Co přináší a koho se týkají
​směrnice NIS2 a předpisy DORA a CRA

Předpisy NIS2, DORA a CRA jsou nejnovějšími pokyny EU pro zvýšení kyberbezpečnosti, přičemž každá z nich má trochu odlišné zaměření. Zatímco NIS2 řeší hlavně provozní zabezpečení firem, které pod ní spadají, DORA cílí na zlepšení zabezpečení finančního sektoru a CRA na bezpečnější digitální produkty. V následujícím článku se podíváme na to, koho se NIS2, DORA a CRA budou týkat a jaké povinnosti z nich pro firmy vyplynou v praxi.

Co jsou předpisy NIS2, DORA a CRA?

Směrnice NIS2, nařízení DORA a CRA jsou předpisy EU, které vznikly v důsledku potřeby ochránit klíčové firmy před narůstajícími kybernetickými hrozbami současnosti. Všechny se tedy zaměřují na kybernetickou bezpečnost a přichází s novými a povinnými požadavky, které budou muset firmy, jež pod tyto předpisy spadnou, implementovat a dodržovat. V opačném případě jim budou hrozit závažné pokuty. Hlavní cíle těchto 3 předpisů se však mírně liší.

NIS2

NIS2 (Network and Information Security) je směrnice, jejímž hlavním cílem je zvýšit kybernetické zabezpečení u firem a organizací, které společnosti poskytují klíčové služby. Přichází proto s novými povinnostmi v oblasti ochrany systémů, hlášení incidentů a řízení rizik, čímž se v praxi de facto zaměřuje hlavně na to, aby byl provoz dotčených firem v kyberprostoru bezpečný – nastavení odpovídající úrovně zabezpečení jim totiž ukládá jako povinnost.

DORA

Nařízení DORA (Digital Operational Resilience Act) také řeší digitální provozní odolnost, ale pouze ve finančním sektoru. Jejím hlavním cílem je sjednotit požadavky na odolnost informačních a komunikačních technologií ve finančním sektoru v rámci EU, zlepšit odolnost finančních institucí vůči vážným narušením provozu a zajistit tak odolnost finančního sektoru i v aktuálním prostředí s velkým množstvím kyberhrozeb. Pokud jí tedy srovnáme se směrnicí NIS2, u níž jde spíše o obecný bezpečnostní rámec, nařízení EU DORA je jakýmsi jeho prohloubením čistě pro finanční sektor.

CRA

CRA (Cyber Resilience Act) je nařízením, které zavádí povinné požadavky na kyberbezpečnost u široké škály různých produktů, které zahrnují určité digitální prvky. Hlavním cílem CRA je tedy zajistit, aby hardware (například smartphony, tablety, síťové prvky či senzory) i software (například operační systémy či různé aplikace, programy a hry), které jsou jejími výrobci uváděny na trh EU, byly navrženy a vyvinuty s minimálními kyberbezpečnostními riziky (takže aby například neobsahovaly žádná potenciálně zranitelná místa).

Dále se pak CRA soustředí na to, aby uživatelé mohli při výběru produktů zohlednit i jejich kyberbezpečnost (výrobcům proto ukládá povinnost poskytovat o kyberbezpečnosti jejich produktů dostatek informací), a aby tato kyberbezpečnost byla zaručená po celou dobu životnosti těchto produktů.

Přínosy předpisů pro firmy

Všechny zmíněné předpisy EU – NIS2, DORA i CRA – nejsou pro firmy restrikcemi, ale spíše příležitostí k růstu a lepšímu zabezpečení. Ukládají jim sice některé nové povinnosti, na oplátku ale nabízí rovněž přínosy a pozitiva.

Přínosy NIS2

• Lepší ochrana před kyberútoky
  Stabilnější a bezpečnější provoz firmy znamená rovněž menší riziko krizových scénářů při napadení, jejichž náprava by mohla být finančně dost nákladná.
• Lepší a efektivnější řízení IT i dodavatelského řetězce
  ​Standardizace procesů zlepší přehled a kontrolu v těchto oblastech.
• Vyšší důvěra zákazníků i partnerů
  Naplnění požadavků NIS2 zvýší důvěru ve firmu, což může vést k novým zakázkám a partnerstvím.

Přínosy DORA

• Zlepšení odolnosti finančních institucí vůči kybernetickým útokům a technologickým selháním.
• Snížení systémových rizik spojených s poskytovateli ICT služeb.

Přínosy CRA

• Hlavním přínosem CRA pro firmy v podobě výrobců produktů je konkurenční výhoda – firmy, které splní požadavky CRA, budou moci produkt označit CE, čímž deklarují jeho shodu s požadavky na kyberbezpečnost.

Jak se směrnice projeví v českém právu

NIS2 je směrnicí – v podstatě představuje aktualizovanou verzi směrnice NIS z roku 2016, která je pro současnou dobu a množství všudypřítomných kybernetických rizik již nedostačující. Všechny členské státy EU tak mají povinnost NIS2 adaptovat do svého právního řádu.

ČR požadavky NIS2 promítla do své legislativy prostřednictvím nového Zákona o kybernetické bezpečnosti – v lednu 2023 NÚKIB připravil jeho návrh, v červnu 2025 jej podepsal a schválil prezident ČR a od 1. 11. 2025 je tento zákon platný. Konkrétní povinnosti tak vyplývají přímo ze samotného Zákona o kybernetické bezpečnosti, nikoliv ze směrnice NIS2.

DORA je jiným typem předpisu EU – jde o nařízení, které je závazné a platné v celé EU, přičemž není potřeba jej nijak převádět do českého práva. Úplně poprvé byla navržena v roce 2020, jako nařízení pak vstoupila v platnost v lednu 2023. Poté dostaly finanční instituce čas na implementaci všech požadavků, v současnosti už je ale nařízení DORA přímo účinné, a to od 17.1.2025.

CRA je pak stejně jako DORA nařízením – není tedy potřeba jej převádět do českého práva, u nás je rovnou platné a závazné. Původní návrh CRA se poprvé objevil v roce 2022, poté se přes politické dohody, schválení Evropským parlamentem a formální přijetí Radou EU stala CRA platnou v prosinci 2024. Plně účinné bude CRA kolem roku 2026, přičemž některé části až o rok později.

Zákon o kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti v ČR platí od 1. listopadu 2025 a jeho smyslem je zanést požadavky směrnice NIS2 do českého práva. Zavádí jasně strukturované povinnosti pro organizace poskytující regulované služby, které nově spadají do dvou režimů – nižšího a vyššího – podle významu dané služby pro fungování společnosti.

Zákon posiluje systematické řízení rizik, povinné hlášení incidentů a odpovědnost vrcholového vedení firmy, přičemž centrálním kontaktním místem se stává portál NÚKIB, přes který musí subjekty hlásit provozované služby, incidenty i další povinné údaje.

V řadě aspektů jde tento zákon i nad rámec samotné směrnice NIS2, zejména díky detailním prováděcím vyhláškám, které stanovují konkrétní bezpečnostní požadavky, a důrazu na řízení rizik v dodavatelském řetězci. Prakticky to znamená, že firmy musí prokazatelně řídit bezpečnost nejen svého prostředí, ale také klíčových dodavatelů. Zákon navíc zavádí přísnější sankční mechanismy, které mají motivovat organizace k reálnému naplňování bezpečnostních opatření.

Koho se nové předpisy týkají

Jednotlivé předpisy se dále liší v tom, jaké firmy budou pod jejich regulace spadat. Z pohledu samotných firem je tedy důležité identifikovat, zda a které nařízení se jich týká. Pojďme si to proto přehledně rozdělit.

Koho se týká NIS2

NIS2 by se podle údajů NÚKIB mělo týkat až 6 000 firem v ČR. Směrnice rozděluje firmy do dvou skupin - na základní subjekty a na důležité subjekty. Na první skupinu se vztahují vyšší povinnosti než na tu druhou. 

Mezi základní subjekty se řadí hlavně:

• energetika (elektřina, teplo a chlazení, ropa, plyn, či vodík),
• doprava (silniční, železniční, letecká, vodní),
• bankovnictví a infrastruktura finančních trhů,
• zdravotnictví a výroba farmaceutik,
• pitná voda a odpadní vody,
• digitální infrastruktura a služby,
• veřejná správa,
• průmysl zaměřený na vesmír.

Mezi důležité subjekty se pak řadí:

• potravinářský průmysl,
• produkce základních farmaceutických látek,
• výroba elektroniky a počítačů,
• výroba strojního zařízení a motorových vozidel,
• chemický průmysl,
• poštovní a kurýrní služby,
• nakládání s odpady,
• digitální poskytovatelé (internetová tržiště, sociální sítě, vyhledávače),
• výzkum.

Rozhodujícím kritériem pro zařazení povinného subjektu do rámce NIS2 ale není pouze odvětví. Dále o tom rozhoduje velikost organizace, počet jejich zaměstnanců a výše obratu.

Koho se týká DORA

Nařízení DORA se bude týkat institucí z finančního sektoru. Může jít například o:

• banky,
• pojišťovny,
• investiční fondy,
• poskytovatele platebních služeb,
• družstevní záložny,
• obchodníky s cennými papíry,
• zprostředkovatele pojištění či doplňkového pojištění.

Velmi zjednodušeně lze říct, že pokud má firma licenci ČNB, tak pod nařízení DORA spadá. To ale stále není všechno – DORA se týká i všech dodavatelů ICT služeb pro tyto firmy. V praxi půjde o jakoukoliv firmu, která alespoň jedné finanční instituci dodává digitální nebo datové služby. Velikost firmy v tomto případě nehraje žádnou roli – jakmile do finančních institucí dodáváte něco spojené s informační či komunikační technologií, pod nařízení DORA spadáte také.

Koho se týká CRA

Nařízení CRA dopadne na všechny firmy, které vyrábí a uvádí (tzn. výrobce, dovozce i distributory) na trh EU produkty s digitálními prvky, které se přímo či nepřímo připojují k jinému zařízení nebo k síti. V praxi tak může jít například o:

• chytrou elektroniku –  chytré spotřebiče, chytré osvětlení či termostaty, bezpečnostní kamery (které firmy používají mimo jiné i k ochraně před průmyslovou špionáží),
• průmyslová zařízení – řídicí systémy, čipové karty či biometrické vstupy,
• IT systémy pro správu budov – např. řízení klimatizace či osvětlení,
• software a digitální služby – operační systémy, aplikace, cloudové služby,
• volnočasovou elektroniku – chytré hodinky, herní konzole, interaktivní hračky,
• vybavení do auta – např. infotainment systémy či palubní diagnostické systémy připojitelné k síti.

Povinnosti pro firmy

Firmám v závislosti na tom, pod kterou regulaci spadají, vzniknou určité povinnosti, které musí plnit.

Povinnosti vyplývající z NIS2

NIS2 má 2 režimy povinností – vyšší a nižší. Ty stanovují, jaké povinnosti budou firmy plnit. Do nižšího režimu budou spadat menší a střední firmy, které tak budou mít splnění požadovaných opatření usnadněné.

Pokud však firma spadá do vyššího režimu u alespoň jedné poskytované služby, bude jej muset plnit u všech. Platí totiž princip – jedna firma, jeden režim. Mezi základní povinnosti, které regulovaným firmám NIS2 ukládá, patří:

1. Oznámení o zařazení do regulace
   Firma, která spadá pod NIS2, se musí ohlásit u NÚKIB, který si jí zaregistruje jako poskytovatele regulované služby.
2. Nahlášení kontaktních údajů firmy
3. Pravidelné hlášení kybernetických bezpečnostních incidentů
4. Postupné zavádění bezpečnostních opatření
5. Provádění protiopatření, které firmě vydá NÚKIB
   ​NÚKIB může regulovanou firmu upozornit na porušování povinností nebo určitou hrozbu či zranitelnost. Firma je v tomto případě povinná začít nedostatek neprodleně odstraňovat.

Povinnosti vyplývající z DORA

DORA finančním institucím stanovuje tyto povinnosti:

1. Zapojení vedení společnosti
   Zejména je vyžadováno to, aby se vrcholové vedení organizace aktivně podílelo na řízení ICT rizik. V praxi tak má vedení stanovovat bezpečnostní strategie a poté také dohlížet na jejich uplatňování.
2. Spolupráce s dodavateli
   DORA firmám ukládá povinnost důkladně prověřit své ICT dodavatele. Upraveny musí být rovněž smlouvy – při řešení mimořádných situací je potřeba zajistit jejich zapojení.
3. Testování odolnosti
   Regulované firmy musí provádět penetrační testy (ty simulují IT útoky) a ověřovat tak svou odolnost vůči útokům. Tyto firmy musí mít rovněž dohledový systém, který dokáže detekovat hrozby v reálném čase.
4. Krizové scénáře
   ​DORA od firem vyžaduje přípravu detailních plánů pro obnovu provozu v případě kybernetického útoku.

V rámci finančního sektoru je potřeba zároveň dbát na to, abyste plnili jak požadavky DORA, tak NIS2. V případě překryvu má ale vždy přednost DORA. Incidenty je nicméně vždy nutné hlásit jak na ČNB, tak na NÚKIB, jak žádá NIS2.

Povinnosti vyplývající z CRA

V případě CRA budou mít výrobci povinnost zajistit, že jejich produkty splňují všechny požadavky na kybernetickou bezpečnost. To v praxi zahrnuje už bezpečný vývoj produktu, a dále pokračuje jeho nasazením, aktualizacemi a podporou po celou dobu životnosti produktu.

Vedle toho budou výrobci povinni vést i odpovídající dokumentaci – zejména popis produktu, jeho architekturu, analýzu rizik, postup při testování či prohlášení o shodě s požadavky CRA. Toto prohlášení si budou muset hlídat rovněž distributoři nebo dovozci těchto produktů – odpovědnost za soulad s požadavky CRA ponesou v EU právě oni.

Poslední hlavní povinností vyplývající z CRA je pak hlášení zranitelností – firmy budou muset zjištěné zranitelnosti či bezpečnostní incidenty hlásit NÚKIB. 

Do kdy je nutné změny implementovat

Požadavky NIS2 jsou v rámci našeho zákona účinné od 1. listopadu 2025, aktuálně tedy běží první 60denní lhůta – během této doby je do konce roku 2025 nutné zjistit, zda vaše firma pod NIS2 spadá a pokud ano, tak se nahlásit u NÚKIB. Jakmile pak obdržíte rozhodnutí o registraci, do dalších 30 dní je potřeba nahlásit kontaktní údaje odpovědných osob.

Poté přichází ta složitější část – nejpozději do 1 roku od obdržení registrace firmy u NÚKIB je organizace povinná zavést odpovídající bezpečnostní opatření, nastavit evidenci aktiv a rizik a zajistit schopnost detekce kybernetických incidentů a konečně je začít hlásit.

Lhůty u DORA a CRA

Nařízení DORA vstoupilo v platnost v lednu 2023, poté dostaly finanční instituce na implementaci požadovaných opatření lhůtu 2 roky. Ta uplynula v lednu 2025, v současné chvíli je proto nařízení DORA plně účinné a brzo začne být jeho naplňování samotnými organizacemi kontrolováno.

Nařízení CRA vstoupilo v platnost v prosinci 2024, přičemž přechodná lhůta na implementaci opatření do firem je stanovená na 3 roky. Plně účinná tedy bude CRA v lednu 2027 – do té doby by firmy měly být připraveny na její kontrolu a vyžadování.

Pokuty při nedodržení nařízení

Ani jedno ze zmíněných opatření není dobré brát na lehkou váhu – za jejich nedodržování firmám hrozí opravdu vysoké pokuty. V případě NIS2 představuje maximální možná pokuta za jeho nedodržování až 250 milionů Kč u nejzávažnějších případů (případně 2 % z čistého obratu firmy, pokud je toto číslo vyšší).

U nařízení CRA je toto číslo ještě mnohem vyšší – pokuta se může vyšplhat až na astronomických 15 milionů € (případně na 2,5 % z čistého obratu firmy, je-li toto číslo vyšší). Stejně závažné pokuty pak hrozí i za nedodržování DORA – údajně by se mohly pohybovat až kolem 10 % ročního obratu firmy ​(stanoví si členské země).

Pokuta by ale pro firmu, která tato nařízení nedodržuje, nebyla jediným trestem. Ještě horší totiž může být ztráta důvěry zákazníků a partnerů, kteří pravděpodobně budou chtít se sankcionovanou firmou rozvázat obchodní vztahy kvůli zachování dobrého jména.

Jak se mohou firmy připravit

Příprava organizace na nové požadavky vyplývající z jednotlivých nařízení se vždy skládá z několika kroků. U NIS2 by proces měl vypadat následovně.

1. Vytvořte malý interní tým
   ​Tým podle kritérií uvedených v zákoně identifikuje, zda pod NIS2 spadáte a do jakého režimu. Něco napoví také NÚKIB kalkulačka. V případě jakýchkoliv nejasností věc konzultujte s odborníky.
2. Připravte si proces registrace k NÚKIB
   Stanovte, kdo ji provede a jaké podklady k tomu bude potřebovat.
3. Definujte odpovědnosti
   ​Určete kontaktní osobu pro NÚKIB a zajistěte osobní odpovědnost vedení. Vyšší režim regulace firmy pak zahrnuje i některé povinné funkce – například manažer či architekt kybernetické bezpečnosti. Určete je v předstihu – nemusí jít přitom o samostatné pozice. Ty mohou být přiděleny stávajícím zaměstnancům se souvisejícími kompetencemi.
4. Proveďte analýzu rizik a zaveďte ISMS 
   ​Je třeba mít funkční systém řízení kybernetické bezpečnosti, jak to zákon vyžaduje. Revizi rizik poté bude potřeba provádět minimálně 1x ročně (nebo při významných změnách ve firmě).
5. Nastavte další potřebné procesy
   Zákon dále vyžaduje mít procesy pro identifikaci, řešení a hlášení incidentů přes portál NÚKIB. Určete proto odpovědné osoby a komunikační kanály, aby nevznikaly zmatky.
6. Zkontrolujte bezpečnost dodavatelského řetězce
   Prověřte smlouvy a vyžadujte minimální standardy od všech partnerů.
7. Stanovte pravidla a zajistěte školení
   Interní směrnice pravidelně aktualizujte a zvyšujte povědomí zaměstnanců o kybernetických hrozbách, například prostřednictvím simulací phishingových útoků či jiných podobných metod sociálního inženýrství. Škodlivý malware či spyware se totiž do počítače nejčastěji dostane právě tímto způsobem, a proto je připravenost a informovanost zaměstnanců klíčová.
8. Zaveďte přiměřená technická opatření
   Zabezpečení počítačů i firemní Wi-Fi sítě je samozřejmostí, zákon od vás ale bude postupem času vyžadovat segmentaci sítí, logování, vícefaktorové ověřování či šifrování komunikace. Samozřejmě nelze vyřešit všechno najednou – na začátku proto určete, které systémy jsou pro vaši firmu nejdůležitější, a tam poté začněte zavádět silné bezpečnostní prvky.
9. Veďte si dokumentaci
   ​Nakonec pak zákon vyžaduje rovněž dokumentovat přijatá opatření a doložit je při případné kontrole NÚKIBem. Jde o vše, co jste už do firmy zavedli, co je v procesu, nebo co se plánuje zavést v budoucnosti.

V lecčems pak bude podobné i zavádění požadavků DORA do firmy:

1. Ověření platnosti
   Na začátku musíte určit, zda se vás DORA týká a poté i to, kdo ve firmě má jaké odpovědnosti.
2. Zavedení řízení rizik a incidentů
   Dále bude potřeba se zaměřit na bezpečnost a provoz firmy – zavést řízení ICT rizik a incidentů, otestovat odolnost systémů a připravit plány pro jejich obnovu při mimořádné situaci.
3. Prověření dodavatelů
   Poté by mělo následovat prověření dodavatelů a smluv – bude třeba prověřit všechny ICT partnery a aktualizovat smlouvy s nimi podle požadavků DORA. Nezbytné je také zajistit součinnost dodavatelů při potenciálních incidentech a krizích.
4. Pravidla hlášení incidentů
   Poté bude potřeba ohledem nových požadavků proškolit všechny zaměstnance i vedení a nastavit pravidla pro hlášení incidentů.

Zavádění CRA do firmy bude ze začátku vypadat stejně – nejdříve je potřeba identifikovat, zda vaše produkty pod CRA spadají a poté určit osoby odpovědné za jejich bezpečnost. Následně se pak zaměřte na následující.

• Bezpečný vývoj a správu produktů podle požadavků CRA
  Například si vytvořte procesy pro řízení zranitelností a aktualizací a zabezpečte technickou dokumentaci k produktům.
• Hlášení incidentů
  Bude potřeba nastavit systém pro detekci a hlášení potenciálních zranitelností u vašich produktů.
• Prověření dodavatelů
  ​Stejně jako u DORA bude potřeba přísně prověřit dodavatelský řetězec a aktualizovat smluvní dokumentaci.

Závěr

Směrnice NIS2 i nařízení DORA a CRA představují zásadní posun v evropské kyberbezpečnosti – rozšiřují okruh regulovaných subjektů, zpřísňují požadavky na řízení rizik, bezpečnost dodavatelů, hlášení incidentů i odpovědnost vedení firem. Dotknou se tisíců společností napříč klíčovými odvětvími, finančními institucemi i výrobců digitálních produktů.

Přestože jejich implementace vyžaduje nemalé úsilí, investice i organizační změny, firmám přinášejí vyšší odolnost, důvěryhodnost a konkurenční výhodu. Klíčové je začít včas, správně určit, pod kterou regulaci firma spadá, a systematicky zavádět procesy a bezpečnostní opatření, která budou po další roky standardem v celé EU.