Od listopadu vstupuje v platnost nový zákon č. 264/2025 Sb. o kybernetické bezpečnosti. Jaké dopady má NIS2 pro průmysl 

Kybernetická bezpečnost v průmyslu: nová povinnost, která chrání i výrobu 

Kybernetická bezpečnost už není jen doménou IT firem. Od 1. listopadu 2025 začíná v České republice platit zákon č. 264/2025 Sb., který transponuje evropskou směrnici NIS2. Nově se jeho požadavky týkají i průmyslových podniků – tedy firem z odvětví chemického průmyslu, potravinářství, odpadového hospodářství, zpracovatelského a výrobního průmyslu. 

Smyslem nové legislativy je zvýšit odolnost firem vůči kybernetickým útokům, chránit provozní technologie a zajišťovat kontinuitu výroby. V praxi to znamená, že i běžná průmyslová společnost musí začít přemýšlet nad bezpečností svých systémů, přístupů a dat. 

Co přináší zákon č. 264/2025 Sb. pro průmyslové podniky 

Zákon vychází z evropské směrnice NIS2 a rozšiřuje okruh firem, které musí zavést opatření pro zajištění kybernetické bezpečnosti. 
Dotkne se všech středních a velkých podniků (typicky nad 50 zaměstnanců nebo s obratem 10 mil. EUR a více), které působí v odvětvích se strategickým významem pro stát. 

Mezi tyto sektory patří i průmyslové podniky: 

Výroba a zpracovatelský průmysl, 

Chemický a farmaceutický průmysl, 

Potravinářství a logistika, 

Odpadové a vodní hospodářství, 

Doprava a energetika. 

Firmy budou zařazeny do dvou režimů: 

Vyšší režim – s přísnějšími požadavky a povinností hlásit všechny incidenty, 

Nižší režim – s menším rozsahem povinností, ale stále pod dohledem NÚKIB. 

 

Jak zjistit, zda vaše firma spadá pod zákon NIS2?

Od 1. listopadu 2025 mají firmy povinnost provést sebehodnocení – tedy zjistit, zda poskytují tzv. „regulovanou službu“. 
Pokud ano, musí se do 60 dnů registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a ohlásit svou regulovanou službu. 

Jak postupovat krok za krokem: 

Zkontrolujte velikost a obor činnosti – zda odpovídá kritériím zákona (NIS2 se vztahuje na střední a velké podniky z určených odvětví). 

Identifikujte, jaké systémy používáte – řídicí technologie, datové sítě, komunikační platformy, přístupové body. 

Zhodnoťte dopad výpadku systému – může ohrozit výrobu, zaměstnance nebo dodávky zákazníkům? 

Vyhodnoťte rizika a vazby na dodavatele – jaký vliv má výpadek partnera nebo dodavatele? 

Kontaktujte odborníky – pomohou určit, zda spadáte pod zákon, a doporučí konkrétní kroky v souladu s požadavky NÚKIB. 

Pokud firma zjistí, že spadá do režimu regulované služby, musí se do určené lhůty registrovat u NÚKIB a zahájit přípravu dokumentace dle nového zákona. 

Proč se změny týkají i průmyslové výroby 

Výrobní provozy dnes využívají stále více propojených technologií – PLC, řídicí systémy, senzoriku, IoT a vzdálenou správu. Právě tato konvergence IT a OT je v současnosti největším zdrojem zranitelností. 

Útok na řídicí systém může vést k výpadku celé linky, poškození zařízení nebo zastavení výroby. Nový zákon proto ukládá povinnost zavést procesy, které snižují riziko takových incidentů – například řízení přístupů, monitoring systémů nebo řízení rizik v dodavatelském řetězci. 

Jaké sankce hrozí při nesplnění povinností 

Zákon stanovuje výrazně vyšší pokuty než dosud. 

U firem ve vyšším režimu až 250 milionů Kč nebo 2 % z celosvětového obratu. 

U nižšího režimu až 175 milionů Kč nebo 1,4 % z obratu. 

Kromě toho nese odpovědnost také vrcholový management – při opakovaném porušení může NÚKIB uložit zákaz výkonu funkce vedoucí osoby. 

 

Co znamená zákon č. 264/2025 Sb. pro průmyslové podniky?

Pokud vaše firma provozuje výrobní linky, robotizovaná pracoviště nebo rozvody energií, je nutné, aby měla na úrovni strojů zavedená opatření odpovídající NIS2. 

Nestačí mít pouze nainstalované „bezpečnostní prvky“ – například firewall nebo antivir. 
Firmy musí být schopné prokázat, že mají zavedený systém řízení a údržby, který jasně definuje: 

• kdo má k zařízením přístup, 

• jak probíhá aktualizace firmware, 

• jak a kde se ukládají zálohy řídicích programů, 

• jak jsou chráněny komunikační rozhraní mezi IT a OT,
• ale také, zda na výrobních linkách a strojích používají odpovídající bezpečnostní prvky.

Taková opatření se obvykle zavádějí v rámci projektu bezpečnosti strojních zařízení – tedy ve spojení s analýzou rizik podle norem EN ISO 12100 a EN ISO 13849-1. 
Tím se propojuje strojní bezpečnost s kybernetickou odolností, což je přesně směr, kterým se moderní průmysl nyní ubírá. 

 

EK-INDUSTRY pomáhá firmám s kybernetickou bezpečností výroby 

Na rozdíl od čistě IT dodavatelů se tým EK-INDUSTRY zaměřuje na reálné výrobní technologie a provozní bezpečnost. 
Pomáháme firmám vyhodnotit rizika v provozu, navrhnout vhodná opatření na úrovni strojů a integrovat OT systémy – tedy přesně tam, kde se NIS2 prolíná s bezpečností výroby. 

Naše služby zahrnují: 

• Posouzení rizik a doporučení pro zvýšení kyberbezpečnosti strojů, 

• Podporu při výběru vhodných komponent – např. PLC, řídící systémy, zabezpečovací systémy, firewally, přístupové systémy, monitoring atd.. 

• Spolupráci s výrobci zařízení při návrhu bezpečných architektur OT, 

• Odborné poradenství při dokumentaci souladu se zákonem a technickými normami. 

Zavádění opatření podle NIS2 nemusí být překážkou. Naopak – firmy, které začnou s přípravou včas, získají vyšší stabilitu provozu, lepší ochranu know-how i konkurenční výhodu v oči svých zákazníků. 

Chcete zjistit, jaké kroky má vaše firma podniknout, aby byla připravena? 
Kontaktujte nás – rádi vám pomůžeme propojit bezpečnost strojů s kybernetickou ochranou podle NIS2.  

Důležité informace ohledně naleznete zde: NIS2 Kybernetická bezpečnost v průmyslu