Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Ostatní informace

Co znamená prodlení s přihlášením se k povinnostem NIS2?

Zdeňka Poková

1. Základní vymezení prodlení s povinnostmi NIS2

  • Prodlení v kontextu NIS2 znamená stav, kdy povinná osoba — tedy subjekt spadající do kategorie základních nebo důležitých subjektů podle zákona o kybernetické bezpečnosti — nesplnila jednu nebo více zákonných povinností ve stanoveném termínu.
  • Klíčovým termínem pro první vlnu povinností bylo datum 1. listopadu 2025, do kdy musely dotčené subjekty provést sebeidentifikaci a přihlásit se k evidenci NÚKIB prostřednictvím příslušného informačního systému.
  • Prodlení může mít dvě základní podoby:
    • Subjekt se vůbec nepřihlásil a dosud neuvedl svoji existenci v evidenci regulátora.
    • Subjekt se přihlásil, ale nepravdivě nebo chybně uvedl své identifikační údaje, zejména co se týče parametrů velikosti organizace.
  • Prodlení s implementací opatření je druhou rovinou problému — i subjekt, který se přihlásil, může být v prodlení, pokud nezahájil nebo nedokončil zavádění bezpečnostních opatření v oblasti řízení rizik, hlášení incidentů, ochrany dodavatelského řetězce a dalších požadavků.

2. Kdo je prodlením nejvíce ohrožen?

  • Velké a střední podniky působící v odvětvích označených jako klíčová nebo důležitá jsou primárními adresáty povinností NIS2 a zároveň skupinou, ve které je prodlení nejčastěji identifikováno regulátorem.
  • Firmy zajišťující kritické služby pro stát — jako jsou energetika, vodní hospodářství, digitální infrastruktura, zdravotnictví, bankovnictví, doprava a veřejná správa — nesou při prodlení nejvyšší riziko, protože jejich selhání v oblasti kybernetické bezpečnosti může mít přímý dopad na fungování celé společnosti.
  • Organizace, které podceňují sebeidentifikaci, jsou v roce 2026 stále velmi rozšířenou kategorií rizikových subjektů. Jde zejména o firmy, které:
    • Nesprávně vyhodnotily svůj počet zaměstnanců — například nezapočítaly zaměstnance v dceřiných společnostech nebo spřízněných podnicích.
    • Chybně vypočítaly roční obrat, kdy opomněly přepočítat hodnoty z českých korun do eur podle příslušného kurzu, nebo nezohlednily konsolidovaný obrat celé skupiny.
    • Nesprávně posoudily bilanční sumu aktiv a pracovaly pouze s hodnotami právní entity namísto celé ekonomické skupiny.
  • Menší subjekty v dodavatelských řetězcích velkých organizací mohou být rovněž dotčeny nepřímo, neboť NIS2 klade důraz na bezpečnost celého dodavatelského řetězce a velké subjekty jsou povinny zajistit, aby i jejich dodavatelé splňovali určité standardy kybernetické bezpečnosti.

3. Nejčastější důvody nesprávného zhodnocení velikosti subjektu

  • Chybný výpočet počtu zaměstnanců:
    • Firmy mnohdy počítaly pouze zaměstnance na hlavní pracovní poměr a opomíjely pracovníky na dohody o pracovní činnosti nebo dohody o provedení práce.
    • Nezohledňovaly ekvivalent plného pracovního úvazku (FTE — Full-Time Equivalent), který je metodologicky správným způsobem výpočtu pro účely NIS2.
    • Nepřipočítávaly zaměstnance přidružených podniků a propojených osob v rámci celé obchodní struktury.
  • Chybný výpočet ročního obratu:
    • Obraty byly posuzovány pouze na úrovni jedné právnické osoby bez zohlednění konsolidovaných výsledků skupiny.
    • Nebyla provedena správná konverze z korun do eur nebo byl použit nevhodný kurz (například kurz k datu výpočtu namísto průměrného ročního kurzu).
    • Některé subjekty nesprávně vykázaly obrat bez DPH nebo naopak s DPH v závislosti na odlišné účetní metodice.
  • Chybné posouzení bilanční sumy aktiv:
    • Bilanční suma aktiv bývá přehlíženým parametrem, přestože pro klasifikaci středního podniku platí alternativní podmínka — postačuje překročení buď obratu, nebo bilanční sumy.
    • Firmy s nízkým obratem, ale vysokou hodnotou nemovitostí, strojů nebo nehmotného majetku mohly překročit limit bilanční sumy a přesto se nepovažovaly za povinný subjekt.

4. Právní a finanční důsledky prodlení

  • Správní sankce za nesplnění ohlašovací povinnosti:
    • Pokuta může dosáhnout výše až 250 milionů Kč, což samo o sobě představuje pro naprostou většinu středních podniků existenční hrozbu.
    • Alternativně lze uložit sankci ve výši 2 % z celosvětového ročního obratu celé skupiny nebo holdingu — tato sazba může v případě nadnárodních skupin přesahovat i miliardy korun.
    • Rozhodující je, která hodnota je vyšší — regulátor tedy vždy vychází z přísnějšího výpočtu.
  • Penále za prodlení:
    • Kromě základní pokuty hrozí povinným subjektům také penále, které se odvíjí od délky doby, po kterou subjekt ve svém prodlení setrval.
    • Penále tak efektivně navyšuje celkovou finanční zátěž úměrně s délkou nečinnosti.
  • Odpovědnost statutárních orgánů:
    • NIS2 a zákon o kybernetické bezpečnosti výslovně počítají s osobní odpovědností členů statutárních orgánů za zajištění kybernetické bezpečnosti.
    • Vedení společnosti může čelit individuálním sankcím, zákazům výkonu funkce nebo dalším správním opatřením.
  • Nápravná opatření:
    • NÚKIB má pravomoc uložit povinný subjekt přijmout konkrétní nápravná opatření ve stanovené lhůtě, jejichž nesplnění zakládá další kolo sankcí.
    • V krajních případech může regulátor přistoupit k dočasnému pozastavení oprávnění k výkonu řídící funkce.

5. Reputační a obchodní rizika prodlení

  • Poškození důvěryhodnosti vůči obchodním partnerům:
    • Velké subjekty povinné pod NIS2 jsou přímo odpovědné za kybernetickou bezpečnost svého dodavatelského řetězce a aktivně prověřují, zda jejich partneři splňují zákonné požadavky.
    • Firma v prodlení s povinnostmi NIS2 může být vyřazena z výběrových řízení nebo ztratit stávající obchodní smlouvy.
  • Dopad na pojistitelnost:
    • Pojišťovny nabízející kybernetické pojištění stále více požadují jako podmínku pojistné smlouvy doložení souladu s regulatorními požadavky, včetně NIS2.
    • Subjekt v prodlení může čelit odmítnutí pojistného krytí nebo výrazně vyšším pojistným sazbám.
  • Riziko při due diligence:
    • V případě fúzí, akvizic nebo investic představuje nesoulad s NIS2 závažný nález v rámci právní a technické due diligence, který může zásadně ovlivnit hodnotu transakce nebo ji zcela zablokovat.

6. Jak postupovat při zjištění prodlení v roce 2026?

  • Neprodlené přihlášení k evidenci NÚKIB:
    • Prvním krokem je okamžité provedení sebeidentifikace a registrace prostřednictvím systému NÚKIB, a to i v případě, že zákonný termín již uplynul.
    • Dobrovolné přihlášení po termínu sice nezabrání sankcím, ale může být posuzováno jako polehčující okolnost při stanovení výše pokuty.
  • Právní a technická analýza stavu:
    • Subjekt by měl neprodleně přistoupit k tzv. gap analýze, tedy komplexnímu posouzení rozdílu mezi aktuálním stavem a požadavky zákona.
    • Na základě výsledků gap analýzy je třeba sestavit prioritizovaný plán nápravy s jasně definovanými termíny a odpovědnostmi.
  • Zavedení nezbytných bezpečnostních opatření:
    • Paralelně s registrací je nutné zahájit implementaci minimálně základní sady bezpečnostních opatření — zejména v oblasti řízení přístupu, ochrany sítí, zálohování dat a procesů hlášení kybernetických incidentů.
  • Proaktivní komunikace s regulátorem:
    • Zkušenosti z jiných jurisdikcí i z domácí praxe ukazují, že proaktivní a transparentní komunikace s NÚKIB může výrazně zmírnit sankční postih.
    • Subjekty, které samy oznámí prodlení a předloží věrohodný plán nápravy, jsou regulátorem hodnoceny příznivěji než ty, u nichž je prodlení odhaleno při kontrole.

Mohlo by vás také zajímat: Co znamená režim nižších nebo vyšších povinností kybernetické bezpečnosti firmy? Kdo jedná za společnost pokud má více jednatelů?

Mohlo by se vám také líbit

Co je to platový tarif?

Zdeňka Poková

Jak poslat zprávu datovou schránkou?

Zdeňka Poková

Jak je možné nahradit papírový ověřený podpis elektronickým?

Zdeňka Poková