Kde NIS2 nařizuje školení v bezpečnostním povědomí?
Směrnice je v detailech stručná, ale ve věci školení nepřipouští výklad. Článek 20 odst. 2 směrnice NIS2 (směrnice (EU) 2022/2555) ukládá členským státům zajistit, aby členové řídicích orgánů základních a důležitých subjektů absolvovali školení v oblasti kybernetické bezpečnosti, a tlačí subjekty k tomu, aby obdobné školení pravidelně nabízely i zaměstnancům - tak, aby každý dokázal rozpoznat rizika a posoudit, jak postupy řízení rizik dopadají na poskytované služby. Toto je tzv. NIS2 management training requirement a stojí hned vedle čl. 20 odst. 1, podle kterého řídicí orgány bezpečnostní opatření schvalují, dohlížejí na ně a odpovídají za jejich porušení.
Článek 21 odst. 2 písm. g) pak mezi minimální opatření řízení rizik, která musí zavést každý subjekt v působnosti, řadí „základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti“. V českém i slovenském provedení se to objevuje jako kybernetická hygiena: disciplína u hesel, aktualizace, opatrné zacházení s e-maily a přílohami a školení, které tyto návyky udržuje při životě. Právě na čl. 21 odst. 2 písm. g) se odvolávají auditoři, když chtějí vidět vaše záznamy o školeních.
Za textem zákona je praktická logika. Zprávy ENISA Threat Landscape řadí phishing dlouhodobě mezi nejčastější způsoby, jak útočník získá první oporu uvnitř organizace - ve vydání pro rok 2025 stojí phishing a sociální inženýrství za zhruba 60 % případů prvotního průniku. Program, který zpevní systémy, ale lidi nechá nevyškolené, ignoruje nejvíc napadanou plochu.
Jak český zákon mění směrnici na konkrétní povinnosti
Směrnice určuje, co musí existovat; národní právo určuje, jak hluboko se to má jít a do kdy. Česko transponovalo NIS2 zákonem plus prováděcími vyhláškami - a konkrétní povinnosti ke školení nesou právě vyhlášky, nikoli samotný zákon. Rok 2026 je obdobím, kdy většině subjektů dobíhají lhůty na zavedení opatření.
Vyšší režim: vyhláška č. 409/2025 Sb. a plán rozvoje bezpečnostního povědomí
Detail povinností v náročnějším z obou režimů žije ve vyhlášce č. 409/2025 Sb. (režim vyšších povinností), účinné od 1. listopadu 2025. V rámci bezpečnosti lidských zdrojů vyžaduje doložitelný plán rozvoje bezpečnostního povědomí, který vymezuje formu, obsah a rozsah poučení a školení, pravidelná školení s ověřováním povědomí podle pracovních rolí, periodické hodnocení účinnosti plánu a určení odpovědných osob za jednotlivé činnosti. Příloha č. 6 k vyhlášce přitom žádá i praktické školení uživatelů - tedy ne pouhé proklikání e-learningu. Právě to je právní základ toho, co čeští manažeři hledají jako povinné školení kybernetické bezpečnosti. Ve vyšším režimu zákon navíc ukládá ustavit manažera kybernetické bezpečnosti, který za rozvoj povědomí typicky odpovídá.
Nižší režim a celkový rámec: nový zákon č. 264/2025 Sb. a vyhláška č. 410/2025 Sb.
Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.), účinný od 1. listopadu 2025, dělí regulované subjekty na režim vyšších a nižších povinností. Subjekty se musí do 60 dnů samy ohlásit přes Portál NÚKIB (pro „den nula“ do 31. prosince 2025) a od doručení rozhodnutí o registraci mají jeden rok na zavedení bezpečnostních opatření. Do začátku února 2026 se zaregistrovalo přes 4 800 organizací z odhadovaných zhruba 6 000 - takže více než tisíc opozdilců stále hledá, co je čeká. Většina českých lhůt na zavedení opatření včetně školení tím spadá do druhé poloviny roku 2026.
Vyhláška č. 410/2025 Sb. (nižší režim) požaduje politiku bezpečného chování uživatele, doložitelné poučení vrcholného vedení o jeho povinnostech, vstupní školení v kybernetické bezpečnosti, pravidelná opakovací školení, odborné školení pro administrátory a záznamy o provedených školeních se seznamy proškolených osob. Doporučená témata pro rozvoj povědomí najdete v příloze vyhlášky. Oběma vyhláškami i samotnou registrací vás provede Průvodce novým zákonem o kybernetické bezpečnosti a praktické manuály, které NÚKIB zveřejnil na jaře 2026.
Kdo musí být podle NIS2 proškolen?
Napříč směrnicí i českým rámcem se opakují čtyři skupiny. Školení není jeden kurz pro všechny - hloubka jde za rolí.
- Statutární orgány a vrcholné vedení. Článek 20 odst. 2 dělá ze školení vedení tvrdou povinnost. Vyhláška č. 410/2025 Sb. žádá doložitelné poučení vrcholného vedení o jeho zákonných povinnostech; ve vyšším režimu je navíc povinný manažer kybernetické bezpečnosti.
- Všichni zaměstnanci. Základ kybernetické hygieny: rozpoznat phishing, nahlásit podezřelou zprávu, správně zacházet s daty a přihlašovacími údaji. Jádrem osnovy je tu praktický přehled varovných signálů phishingu.
- Administrátoři a bezpečnostní role. České vyhlášky vyžadují odborné teoretické i praktické školení administrátorů. Privilegované účty přitahují cílené útoky, takže tato skupina potřebuje hlubší obsah s praktickým nácvikem.
- Třetí strany s přístupem. Bezpečnost dodavatelského řetězce podle čl. 21 odst. 2 písm. d) je vaše odpovědnost - dodavatelé s přístupem do systémů by měli být pokryti smluvně i vstupním školením při onboardingu.
Jak často a v jaké formě musí školení probíhat?
Ani směrnice, ani vyhlášky nestanoví jediný interval typu „jednou ročně“. Definují strukturu se třemi vrstvami:
- Vstupní školení před přístupem. Noví zaměstnanci i noví dodavatelé jsou školeni dřív, nebo ve chvíli, kdy dostávají účty - vstupní školení je ve vyhlášce č. 410/2025 Sb. výslovné a logika plánu rozvoje povědomí ve vyšším režimu je stejná.
- Pravidelná opakovací školení. „Pravidelné“ se v obou vyhláškách objevuje bez konkrétního čísla; frekvenci musí ospravedlnit vaše analýza rizik. Čtvrtletní dotyky porazí jeden roční maraton.
- Hodnocení účinnosti. Vyhláška č. 409/2025 Sb. žádá periodické hodnocení účinnosti plánu a ověřování povědomí; nižší režim vyžaduje doložitelné záznamy. Pokud neumíte ukázat, zda školení změnilo chování, máte jen program na papíře.
Forma rozhoduje stejně jako frekvence. E-learning s prezentacemi vyrobí certifikáty o dokončení, ne změnu chování. Ověřit povědomí v praxi znamená testovat lidi proti realistickým útokům - proto se phishingový test zaměstnanců stal standardním nástrojem měření účinnosti. Platformy jako PhishGun spojují simulované kampaně s lokalizovanými šablonami v češtině, slovenštině i angličtině a s okamžitým mikroškolením ve chvíli, kdy někdo klikne - test se tak sám stává učební situací a jeho metriky slouží jako doklad pro audit.
Jaké doklady očekává regulátor a auditor?
Dohled stojí především na dokumentaci. Kontrolor NÚKIB vás zřídka uvidí školit; čte to, co dokážete doložit. Stejné záznamy uspokojí i bod 7.3 normy ISO 27001, jak popisujeme v našem průvodci školením podle ISO 27001 - postavte důkazní stopu jednou a využijte ji vícekrát.
| Požadavek | Doklad, který regulátor očekává |
|---|---|
| Plán rozvoje bezpečnostního povědomí (409/2025) | Schválený a datovaný plán s formou, obsahem a rozsahem školení; historie revizí; určení odpovědných osob |
| Poučení vedení (čl. 20 odst. 2; 410/2025) | Program, datum, školitel, podepsaná prezenční listina členů řídicího orgánu |
| Vstupní školení před přístupem | Onboarding checklist dokládající školení dokončené před přidělením účtu |
| Pravidelná opakovací školení pro všechny | Záznam školení: témata, data, prezenční listiny, míra dokončení |
| Odborné školení administrátorů | Osnovy kurzů, certifikáty a data pro jednotlivé privilegované role |
| Hodnocení účinnosti | Výsledky testů, míra prokliku a nahlášení u phishingových simulací, trendy, záznamy o nápravě |
Vše držte v jednom úložišti, datované a na vyžádání exportovatelné. Roztroušené tabulky propadají u auditu skoro stejně spolehlivě jako chybějící záznamy.
Pokuty a osobní odpovědnost, když školení chybí
Školení patří mezi opatření podle čl. 21, takže jeho absence spadá do nejvyššího pásma pokut. Směrnice nastavuje minima: až 10 milionů eur nebo 2 % z celkového celosvětového ročního obratu pro základní subjekty a 7 milionů eur nebo 1,4 % pro důležité subjekty, podle toho, co je vyšší. Český zákon č. 264/2025 Sb. umožňuje uložit pokutu až 250 milionů Kč nebo 2 % z čistého celosvětového obratu v režimu vyšších povinností a až 175 milionů Kč nebo 1,4 % v režimu nižších povinností.
Co mění tón jednání představenstva, je osobní rozměr. Vrcholné vedení bezpečnostní opatření schvaluje, dohlíží na ně a nese za ně přímou osobní odpovědnost. A chybějící záznam o školení je nejsnazší mezera, kterou kontrolor najde - žádné technické testování nepotřebuje, stačí jediná otázka: ukažte mi, kdo byl proškolen, na co a kdy.
Roční kalendář školení a simulací podle NIS2
Obhajitelný program se počítá pozpátku od tabulky dokladů výše. Následující kalendář odpovídá českým požadavkům a předpokládá čtvrtletní rytmus - přizpůsobte ho své analýze rizik.
| Měsíc | Aktivita | Vzniklý doklad |
|---|---|---|
| 1 | Schválit nebo aktualizovat plán rozvoje povědomí; určit odpovědné osoby | Podepsaný plán s datem revize |
| 2 | Neohlášená výchozí phishingová simulace | Míra prokliku a nahlášení podle oddělení |
| 3 | Školení všech: kybernetická hygiena, signály phishingu, hlášení incidentů | Prezenční listiny, témata, data |
| 4 | Školení statutárního orgánu a vrcholného vedení | Záznam účasti vedení, program |
| 5 | Phishingová simulace č. 2 (nový scénář); mikroškolení pro ty, kdo klikli | Report simulace, log nápravy |
| 6 | Odborné školení administrátorů a privilegovaných uživatelů | Certifikáty, osnovy kurzů |
| 7 | Pololetní hodnocení účinnosti proti výchozímu stavu | Trendová zpráva, úpravy plánu |
| 8 | Opakovací e-learning a opětovné potvrzení politik | Míra dokončení, potvrzení |
| 9 | Simulace spear phishingu a BEC pro finance a vedení | Report cílené simulace |
| 10 | Audit školení třetích stran a nových nástupů | Onboarding záznamy, potvrzení dodavatelů |
| 11 | Phishingová simulace č. 4; náprava pro opakované klikače | Report simulace, záznamy o nápravě |
| 12 | Roční hodnocení; aktualizace plánu; archivace balíčku dokladů | Roční zpráva o účinnosti |
Další kroky, než dojdou lhůty
Pokud vám běží lhůta od registrace - a v Česku téměř jistě běží - začněte čtyřmi věcmi, které nejrychleji vyrobí doklady: přijměte plán rozvoje povědomí, naplánujte školení vedení, spusťte výchozí simulaci a založte úložiště dokladů. Operativní stránku krok za krokem rozebírá náš návod jak vytvořit phishingovou simulaci.
PhishGun, který staví slovenská ofenzivně-bezpečnostní firma Haxoris, je dělaný přesně pro tuto roli: realistické phishingové kampaně s lokalizovanými šablonami v češtině, slovenštině i angličtině, workflow pro nahlašování zaměstnanci a reporty připravené na audit, které předáte kontrolorovi NÚKIB jako doklad pro NIS2, ISO 27001 nebo DORA. První phishingová kampaň je zdarma - bez platební karty - a ceník je transparentní za zaměstnance.
Časté otázky
Splní roční e-learning požadavky NIS2 na školení?
Sám o sobě obvykle ne. NIS2 i české vyhlášky č. 409/2025 a 410/2025 Sb. očekávají vstupní školení před přístupem, pravidelná opakovací školení a hodnocení účinnosti. Jediný roční modul bez ověření nechává dvě ze tří vrstev prázdné. Auditoři se stále častěji ptají, jak jste změnu chování změřili - samotné certifikáty o dokončení na to neodpovídají.
Jsou phishingové simulace podle NIS2 povinné?
Ne výslovně názvem. Směrnice nikde neříká „phishingová simulace“. Vyhláška č. 409/2025 Sb. ale žádá ověřování bezpečnostního povědomí a hodnocení účinnosti školení a příloha č. 6 vyžaduje praktické školení uživatelů. Simulace jsou uznávaný praktický způsob, jak takový doklad vyrobit, a metodiky NÚKIB spojují testování založené na riziku s odolností vůči phishingu - fakticky se tedy očekávají.
Potřebují školení podle NIS2 i dodavatelé?
Pokud mají přístup do vašich systémů, v praxi ano. Bezpečnost dodavatelského řetězce podle čl. 21 odst. 2 písm. d) směrnice NIS2 je vaše odpovědnost. Povinnosti k povědomí zaneste do smluv, dodavatele s přístupem proškolte při onboardingu a veďte o tom záznamy úplně stejně jako u zaměstnanců.
Potřebuje vedení samostatné školení podle NIS2?
Ano. Článek 20 odst. 2 ukládá členům řídicích orgánů absolvovat školení, aby dokázali rozpoznat rizika a posoudit postupy řízení rizik - obecný e-learning pro zaměstnance to nepokryje. Vyhláška č. 410/2025 Sb. navíc vyžaduje doložitelné poučení vrcholného vedení o jeho zákonných povinnostech. Obhajitelným minimem je vyhrazené, zdokumentované školení vedení, pravidelně opakované.
Jaké lhůty pro školení podle NIS2 platí v roce 2026?
Subjekty se musí do 60 dnů od vzniku povinnosti ohlásit přes Portál NÚKIB a od doručení rozhodnutí o registraci mají jeden rok na zavedení bezpečnostních opatření včetně školení. Pro většinu subjektů, které se ohlásily do konce roku 2025, to znamená dokončit zavedení opatření v průběhu druhé poloviny roku 2026.