementující danou směrnici přímo odvíjí. Za velký podnik je v tomto kontextu považován každý podnik, který současně splňuje podmínku zaměstnávání více než dvou set padesáti zaměstnanců a zároveň dosahuje ročního obratu přesahujícího padesát milionů eur, přičemž k tomu musí ještě přistupovat podmínka, že celková hodnota jeho aktiv, tedy bilanční suma roční rozvahy, překračuje hranici čtyřiceti tří milionů eur, takže se jedná o kumulativní splnění všech tří zmíněných kritérií najednou. Středním podnikem je pak ve smyslu téže legislativy definován každý podnik, jehož počet zaměstnanců je sice nižší než dvě stě padesát, avšak jehož roční obrat přesto nedosahuje hranice padesáti milionů eur nebo jehož bilanční suma roční rozvahy nepřekračuje částku čtyřiceti tří milionů eur, přičemž v tomto případě postačuje splnění obou finančních kritérií, což dělá z kategorie středního podniku poměrně širokou a různorodou skupinu subjektů. Pro úplnost a správné pochopení celého systému kategorizace je důležité dodat, že malým podnikem je pak označován každý subjekt zaměstnávající méně než padesát osob a disponující celkovými aktivy nebo ročním obratem nepřesahujícím deset milionů eur, přičemž právě tato nejmenší kategorie podniků zpravidla stojí mimo přímou působnost směrnice NIS2, pokud zároveň nespadá do speciálních sektorových výjimek nebo pokud není kvalifikována jako tzv. kritický subjekt z jiných důvodů.
Praktické dopady a sektory, které NIS2 primárně zasahuje
Směrnice NIS2 se ve svém věcném záběru zaměřuje především na ty střední a velké podniky, které působí v odvětvích považovaných za páteřní pro fungování celé společnosti a státu, přičemž mezi tato odvětví patří zejména energetika zahrnující výrobu, přenos a distribuci elektřiny, plynu a tepla, dále pak bankovnictví a finanční infrastruktura, zdravotnictví včetně nemocnic, výrobců léčiv a provozovatelů zdravotnické techniky, ale také oblast zásobování pitnou vodou a odpadní hospodářství, digitální infrastruktura zahrnující poskytovatele cloudových služeb, datová centra a registrátory domén, a v neposlední řadě také dopravní sektor zahrnující leteckou, železniční, vodní i silniční dopravu, přičemž každý z těchto sektorů s sebou nese specifická rizika kybernetických útoků, jejichž důsledky by v případě úspěšného provedení mohly mít katastrofální dopady nejen na samotné dotčené subjekty, ale na celou společnost, hospodářství a v krajním případě i na národní bezpečnost České republiky jako členského státu Evropské unie.
