NIS2 je v platnosti.

V Německu platí NIS2 od prosince 2025 bez přechodného období. Co by nyní měli vědět CISO, CIO a IT vedoucí pracovníci.

Organizace čelí okamžitému tlaku na opatření

Stav: červen 2026
Poznámka: Tento článek slouží pouze k obecným informačním účelům a nepředstavuje právní poradenství.

Evropská směrnice NIS2 už není tématem budoucnosti — je provozní realitou. V Německu platí národní implementační zákon od 6. prosince 2025bez přechodného období.

Pro mnoho organizací to znamená, že regulatorní tlak už není teoretický. Netýká se pouze IT týmů, ale výslovně i vedení společnosti, CISO, CIO a IT manažerů.

Proč je NIS2 tématem pro vedení společnosti

Cílem NIS2 je zajistit vysokou společnou úroveň kybernetické bezpečnosti v celé Evropské unii a zároveň výrazně rozšířit okruh dotčených organizací.

V jádru NIS2 vyžaduje zejména:

  • účinná opatření pro řízení kybernetických rizik,
  • jasné procesy pro hlášení významných incidentů,
  • zdokumentovanou implementaci a prokazatelnost,
  • dohled a odpovědnost managementu.

Kybernetická bezpečnost tak už není pouze provozním nebo technickým tématem. Stává se otázkou governance a odpovědnosti.

Žádné přechodné období: jednat je třeba nyní

Pro Německo je situace jasná: od účinnosti implementačního zákona platí povinnosti okamžitě. Organizace nemusí bezpečnostní opatření pouze definovat, ale také je účinně zavést a v případě potřeby doložit.

Právě zde v praxi mnoho organizací naráží na problém. Jednotlivé kontroly sice mohou existovat, ale často chybí spolehlivý celkový obraz o tom, zda je aktuální stav z regulatorního hlediska skutečně dostačující.

Co je v sázce

Riziko není jen technické. Podle zařazení subjektu mohou hrozit významné sankce:

  • pro essential entities až 10 milionů EUR nebo 2 % celosvětového ročního obratu,
  • pro important entities až 7 milionů EUR nebo 1,4 % celosvětového ročního obratu.

NIS2 navíc mnohem důrazněji zdůrazňuje odpovědnost managementu. Kybernetická bezpečnost se tak jednoznačně přesunula na agendu vedení společnosti.

Jaké otázky by si organizace měly umět zodpovědět

Skutečná otázka už nezní, zda je NIS2 relevantní. Otázkou je, zda je vaše organizace připravena tak, aby obstála při kontrole.

Typické klíčové otázky jsou:

  • Posoudili jste svou úroveň kybernetické bezpečnosti komplexně?
  • Jsou stávající opatření skutečně dostačující — nebo jen částečně zavedená?
  • Dokážete v případě potřeby prokázat soulad?
  • Máte pevný základ pro prioritizaci, rozpočtování a další investiční rozhodnutí?

Co to znamená pro mezinárodní organizace

NIS2 je rámec EU, ale uplatňuje se prostřednictvím národní legislativy. Konkrétní právní stav, termíny a dohled se proto mohou v jednotlivých zemích lišit. Mezinárodní organizace by měly vždy prověřit příslušný národní rámec na každém relevantním trhu.

Jak pomáhá XATROP

XATROP podporuje CISO, CIO a IT vedoucí při hodnocení kybernetické bezpečnosti nezávisle, komplexně a s technickou hloubkou.

Naším cílem je vytvořit spolehlivý podklad pro rozhodování:

  • Kde jsou skutečná rizika?
  • Která opatření jsou provozně i regulatorně prioritní?
  • Které kontroly už jsou dostatečné — a kde je stále třeba jednat?

Tak vzniká jasný obraz nejen pro audity a regulatorní požadavky, ale i pro strategická bezpečnostní rozhodnutí.

Závěr

NIS2 už není teoretický rámec. Je to provozní realita. Organizace, které jednají nyní, nejen snižují regulatorní riziko, ale zároveň posilují celkovou bezpečnostní strategii.

Klíčová otázka zůstává:
Jste skutečně bezpeční — nebo to jen předpokládáte?


Zdroje

  1. Evropská komise, NIS2 Directive: securing network and information systems
    https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

  2. SECJUR, NIS2 Umsetzung in Deutschland: Gesetz, Fristen und nächste Schritte
    https://www.secjur.com/blog/nis2-umsetzung

  3. NIS2Compass, NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?
    https://nis2compass.de/de/blog/nis2-in-deutschland-was-muessen-unternehmen-2026-wissen

  4. WarDek, NIS2 Penalties and Fines: What Businesses Face
    https://wardek.io/en/blog/compliance/nis2-penalties-fines-guide

  5. BSI, Fragen und Antworten zu NIS-2
    https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/NIS-2-FAQ-allgemein/FAQ-zu-NIS-2.html