Co znamená prodlení s přihlášením se k povinnostem NIS2?
Prodlení s plněním povinností vyplývajících ze směrnice NIS2 představuje závažný právní a bezpečnostní problém, který se dotýká stále většího počtu českých firem.
Kdo je nejvíce ohrožen?
Riziko prodlení s plněním povinností podle směrnice NIS2 dopadá především na velké a střední podniky, které svou činností zajišťují klíčové služby nezbytné pro fungování státu a společnosti jako celku. Jedná se o organizace působící v odvětvích, jako jsou energetika, doprava, zdravotnictví, bankovnictví, digitální infrastruktura nebo vodní hospodářství. Právě tyto subjekty jsou primárním terčem regulace, protože jejich případné selhání v oblasti kybernetické bezpečnosti by mohlo mít dalekosáhlé a těžko napravitelné důsledky nejen pro jejich vlastní provoz, ale i pro bezpečnost celého státu a jeho obyvatel. Směrnice NIS2 proto na tyto organizace klade zvýšené nároky a v případě jejich nedodržení hrozí citelné sankce.
Nejčastější příčina prodlení – chybné sebehodnocení velikosti firmy
Jednou z nejrozšířenějších příčin, proč se celá řada firem ocitla v prodlení s plněním povinností vyplývajících z NIS2, je chybné posouzení vlastní velikosti. Ke dni 1. listopadu 2025 byly povinny se k režimu NIS2 přihlásit všechny subjekty, které splňují zákonem stanovená kritéria týkající se počtu zaměstnanců, výše ročního obratu vyjádřeného v eurech a bilanční sumy aktiv. Řada podniků však tato kritéria nesprávně vyhodnotila a mylně se domnívala, že příslušné prahové hodnoty nesplňuje, a tudíž se na ni regulace nevztahuje. Chyba přitom nejčastěji nastávala při posuzování obratu nebo bilanční sumy aktiv, kde firmy nezohledňovaly celkovou strukturu propojených společností, ale hodnotily pouze výsledky jednotlivých právních entit izolovaně. Toto pochybení mělo za následek, že dotčené podniky neplnily ohlašovací povinnost vůči Národnímu úřadu pro kybernetickou a informační bezpečnost, čímž se automaticky dostaly do rozporu se zákonem.
Právní důsledky a výše hrozících sankcí
Důsledky prodlení s ohlašovací povinností vůči Národnímu úřadu pro kybernetickou a informační bezpečnost jsou velmi závažné a mohou mít pro dotčené firmy existenční dopady. Zákon v souladu se směrnicí NIS2 stanovuje za nesplnění ohlašovací povinnosti pokutu až do výše 250 milionů korun českých, přičemž alternativně může být uložena sankce odpovídající 2 % z celosvětového ročního obratu celé skupiny propojených společností, a to vždy ta vyšší z obou hodnot. To v praxi znamená, že pro velké nadnárodní korporace může pokuta snadno překročit i výše uvedenou fixní hranici a dosáhnout astronomických částek. Kromě samotné pokuty je nutné počítat rovněž s příslušným penále za každý den prodlení, které se kumuluje po celou dobu, po níž firma setrvává v nesouladu s regulatorními požadavky. Celková finanční zátěž tak může být pro nepřipravené podniky naprosto zdrcující, a to ještě před tím, než vůbec dojde na posouzení souladu s věcnými bezpečnostními požadavky samotné směrnice.
Nesplnění věcných požadavků na kybernetickou bezpečnost
Prodlení se však netýká pouze formální ohlašovací povinnosti, ale zahrnuje i neplnění věcných požadavků, které směrnice NIS2 na regulované subjekty klade v oblasti samotné kybernetické bezpečnosti. Firmy jsou povinny zavést celou řadu technických a organizačních opatření, mezi nimiž figuruje například řízení rizik v oblasti kybernetické bezpečnosti, zavedení procesů pro detekci a zvládání kybernetických incidentů, zajištění bezpečnosti dodavatelského řetězce, pravidelná školení zaměstnanců nebo testování odolnosti systémů. Implementace těchto opatření je časově i finančně náročná a vyžaduje zapojení odborníků na kybernetickou bezpečnost, přizpůsobení vnitřních procesů a politik a v mnoha případech i investice do nových technologií. Firmy, které s přípravou otálely nebo vůbec nezačaly, se nyní nacházejí v situaci, kdy musí dohánět mnohaleté zpoždění v relativně krátkém čase, a to pod hrozbou dalších sankcí za průběžné neplnění věcných povinností.
Jak z prodlení ven – doporučený postup
Pro firmy, které si uvědomily, že se nacházejí v prodlení s povinnostmi vyplývajícími z NIS2, je naprosto zásadní jednat bez zbytečného odkladu, protože každý další den prodlení zvyšuje jak právní riziko, tak i potenciální výši sankcí. Prvním krokem by mělo být důkladné a objektivní sebehodnocení, při němž firma posoudí, zda skutečně splňuje kritéria pro zařazení do regulovaného režimu, přičemž toto hodnocení by mělo zahrnout celou skupinu propojených společností a nikoli pouze samotnou právní entitu. Pokud sebehodnocení potvrdí povinnost registrace, je třeba neprodleně zahájit proces přihlášení k Národnímu úřadu pro kybernetickou a informační bezpečnost, ideálně za asistence právního nebo bezpečnostního poradce se zkušenostmi v oblasti NIS2. Souběžně s tím by firma měla zahájit interní audit stávající úrovně kybernetické bezpečnosti a na jeho základě sestavit plán implementace chybějících opatření s jasnými termíny a odpovědnostmi. Proaktivní přístup a transparentní komunikace s regulátorem mohou v konečném důsledku výrazně ovlivnit výši případné sankce, neboť orgány dozoru zpravidla přihlížejí ke snaze firmy situaci napravit.
