NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) je český státní orgán zodpovědný za kybernetickou bezpečnost. Vykonává dozor nad plněním zákona 264/2025 Sb. a je kontaktní institucí pro firmy povinné registrovat se v systému NIS2.

Musím se registrovat u NÚKIB?

Registrace u NÚKIB je povinná pro regulované subjekty dle zákona 264/2025 Sb. (NIS2). Týká se firem a organizací ve vybraných sektorech s alespoň 50 zaměstnanci nebo obratem 10 mil. EUR.

Jaké má NÚKIB pravomoci?

NÚKIB může provádět kontroly, vydávat závazné pokyny a ukládat sankce až do výše 250 milionů Kč. Spravuje také národní CERT a koordinuje reakci na kybernetické incidenty celostátního rozsahu.

NÚKIB: Co je Národní úřad pro kybernetickou a informační bezpečnost?

NÚKIB — Národní úřad pro kybernetickou a informační bezpečnost — je ústřední správní orgán České republiky zodpovědný za kybernetickou bezpečnost státu. Vznikl v roce 2017 jako nástupce oddělení kybernetické bezpečnosti NBÚ a od té doby se stal klíčovým hráčem v oblasti digitální bezpečnosti celé země. Pro firmy povinné plnit NIS2 je NÚKIB tím, kdo registraci přijímá, kontroly provádí a sankce uděluje.

Co NÚKIB konkrétně dělá?

Rozsah činností NÚKIB je široký. Úřad plní několik klíčových rolí najednou:

Regulátor a dozorový orgán — NÚKIB dohlíží na plnění povinností dle zákona č. 264/2025 Sb. (implementace NIS2 do českého práva). Může zahájit kontrolu, vydat závazný pokyn nebo uložit sankci.
Národní CERT — NÚKIB provozuje CERT.cz a GovCERT.cz, které koordinují reakci na kybernetické incidenty. Při rozsáhlém útoku na kritickou infrastrukturu přebírá koordinaci záchranných opatření.
Vzdělávání a osvěta — Úřad vydává metodiky, doporučení, varování a pořádá kurzy a školení pro firmy i veřejnou správu. Provozuje také platformu Nukib.gov.cz s volně dostupnými materiály.
Meziresortní koordinace — NÚKIB spolupracuje s bezpečnostními složkami (BIS, Policie ČR), ministerstvy a zahraničními partnery (ENISA, NATO CCDCOE).
Správa registrace NIS2 subjektů — Firmy a organizace povinné dle zákona 264/2025 Sb. se registrují přímo u NÚKIB prostřednictvím online portálu.

NÚKIB a NIS2: klíčová vazba

Zákon č. 264/2025 Sb., který implementuje evropskou směrnici NIS2 do českého práva, výrazně posílil pravomoci NÚKIB. Úřad se stal primárním regulátorem pro přibližně 6 000 českých firem a organizací v kritických a důležitých sektorech.

Konkrétně NÚKIB v rámci NIS2:

Přijímá a zpracovává registrace regulovaných subjektů
Vede registr povinných subjektů
Přijímá hlášení kybernetických incidentů (do 24 hodin od zjištění)
Provádí kontroly na místě i na dálku
Vydává závazné pokyny k nápravě
Ukládá sankce — až 250 mil. Kč pro zásadní subjekty, až 125 mil. Kč pro důležité subjekty

Nevíte, zda se na vás NIS2 vztahuje?

Zkuste bezplatný online audit na nis2ok.cz — výsledek do 10 minut, bez registrace.

Jaké sektory NÚKIB reguluje?

NÚKIB dohlíží na subjekty ve dvou kategoriích dle přílohy zákona 264/2025 Sb.:

Vysoce kritické sektory (zásadní subjekty): energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura, správa ICT služeb, veřejná správa a vesmír.

Kritické sektory (důležité subjekty): poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemikálií, produkce a distribuce potravin, výroba zdravotnických prostředků, elektroniky, strojního zařízení a motorových vozidel a digitální poskytovatelé.

Pokud vaše firma působí v některém z těchto sektorů a překračuje prahové hodnoty (50+ zaměstnanců nebo 10 mil. EUR obratu), pravděpodobně máte povinnost registrace. Malé firmy pod těmito prahy jsou většinou vyňaty — s výjimkou subjektů poskytujících kritické služby bez ohledu na velikost.

NÚKIB vydává varování a doporučení

Kromě regulatorní role NÚKIB aktivně publikuje bezpečnostní informace. Na webu nukib.gov.cz najdete:

Bezpečnostní varování — aktuální informace o hrozeb, zranitelnostech a útočných kampaních cílených na ČR
Doporučení a metodiky — praktické návody pro implementaci bezpečnostních opatření
Výroční zprávy — přehled kybernetické situace v ČR za předchozí rok
Regulatorní dokumenty — zákon, prováděcí vyhlášky, technické normy

Sledování NÚKIB varování by mělo být součástí každého firemního bezpečnostního programu. Pokud NÚKIB vydá varování o konkrétní zranitelnosti, regulované subjekty mají povinnost přijmout adekvátní opatření.

Jak NÚKIB kontroluje firmy?

Kontroly NÚKIB probíhají ve dvou formách. Kontrola na dálku zahrnuje přezkoumání dokumentace, dotazníků a technických reportů. Kontrola na místě je fyzická návštěva s auditem systémů, procesů a dokumentace.

Před zahájením kontroly NÚKIB firmu zpravidla informuje. Výjimkou jsou případy podezření ze závažného porušení nebo reakce na nahlášený incident. Výsledkem kontroly může být:

Zpráva bez nálezů (vše v pořádku)
Doporučení k nápravě (nezávazné)
Nápravné opatření (závazné, s lhůtou)
Správní řízení vedoucí k sankci

Co to znamená pro vaši firmu?

Pokud jste regulovaný subjekt dle NIS2, NÚKIB je váš regulátor — stejně jako ČNB pro banky nebo ČTÚ pro telekomunikace. Nestačí tedy implementovat bezpečnostní opatření jen formálně. NÚKIB při kontrole ověří, zda opatření skutečně fungují a zda jsou přiměřená rizikům vaší organizace.

Klíčové kroky pro příppravu na případnou kontrolu NÚKIB:

Dokončit registraci v systému NÚKIB (pokud jste povinný subjekt)
Mít zpracovanou analýzu rizik a bezpečnostní politiku
Udržovat aktuální dokumentaci bezpečnostních opatření
Mít nastaveny procesy hlášení incidentů (interní i k NÚKIB)
Průběžně školit zaměstnance

Více o procesu registrace se dočtete v našem článku Registrace do systému NÚKIB: průvodce pro firmy. O vztahu NIS2 a NÚKIB pak podrobněji v článku NIS2 a NÚKIB: jak spolu souvisí.

Potřebujete pomoc s přípravou na NIS2?

SecureOn připraví gap analýzu, bezpečnostní politiku a pomůže s registrací u NÚKIB. První konzultace je zdarma.

Kontaktovat SecureOn →