Kdo je v působnosti NIS 2: úplný test podle článku 2
Článek 2 NIS 2 stanoví jeden celounijní test působnosti. Tři části: sektor (příloha I nebo II), velikost (střední nebo větší podle doporučení 2003/361/ES) a výjimky bez ohledu na velikost. Tato stránka vše projde v pořadí, tak jak musí kontrola působnosti číst.
Krátká verze
Existuje jeden celounijní test toho, zda vás NIS 2 zavazuje. Žije v článku 2 směrnice. Má tři pohyblivé části. Sektor. Velikost. Výjimka. Většina výkladů pokrývá první dvě a končí. Ta třetí je místo, kde se vtahují malé subjekty a kde se odehrává většina překvapení.
Článek 2 odst. 1 je základní případ. Jste v působnosti, pokud sedíte v sektoru uvedeném v příloze I (sektory s vysokou kritičností) nebo příloze II (jiné kritické sektory) a jste alespoň středním podnikem podle doporučení 2003/361/ES. Článek 2 odst. 2 pak uvádí případy, kdy jste v působnosti bez ohledu na velikost. Telekomunikace, poskytovatelé služeb vytvářejících důvěru, DNS, registry TLD, výhradní poskytovatelé základních služeb, subjekty veřejné správy a několik dalších. Pod prahem velikosti neznamená mimo.
Německo vkládá stejný test do vnitrostátního práva prostřednictvím § 28 BSIG. Podstata je totožná. Mechanika (který úřad, který formulář, která lhůta) je vnitrostátní. Spusťte test jednou, výsledek si zapište a založte. Tento dokument je vaše posouzení použitelnosti.
Článek 2 odst. 1 směrnice NIS 2 (2022/2555)
Tato směrnice se vztahuje na veřejné nebo soukromé subjekty typu uvedeného v příloze I nebo II, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení 2003/361/ES nebo překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku a které poskytují své služby nebo vykonávají své činnosti v rámci Unie.
Základní test. Sektor (příloha I nebo II), velikost (střední nebo větší), služba poskytovaná v Unii. Článek 2 odst. 2 pak přidává seznam případů bez ohledu na velikost. Článek 2 odst. 3 vtahuje kritické subjekty podle CER. Články 2 odst. 5 až 2 odst. 11 vyjímají národní bezpečnost, obranu, parlamenty, centrální banky a finanční sektor (DORA, lex specialis podle článku 4).
Doporučení 2003/361/ES, příloha článek 2
Kategorie mikropodniků, malých a středních podniků (MSP) je tvořena podniky, které zaměstnávají méně než 250 osob a jejichž roční obrat nepřesahuje 50 milionů EUR nebo jejichž bilanční suma roční rozvahy nepřesahuje 43 milionů EUR.
Oficiální definice velikosti v EU. Střední podnik začíná na 50 zaměstnancích a alespoň 10 milionech EUR obratu a 10 milionech EUR bilanční sumy. NIS 2 vás zachycuje od středního výše. 'Překračuje stropy pro střední' v článku 2 odst. 1 znamená velký podnik podle téhož doporučení. Propojené a partnerské podniky se sčítají, takže malá dceřiná společnost velkého mateřského podniku se často počítá jako velká.
§ 28 BSIG (Německo)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
Německo rozděluje dvě kategorie EU na 'besonders wichtige' (zásadně významné) a 'wichtige' (významné) Einrichtungen pomocí příloh 1 a 2 BSIG, které zrcadlí přílohu I a II směrnice. Prahové hodnoty velikosti a případy bez ohledu na velikost se řídí textem EU. Ostatní členské státy mají vlastní transpoziční zákony (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184, CZ zákon č. 264/2025 Sb.) používající stejnou minimální hranici EU.
Příloha I nebo příloha II?
Příloha I (sektory s vysokou kritičností, 11 sektorů): Energetika, Doprava, Bankovnictví, Infrastruktura finančních trhů, Zdravotnictví, Pitná voda, Odpadní voda, Digitální infrastruktura, Správa služeb IKT (B2B, MSP a MSSP), Veřejná správa, Vesmír. Příloha II (jiné kritické sektory, 7 sektorů): Poštovní a kurýrní služby, Nakládání s odpady, Chemické látky, Potraviny, Výroba (zdravotnické prostředky, elektronika, elektrická zařízení, strojní zařízení, vozidla), Digitální poskytovatelé (online tržiště, vyhledávače, sociální sítě), Výzkum. Pokud vaše služba nebo činnost sedí v některé z příloh, přejděte k testu velikosti.
Střední podnik nebo větší?
Doporučení 2003/361/ES definuje střední podnik jako 50 zaměstnanců nebo více, NEBO obrat alespoň 10 milionů EUR A bilanční sumu alespoň 10 milionů EUR. Článek 2 odst. 1 vás zachycuje od středního výše. Uplatňuje se sčítání propojených podniků: pokud mateřský podnik ovládá více než 50 procent hlasů, sčítá se počet zaměstnanců a obrat. Dceřiná společnost s 30 zaměstnanci v rámci skupiny s 5000 lidmi se počítá jako součást údajů této skupiny.
Vtahuje vás článek 2 odst. 2 nebo 2 odst. 3 bez ohledu na velikost?
Článek 2 odst. 2 ruší test velikosti pro: poskytovatele veřejných sítí nebo služeb elektronických komunikací; poskytovatele služeb vytvářejících důvěru (eIDAS); registry jmen TLD a poskytovatele služeb DNS (s výjimkou provozovatelů kořenových jmenných serverů); výhradní poskytovatele v členském státě služby zásadní pro kritické společenské nebo hospodářské činnosti; subjekty, u nichž by narušení mohlo významně ovlivnit veřejnou bezpečnost, veřejnou ochranu nebo veřejné zdraví, nebo vyvolat systémové riziko, nebo které jsou kritické pro sektor či vzájemně závislé sektory; subjekty veřejné správy. Článek 2 odst. 3 vtahuje subjekty určené jako kritické podle směrnice CER (Critical Entities Resilience). Článek 2 odst. 4 umožňuje členským státům vtáhnout regionální veřejnou správu.
Test se provádí na právní subjekt, ne na skupinu
Článek 2 odst. 1 váže povinnosti na subjekt, nikoli na korporátní skupinu. Holdingová struktura s pěti právními subjekty provádí test pětkrát. Použitelnost a povinnosti dopadají na právní subjekt v působnosti. Skupinové služby mohou zavádět opatření centrálně, ale právním adresátem je subjekt. Tam, kde údaje propojených podniků mění velikost dceřiné společnosti, to jen mění vstup do testu velikosti, nikoli to, kdo nese povinnost. Viz také stránka o působnosti dceřiných společností a holdingů.
Pod prahem velikosti neznamená mimo
Článek 2 odst. 2 je past, do které malé subjekty vstupují. Poskytovatelé telekomunikací, poskytovatelé služeb vytvářejících důvěru, poskytovatelé DNS, registry TLD, výhradní poskytovatelé základních služeb a některé subjekty veřejné správy jsou zachyceni bez ohledu na velikost. Pětičlenný poskytovatel služeb vytvářejících důvěru eIDAS je v působnosti. Dvacetičlenný poskytovatel DNS je v působnosti. Test velikosti platí pouze pro základní případ; před tím, než napíšete 'mimo působnost', zkontrolujte seznam výjimek.
BSI / § 28 BSIG a nástroj použitelnosti
BSI zveřejňuje na svých webových stránkách nástroj 'Betroffenheitsprüfung', který provádí přílohou 1 a přílohou 2 BSIG. Subjekty se klasifikují samy a registrují se přes registrační portál BSI. § 28 BSIG rozděluje působnost na 'besonders wichtige' (zásadně významné, většinou příloha I) a 'wichtige' (významné, většinou příloha II) Einrichtungen, s odlišnými stropy pokut podle § 65 BSIG.
Nástroj sledování transpozice ENISA
ENISA, agentura EU pro kybernetickou bezpečnost, zveřejňuje nástroj sledování transpozice, který ukazuje, jak na tom každý členský stát je s vkládáním NIS 2 do vnitrostátního práva. K květnu 2026 bylo několik států předáno k SDEU za opožděnou transpozici. Samotná směrnice se použije od 18. října 2024 bez ohledu na to; vnitrostátní zákon jen přidává místní vymáhací mechanismus.
Vnitrostátní transpoziční zákony
Nizozemsko: Cyberbeveiligingswet (NCSC jako příslušný orgán). Rakousko: NISG (BMI). Francie: ordonnance n° 2024-1184 (ANSSI). Belgie: NIS2-Wet (CCB). Česko: zákon č. 264/2025 Sb. (NÚKIB). Test působnosti je totožný, protože příloha I a II jsou na úrovni EU. Co se liší: registrační portály, lhůty pro hlášení podle vnitrostátního procesního práva, se kterým úřadem komunikujete jako s prvním.
Máme pod 50 zaměstnanců, takže se na nás NIS 2 nevztahuje.
Ne nutně. Článek 2 odst. 2 vtahuje poskytovatele telekomunikací, služeb vytvářejících důvěru, DNS, registry TLD, výhradní poskytovatele základních služeb a některé subjekty veřejné správy bez ohledu na velikost. Čtyřčlenný poskytovatel služeb vytvářejících důvěru eIDAS je v působnosti. Než skončíte u prahu velikosti, projděte kontrolu výjimek.
Jsme veřejnoprávní orgán, takže jsme mimo.
Záleží. Článek 2 odst. 2 písm. i) pokrývá subjekty veřejné správy na ústřední a (pokud se tak členský stát rozhodne) regionální úrovni. Článek 2 odst. 5 až 2 odst. 11 vyjímá národní bezpečnost, obranu, vymáhání práva, soudnictví, parlamenty a centrální banky, ale většina ostatních subjektů veřejné správy je v působnosti. Německý § 28 BSIG a nástroj použitelnosti BSI ukazují místní řez.
Naše dceřiná společnost je malá, takže je mimo.
Sčítání propojených podniků podle doporučení 2003/361/ES přičítá počet zaměstnanců a obrat mateřského podniku k údajům dceřiné společnosti, pokud mateřský podnik ovládá více než 50 procent hlasů. Dceřiná společnost s 30 zaměstnanci v rámci skupiny s 5000 lidmi provádí test velikosti na kombinovaných údajích, nikoli na místních. Úplné pravidlo viz stránka o působnosti dceřiných společností a holdingů.
Úplný test podle článku 2 trvá asi deset minut, pokud jej spustíte v pořadí. Nejdříve sektor (jeden pohled na přílohu I a II). Pak velikost (vaše poslední roční údaje plus sčítání propojených podniků, pokud máte mateřský podnik). Pak výjimky (článek 2 odst. 2, 2 odst. 3, 2 odst. 4 a vynětí 2 odst. 5 až 2 odst. 11). Pak výsledek. Tři strany poznámek stačí.
Zapište to. Datujte to. Podepište to. Tento dokument je vaše Anwendbarkeitsprüfung. Vnitrostátní orgány očekávají, že budete schopni doložit, jak jste dospěli k závěru 'v působnosti' nebo 'mimo působnost', nejen samotný závěr. Pokud se údaje změní (fúze, nová obchodní linie, překročení prahové hodnoty), spusťte test znovu a předchozí verzi uschovejte. Auditní stopa rozhodnutí je stejně důležitá jako samotné rozhodnutí.
Kontrola použitelnosti na nisd2.eu prochází celý strom podle článku 2, v pořadí. Výběr sektoru z přílohy I a II. Velikost se sčítáním propojených podniků. Seznam výjimek z článku 2 odst. 2 a 2 odst. 3. Vynětí z článku 2 odst. 5 až 2 odst. 11. Výstupem je písemná Anwendbarkeitsprüfung s vaším sektorem, počtem zaměstnanců a údaji o obratu, stavem výjimek a klasifikací (besonders wichtig, wichtig, nebo mimo).
Kontrola je zdarma. Dokument získáte jako PDF a jako verzovaný záznam uvnitř platformy. Spusťte ji znovu, kdykoli se vaše údaje změní. Každá verze je opatřena časovým razítkem a podpisem uživatele, který ji spustil, takže auditní stopa je zabudovaná.
- Směrnice (EU) 2022/2555 (NIS 2), článek 2 a přílohy I a II. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Doporučení Komise 2003/361/ES, definice mikropodniků, malých a středních podniků. eur-lex.europa.eu/eli/reco/2003/361/oj
- Směrnice (EU) 2022/2557 (CER), odolnost kritických subjektů. eur-lex.europa.eu/eli/dir/2022/2557/oj
- Zákon o BSI (BSIG), § 28 ve znění NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung. bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Nástroj sledování transpozice NIS 2 od ENISA (k květnu 2026)