Kontakt

NIS2 pro majitele firmy: Co musíte splnit v roce 2026

Tomáš Lauer, CEO & ERP Konzultant

Co je NIS2 a proč by vás to mělo zajímat

NIS2 je evropská směrnice o kybernetické bezpečnosti. V Česku se promítla do nového zákona o kybernetické bezpečnosti (zákon č. 264/2025 Sb.), který platí od 1. listopadu 2025. Dohled má NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost.

Co to znamená v praxi? Stát výrazně rozšířil okruh firem, které musí řešit kybernetickou bezpečnost systematicky. Dříve se to týkalo pár desítek organizací. Teď jde o tisíce subjektů.

A tady přichází ta nepříjemná část: i když vaše firma přímo pod NIS2 nespadá, může vás to zasáhnout přes dodavatelský řetězec. Váš odběratel, který pod NIS2 spadá, je ze zákona povinen prověřovat bezpečnost svých dodavatelů. Tedy vás.

Spadá vaše firma přímo pod NIS2?

Zjednodušeně – zpozornět byste měli, pokud splňujete obě podmínky:

1. Velikost firmy: Máte víc než 50 zaměstnanců, nebo roční obrat přesahuje 10 milionů EUR (cca 241 milionů Kč).

2. Sektor: Působíte v jednom z regulovaných odvětví – energetika, výroba, doprava, zdravotnictví, digitální služby, vodní hospodářství, potravinářství, chemický průmysl a další.

Ale pozor: existují výjimky, kdy pod NIS2 spadnete i jako menší firma. NÚKIB má na svém webu kalkulačku, kde si to ověříte. Doporučuji to udělat – zabere to 5 minut a můžete ušetřit hodně starostí.

I pokud nesplňujete ani jedno kritérium, čtěte dál. Dodavatelský řetězec vás stejně dožene.

Co po vás zákon reálně chce (bez právničtiny)

Většina firem s 10–50 zaměstnanci, pokud pod NIS2 spadnou, končí v takzvaném režimu nižších povinností. To je ta „mírnější" varianta. NÚKIB to sám nazývá „absolutní minimum".

V praxi to znamená tři věci:

Za prvé: Musíte vědět, co chráníte. Zmapovat svá aktiva – servery, data, systémy, lidi. Vědět, kde máte uložená zákaznická data, kdo k nim má přístup a co se stane, když o ně přijdete.

Za druhé: Musíte mít plán, co dělat, když se něco stane. Řízení incidentů. Kdo komu volá, když vám zašifrují data ransomwarem? Kde jsou zálohy? Jak rychle obnovíte provoz? Pokud je vaše odpověď „zavolám synovi, ten rozumí počítačům", máte problém.

Za třetí: Musíte to umět doložit. Nestačí mít bezpečnost „v hlavě". Potřebujete dokumentaci – bezpečnostní politiky, záznamy o školení zaměstnanců, evidenci aktiv, plán obnovy.

Na čem většina malých firem hoří

Za dobu mé praxe, co implementujeme ERP systémy do českých firem, vidíme pořád stejné problémy. A ty problémy jsou přesně to, co NIS2 odhalí:

Přístupová práva = chaos. Bývalý zaměstnanec má pořád přístup do systému. Brigádník vidí stejná data jako jednatel. Skladník může editovat faktury. Nikdo přesně neví, kdo kam má přístup, protože se to nikdy systematicky neřešilo.

Data na pěti místech. Zákaznická data v Excelu na ploše počítače účetní. Objednávky v e-mailu. Smlouvy v šanonu. Sklad v jiném Excelu na jiném počítači. Když odejde klíčový člověk, nikdo neví, kde co je. A když selže disk, je to katastrofa.

Zálohy = „myslím, že se někam zálohuje". Kolikrát jsem slyšel tuhle větu. Zálohy jsou buď neexistující, nebo nikdo neověřil, jestli z nich jde data skutečně obnovit.

Školení zaměstnanců = nulové. Účetní klikne na phishingový e-mail, protože ji nikdy nikdo neřekl, jak takový e-mail poznat. A najednou jsou zašifrované všechny firemní soubory.

To nejsou hypotetické scénáře. To jsou příběhy z našich konzultací.

Co s tím má společného ERP systém

Teď přijde část, kde to možná nečekáte. ERP systém (ať už Odoo, Helios, nebo jiný) není bezpečnostní nástroj jako takový. Ale řeší přesně ty problémy, na které NIS2 míří:

Evidence a přehled nad daty. Když máte všechna firemní data v jednom systému – objednávky, faktury, sklad, kontakty, HR – přesně víte, kde jsou. Nemusíte při auditu obíhat pět kolegů s otázkou „kde máme uložené smlouvy s dodavateli?".

Řízení přístupů na jednom místě. Moderní ERP má role a oprávnění. Skladník vidí sklad. Obchodník vidí CRM a nabídky. Účetní vidí finance. Jednatel vidí vše. Když někdo odejde, deaktivujete jeden účet a hotovo. Žádné hledání, do kolika systémů a Excelů měl přístup.

Audit trail – kdo co kdy udělal. ERP loguje změny. Víte, kdo upravil cenu, kdo schválil objednávku, kdo změnil skladový stav. Přesně tohle po vás NIS2 chce – dohledatelnost.

Centrální zálohování. Jeden systém = jedna záloha. Ne dvacet Excelů na dvaceti počítačích.

Školení a onboarding. Když máte jednotný systém, školíte lidi na jeden nástroj. Ne na pět různých kombinací Excelu, e-mailu a papírových kartiček.

Nejde o to, že ERP vyřeší NIS2 za vás. To by byla lež. Ale ERP vám dá základ, ze kterého se NIS2 řeší řádově jednodušeji než z chaosu roztříštěných Excelů.

Pokuty? Ano, a nejsou malé

Pro režim nižších povinností hrozí pokuta až 175 milionů Kč nebo 1,4 % obratu. Pro vyšší režim až 250 milionů Kč nebo 2 % obratu.

Pro firmu s obratem 30 milionů to může být pokuta přes 400 tisíc korun. To není likvidační, ale není to příjemné.

Horší je ale jiný důsledek: zákon zavádí přímou osobní odpovědnost jednatelů. Kybernetická bezpečnost je nově součástí péče řádného hospodáře. To znamená, že jako jednatel se nemůžete vymluvit na to, že „jste tomu nerozuměli" nebo „že to měl řešit IT".

V krajním případě může NÚKIB nařídit i dočasný zákaz výkonu funkce člena statutárního orgánu.

Praktický checklist: 7 kroků, které můžete udělat tento měsíc

Nemusíte hned volat bezpečnostní agenturu za statisíce. Začněte tím, co zvládnete sami:

1. Zjistěte, jestli spadáte pod NIS2. Použijte kalkulačku na webu NÚKIB. Trvá to 5 minut.

2. Sepište si svá aktiva. Kde máte zákaznická data? Jaké systémy používáte? Kdo k nim má přístup? Papír a tužka stačí.

3. Zkontrolujte přístupová práva. Kolik lidí má přístup do vašeho účetního systému? Mají všichni pořád aktuální oprávnění? Odstraňte přístupy bývalých zaměstnanců – dneska.

4. Ověřte zálohy. Ne jestli se „někam zálohuje". Zkuste z nich reálně obnovit data. Pokud to nejde, nemáte zálohy.

5. Zaveďte dvoufaktorové ověřování (MFA). Minimálně na e-mail, bankovnictví a hlavní systémy. Je to zdarma nebo za pár korun měsíčně a odstraní 80 % rizika.

6. Proškolte lidi na phishing. Stačí 30 minut. Ukažte jim, jak vypadá podvodný e-mail, co nedělat, komu se ozvat.

7. Napište si jednoduchý plán: co dělat, když... Když vám zašifrují data. Když vypadne server. Když uniknou zákaznické informace. Nemusí to být 50stránkový dokument. Stačí A4 s kontakty, kroky a zodpovědnostmi.

A co dodavatelský řetězec?

Tohle je ta věc, která překvapí nejvíc firem. I když přímo pod NIS2 nespadáte, vaši odběratelé – pokud spadají – musí ze zákona řešit bezpečnost celého dodavatelského řetězce. To znamená vás.

Prakticky to vypadá tak, že vám odběratel pošle dotazník nebo požadavek na prokázání bezpečnostních opatření. Někdy to může být podmínka pro prodloužení smlouvy.

Firmy, které tohle mají vyřešené, mají konkurenční výhodu. Firmy, které to ignorují, riskují ztrátu zakázek.

Jak to řekl jeden klient: „Radši dám 50 tisíc za konzultaci dneska, než abych příští rok přišel o kontrakt za dva miliony."

Kdy se ozvat nám

Elfox není bezpečnostní firma a nebudeme vám prodávat firewally ani antiviry. To necháváme specialistům.

Co ale umíme, je dát vaší firmě ten datový základ, ze kterého se NIS2 řeší podstatně snadněji:

  • Všechna firemní data na jednom místě (ne v pěti Excelech).
  • Jasná přístupová práva a role.
  • Audit trail – kdo co kdy změnil.
  • Propojení obchodu, skladu, financí a HR v jednom systému.
  • Centrální zálohování a správa.

Pokud jste firma s 10–50 lidmi a řešíte, jak se na NIS2 připravit – nebo vám to přistálo na stůl od odběratele – ozvěte se na nezávaznou konzultaci. Řekneme vám, kde máte největší díry a jak je zacelit, aniž byste museli kupovat systém za miliony.

Zarezervovat konzultaci →

Více článků

Technologie pro MAS (CLLD) – výzva II: Získejte až 50 % dotaci na ERP a digitalizaci výroby

Nová výzva OP TAK pro malé a střední podniky ve venkovských oblastech nabízí dotaci až 1,5 mil. Kč na ERP systém, stroje a digitalizaci. Podmínkou je datová integrace s nadřazeným ERP — přesně to, co v Elfoxu děláme.

Číst více

ABRA alternativa: HELIOS iNuvio, nebo Odoo? Rozhodovací průvodce

Zvažujete odchod z ABRY a váháte mezi HELIOS iNuvio a Odoo? Rozhodovací průvodce podle profilu firmy, procesů a cílů — bez marketingových frází.

Číst více

Povězte nám o svém projektu

Ozvěte se námNebo si vyzkoušejte demo!

Naše pobočky