Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Ostatní informace

Co znamená prodlení s přihlášením se k povinnostem NIS2?

Zdeňka Poková

1. Základní vymezení prodlení s povinnostmi NIS2

  • Prodlení v kontextu NIS2 znamená stav, kdy povinná osoba — tedy subjekt spadající do kategorie základních nebo důležitých subjektů podle zákona o kybernetické bezpečnosti — nesplnila jednu nebo více zákonných povinností ve stanoveném termínu.
  • Klíčovým termínem pro první vlnu povinností bylo datum 1. listopadu 2025, do kdy musely dotčené subjekty provést sebeidentifikaci a přihlásit se k evidenci NÚKIB prostřednictvím příslušného informačního systému.
  • Prodlení může mít dvě základní podoby:
    • Subjekt se vůbec nepřihlásil a dosud neuvedl svoji existenci v evidenci regulátora.
    • Subjekt se přihlásil, ale nepravdivě nebo chybně uvedl své identifikační údaje, zejména co se týče parametrů velikosti organizace.
  • Prodlení s implementací opatření je druhou rovinou problému — i subjekt, který se přihlásil, může být v prodlení, pokud nezahájil nebo nedokončil zavádění bezpečnostních opatření v oblasti řízení rizik, hlášení incidentů, ochrany dodavatelského řetězce a dalších požadavků.

2. Kdo je prodlením nejvíce ohrožen?

  • Velké a střední podniky působící v odvětvích označených jako klíčová nebo důležitá jsou primárními adresáty povinností NIS2 a zároveň skupinou, ve které je prodlení nejčastěji identifikováno regulátorem.
  • Firmy zajišťující kritické služby pro stát — jako jsou energetika, vodní hospodářství, digitální infrastruktura, zdravotnictví, bankovnictví, doprava a veřejná správa — nesou při prodlení nejvyšší riziko, protože jejich selhání v oblasti kybernetické bezpečnosti může mít přímý dopad na fungování celé společnosti.
  • Organizace, které podceňují sebeidentifikaci, jsou v roce 2026 stále velmi rozšířenou kategorií rizikových subjektů. Jde zejména o firmy, které:
    • Nesprávně vyhodnotily svůj počet zaměstnanců — například nezapočítaly zaměstnance v dceřiných společnostech nebo spřízněných podnicích.
    • Chybně vypočítaly roční obrat, kdy opomněly přepočítat hodnoty z českých korun do eur podle příslušného kurzu, nebo nezohlednily konsolidovaný obrat celé skupiny.
    • Nesprávně posoudily bilanční sumu aktiv a pracovaly pouze s hodnotami právní entity namísto celé ekonomické skupiny.
  • Menší subjekty v dodavatelských řetězcích velkých organizací mohou být rovněž dotčeny nepřímo, neboť NIS2 klade důraz na bezpečnost celého dodavatelského řetězce a velké subjekty jsou povinny zajistit, aby i jejich dodavatelé splňovali určité standardy kybernetické bezpečnosti.

3. Nejčastější důvody nesprávného zhodnocení velikosti subjektu

  • Chybný výpočet počtu zaměstnanců:
    • Firmy mnohdy počítaly pouze zaměstnance na hlavní pracovní poměr a opomíjely pracovníky na dohody o pracovní činnosti nebo dohody o provedení práce.
    • Nezohledňovaly ekvivalent plného pracovního úvazku (FTE — Full-Time Equivalent), který je metodologicky správným způsobem výpočtu pro účely NIS2.
    • Nepřipočítávaly zaměstnance přidružených podniků a propojených osob v rámci celé obchodní struktury.
  • Chybný výpočet ročního obratu:
    • Obraty byly posuzovány pouze na úrovni jedné právnické osoby bez zohlednění konsolidovaných výsledků skupiny.
    • Nebyla provedena správná konverze z korun do eur nebo byl použit nevhodný kurz (například kurz k datu výpočtu namísto průměrného ročního kurzu).
    • Některé subjekty nesprávně vykázaly obrat bez DPH nebo naopak s DPH v závislosti na odlišné účetní metodice.
  • Chybné posouzení bilanční sumy aktiv:
    • Bilanční suma aktiv bývá přehlíženým parametrem, přestože pro klasifikaci středního podniku platí alternativní podmínka — postačuje překročení buď obratu, nebo bilanční sumy.
    • Firmy s nízkým obratem, ale vysokou hodnotou nemovitostí, strojů nebo nehmotného majetku mohly překročit limit bilanční sumy a přesto se nepovažovaly za povinný subjekt.

4. Právní a finanční důsledky prodlení

  • Správní sankce za nesplnění ohlašovací povinnosti:
    • Pokuta může dosáhnout výše až 250 milionů Kč, což samo o sobě představuje pro naprostou většinu středních podniků existenční hrozbu.
    • Alternativně lze uložit sankci ve výši 2 % z celosvětového ročního obratu celé skupiny nebo holdingu — tato sazba může v případě nadnárodních skupin přesahovat i miliardy korun.
    • Rozhodující je, která hodnota je vyšší — regulátor tedy vždy vychází z přísnějšího výpočtu.
  • Penále za prodlení:
    • Kromě základní pokuty hrozí povinným subjektům také penále, které se odvíjí od délky doby, po kterou subjekt ve svém prodlení setrval.
    • Penále tak efektivně navyšuje celkovou finanční zátěž úměrně s délkou nečinnosti.
  • Odpovědnost statutárních orgánů:
    • NIS2 a zákon o kybernetické bezpečnosti výslovně počítají s osobní odpovědností členů statutárních orgánů za zajištění kybernetické bezpečnosti.
    • Vedení společnosti může čelit individuálním sankcím, zákazům výkonu funkce nebo dalším správním opatřením.
  • Nápravná opatření:
    • NÚKIB má pravomoc uložit povinný subjekt přijmout konkrétní nápravná opatření ve stanovené lhůtě, jejichž nesplnění zakládá další kolo sankcí.
    • V krajních případech může regulátor přistoupit k dočasnému pozastavení oprávnění k výkonu řídící funkce.

5. Reputační a obchodní rizika prodlení

  • Poškození důvěryhodnosti vůči obchodním partnerům:
    • Velké subjekty povinné pod NIS2 jsou přímo odpovědné za kybernetickou bezpečnost svého dodavatelského řetězce a aktivně prověřují, zda jejich partneři splňují zákonné požadavky.
    • Firma v prodlení s povinnostmi NIS2 může být vyřazena z výběrových řízení nebo ztratit stávající obchodní smlouvy.
  • Dopad na pojistitelnost:
    • Pojišťovny nabízející kybernetické pojištění stále více požadují jako podmínku pojistné smlouvy doložení souladu s regulatorními požadavky, včetně NIS2.
    • Subjekt v prodlení může čelit odmítnutí pojistného krytí nebo výrazně vyšším pojistným sazbám.
  • Riziko při due diligence:
    • V případě fúzí, akvizic nebo investic představuje nesoulad s NIS2 závažný nález v rámci právní a technické due diligence, který může zásadně ovlivnit hodnotu transakce nebo ji zcela zablokovat.

6. Jak postupovat při zjištění prodlení v roce 2026?

  • Neprodlené přihlášení k evidenci NÚKIB:
    • Prvním krokem je okamžité provedení sebeidentifikace a registrace prostřednictvím systému NÚKIB, a to i v případě, že zákonný termín již uplynul.
    • Dobrovolné přihlášení po termínu sice nezabrání sankcím, ale může být posuzováno jako polehčující okolnost při stanovení výše pokuty.
  • Právní a technická analýza stavu:
    • Subjekt by měl neprodleně přistoupit k tzv. gap analýze, tedy komplexnímu posouzení rozdílu mezi aktuálním stavem a požadavky zákona.
    • Na základě výsledků gap analýzy je třeba sestavit prioritizovaný plán nápravy s jasně definovanými termíny a odpovědnostmi.
  • Zavedení nezbytných bezpečnostních opatření:
    • Paralelně s registrací je nutné zahájit implementaci minimálně základní sady bezpečnostních opatření — zejména v oblasti řízení přístupu, ochrany sítí, zálohování dat a procesů hlášení kybernetických incidentů.
  • Proaktivní komunikace s regulátorem:
    • Zkušenosti z jiných jurisdikcí i z domácí praxe ukazují, že proaktivní a transparentní komunikace s NÚKIB může výrazně zmírnit sankční postih.
    • Subjekty, které samy oznámí prodlení a předloží věrohodný plán nápravy, jsou regulátorem hodnoceny příznivěji než ty, u nichž je prodlení odhaleno při kontrole.

Mohlo by vás také zajímat: Co znamená režim nižších nebo vyšších povinností kybernetické bezpečnosti firmy? Kdo jedná za společnost pokud má více jednatelů?

Mohlo by se vám také líbit

Jak dlouho trvá vymáhání pohledávek?

Zdeňka Poková

O kolik snižuje nová sleva podnikajícím důchodcům pojistné?

Zdeňka Poková

Co dělat, když banka náhle žádá po firmě vyšší záruky?

Zdeňka Poková