Navrhovaný balíček přináší několik zásadních změn:

• Zjednodušení pro malé a střední podniky – Změny mají ulehčit compliance pro přibližně 28 700 společností operujících v EU, z toho konkrétně 6 200 mikropodniků a malých podniků. Tyto firmy budou mít jasnější a méně byrokratické požadavky.
• Zvýšení právní jistoty – Úpravy mají odstranit některé nejasnosti v současném textu směrnice, které vedly k rozdílným interpretacím v jednotlivých členských státech. To by mělo usnadnit compliance pro firmy působící ve více zemích EU.
• Zjednodušení požadavků na řízení rizik – Konkrétní technická a organizační opatření budou lépe definována a přizpůsobena velikosti a typu organizace.
• Harmonizace napříč členskými státy – Změny mají přispět k jednotnějšímu výkladu a aplikaci směrnice v různých zemích EU, což je klíčové pro fungování jednotného digitálního trhu.

Nový zákon č. 264/2025 Sb. přináší zásadní změny v oblasti kybernetické bezpečnosti v České republice:

• Implementace NIS2 – Zákon transponuje evropskou směrnici NIS2 (Directive 2022/2555), která zvyšuje společnou úroveň ambicí EU v oblasti kybernetické bezpečnosti. Rozšiřuje počet regulovaných sektorů a zavádí jasnější pravidla a silnější nástroje dohledu.
• Mechanismus bezpečnosti dodavatelského řetězce – Po dlouhých diskusích a kompromisech zákon zavádí mechanismus, který umožňuje vyloučit potenciálně nebezpečné dodavatele ze systémů důležitých pro chod státu. Konečná podoba stanoví, že o vyloučení dodavatele rozhoduje vláda, nikoliv pouze NÚKIB.
• Dvoustupňový systém – Zákon rozlišuje mezi "regulovanými subjekty s vysokým dopadem" (dříve označované jako subjekty s vyššími povinnostmi) a "regulovanými subjekty se středním dopadem". Toto rozdělení odpovídá evropské kategorizaci na "essential" a "important" entities.
• Odpovědnost managementu – Zákon výslovně stanoví odpovědnost vedení organizací za kybernetickou bezpečnost, což má zajistit, že se toto téma dostane do boardroomů a nebude pouze záležitostí IT oddělení.
• Hlášení incidentů – Subjekty mají povinnost hlásit významné kybernetické bezpečnostní incidenty NÚKIBu ve stanovených lhůtách.
• Sankce – Za neplnění povinností hrozí organizacím vysoké pokuty, u subjektů s vysokým dopadem až 10 milionů Kč nebo 2 % celosvětového ročního obratu, u subjektů se středním dopadem až 7 milionů Kč nebo 1,4 % obratu.

Evropská komise nyní předkládá návrh legislativním orgánům EU – Evropskému parlamentu a Radě EU. Očekává se zahájení tzv. trilogue negotiations (trojstranná jednání mezi Komisí, Parlamentem a Radou) v polovině roku 2026.

Proces schvalování změn může trvat několik měsíců až rok. Po schválení budou mít členské státy další přechodné období na zapracování změn do svých národních legislativ.

Průmyslové asociace a obchodní komory obecně vítají navrhované změny jako krok správným směrem. Zejména zástupci malých a středních podniků dlouhodobě upozorňovali na nepřiměřenou zátěž, kterou současná verze směrnice představuje.

Naopak některé bezpečnostní organizace vyjadřují obavy, že zjednodušení by mohlo vést ke snížení úrovně kybernetické bezpečnosti. Zdůrazňují, že v době rostoucích kybernetických hrozeb je nutné udržet vysoké standardy ochrany.

K 20. lednu 2026 pouze 19 členských států dokončilo transpozici NIS2 do národního práva. Mezi země, které stále pracují na implementaci, patří například Francie, Irsko a Španělsko. Německo dokončilo transpozici v prosinci 2025, Švédsko v lednu 2026.

Česká republika implementovala NIS2 prostřednictvím nového zákona o kybernetické bezpečnosti, který vstoupil v platnost 1. listopadu 2025. Navrhované změny ze strany Komise by tedy musely být zapracovány do již platného českého zákona, což může představovat další legislativní výzvu.

Ačkoliv většina členských států následovala rámec směrnice poměrně věrně, některé státy zavedly dodatečné požadavky:

Itálie a Slovinsko rozšířily seznam regulovaných sektorů nad rámec anexů I a II směrnice, čímž do regulace zahrnuly další kategorie subjektů.

Belgie zavedla přísnější požadavky na interní governance a dohled na úrovni představenstva nad kybernetickou bezpečností.

Tyto rozdíly vytvářejí výzvy pro nadnárodní společnosti, které musí navigovat různými národními režimy. Navrhované změny by měly přispět k větší harmonizaci.

Paralelně s úpravami NIS2 pracuje Evropská unie na dalších legislativních iniciativách v oblasti kybernetické bezpečnosti:

• Cyber Resilience Act – Regulace kybernetické bezpečnosti produktů s digitálními prvky
• AI Act – Pravidla pro umělou inteligenci s důsledky pro kybernetickou bezpečnost
• Data Act – Pravidla pro sdílení a přístup k datům
• DORA – Regulace digitální odolnosti finančního sektoru

Všechny tyto předpisy vytvářejí komplexní, ale i komplexní regulatorní prostředí, které vyžaduje koordinovaný přístup ze strany organizací.

I přes navrhované změny by organizace měly:

• Pokračovat v implementaci současných požadavků NIS2 – změny nebudou mít okamžitý účinek
• Sledovat legislativní vývoj – být připraveny na případné úpravy
• Investovat do základních bezpečnostních opatření – ty zůstanou relevantní bez ohledu na legislativní změny
• Konzultovat s odborníky – zajistit správnou interpretaci požadavků
• Budovat kulturu kybernetické bezpečnosti – nad rámec pouhého plnění zákonných povinností

Navrhované změny NIS2 ukazují, že EU je ochotna reagovat na praktické zkušenosti s implementací nové regulace a hledat rovnováhu mezi potřebou silné kybernetické bezpečnosti a únosnou zátěží pro podniky.