Autoři
Kontakt
UK flag Czech flag
Dekorativní pozadí stránky
Blog Další obory Dopad směrnice NIS 2 na automotive sektor

Dopad směrnice NIS 2 na automotive sektor

Dopad směrnice NIS 2 na automotive sektor
Lukáš JakoubekAdam KližanMiriama PodskubováIgor Grejták
Lukáš Jakoubek, Adam Kližan, Miriama Podskubová, Igor Grejták

Jak ukazují události letošního roku, rostoucí hrozby v oblasti kybernetické bezpečnosti mají přímý vliv i na automobilový sektor, který se stále častěji stává terčem kybernetických útoků. V zásadě platí, že čím více je vozidlo založeno na využívání dat nebo elektronických procesech, tím vyšší je riziko potenciálních kybernetických útoků. Na našem blogu jsme vás již upozornili na nové povinnosti a rozšíření okruhu subjektů regulace v oblasti kybernetické bezpečnosti, ke kterému dochází na základě směrnice NIS 2. V tomto článku se budeme podrobněji zabývat dopady v automobilovém sektoru.

Subjekty v automobilovém sektoru

Obecně se směrnice NIS 2 vztahuje na každý subjekt, který splňuje současně dvě podmínky – musí vykonávat činnost v regulovaném odvětví (tj. v odvětví uvedeném v příloze I nebo II směrnice NIS 2) a zároveň se jedná o střední nebo velký podnik ve smyslu doporučení Komise 2003/361/ES (tj. podnik, který zaměstnává 50 a více zaměstnanců a jehož roční obrat nebo roční rozvaha přesahuje 10 milionů EUR nebo 250 milionů Kč). Platí však, že výše uvedené podmínky nelze striktně generalizovat a aplikovat plošně na všechny případy. Splnění objemových kritérií je třeba podrobit analýze např. z hlediska holdingových struktur organizace. Pozornost je přitom třeba věnovat okolnostem, kdy podnik může spadat do působnosti směrnice NIS 2, aniž by bylo nutné přihlížet k jeho velikosti. Tyto specifické případy však prozatím nejsou předmětem našeho výkladu.

V automobilovém sektoru spadají do regulovaných odvětví ve smyslu směrnice NIS 2 následující oblasti:

  1. provozovatelé inteligentních dopravních systémů;
  2. výroba motorových vozidel, návěsů a přívěsů;
  3. výroba elektrických zařízení; a
  4. výroba počítačů, elektronických a optických přístrojů a zařízení.

Pokud tedy společnost splňuje výše uvedená kritéria, měla by tématu kybernetické bezpečnosti rozhodně věnovat zvýšenou pozornost.

Vybrané povinnosti regulovaných subjektů podle české transpozice směrnice NIS 2

Směrnice NIS 2 byla do českého právního řádu transponována prostřednictvím nového zákona o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025.

Nový zákon společně s prováděcími právními předpisy významně rozšiřuje okruh subjektů, na které se regulace v oblasti kybernetické bezpečnosti vztahuje. Oproti dosavadní právní úpravě se jedná o zásadní rozšíření působnosti, kdy podle odhadů se nové povinnosti týkají až šesti tisíc subjektů

Zákon pojmově sjednocuje dosavadní úpravu několika typů povinných osob do jedné kategorie – poskytovatel regulované služby. Má-li být společnost považována za poskytovatele regulované služby, musí splňovat kritéria stanovená ve vyhlášce o regulovaných službách, která vycházejí téměř výhradně z obsahu směrnice NIS 2. Posuzování těchto kritérií je nově založeno na tzv. principu sebehodnocení, kdy jsou dotčené společnosti a organizace povinny samy posoudit, zda spadají do některé z kategorií regulovaných subjektů, na které se nově vztahují povinnosti v oblasti řízení kybernetické bezpečnosti. 

V rámci automobilového průmyslu rozlišuje příloha vyhlášky o regulovaných službách v části 7. jako poskytovatele regulovaných služeb společnosti působící ve dvou hlavních oblastech činnosti, a to konkrétně (i) výroba motorových vozidel (kromě motocyklů ) a (ii) výroba ostatních dopravních prostředků a zařízení. Sériová výroba motorových vozidel je klasifikována jako regulovaná služba bez ohledu na velikost podniku, a to v režimu vyšších povinností. Ostatní výrobci motorových vozidel a dopravních prostředků jsou zařazeni do režimu nižších povinností, pokud dosahují velikosti alespoň středního podniku. Hlavním rozdílem v uložených povinnostech je především dodatečná povinnost výrobců automobilů v sériové výrobě zajistit bezpečnost i v rámci dodavatelského řetězce.

Každý výrobce motorových vozidel, na kterého se vztahují povinnosti v oblasti kybernetické bezpečnosti, bude nově muset plnit tyto povinnosti:

  • určit, zda spadá do režimu vyšších nebo nižších povinností;
  • nejpozději do 60 dnů od nabytí účinnosti zákona (tj. do 31. prosince 2025) se zaregistrovat prostřednictvím portálu NÚKIB;
  • poskytovatelé regulovaných služeb mají od doručení rozhodnutí o registraci jeden rok na zavedení požadovaných opatření v oblasti kybernetické bezpečnosti podle určeného režimu povinností a na zahájení hlášení bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost; a
  • provádět protiopatření atd.

Povaha a rozsah sankcí a odpovědnost řídících orgánů povinných subjektů jsou na českém trhu prakticky totožné jako na Slovensku (pouze v Kč – podrobněji viz níže).

Transpozice směrnice NIS 2 na Slovensku

Na Slovensku se podařilo směrnici NIS 2 transponovat dříve než v České republice a od 1. 1. 2025 tak nabyla účinnosti novela zákona o kybernetické bezpečnosti. Novelou došlo k (i) podstatnému rozšíření okruhu povinných subjektů (včetně vybraných subjektů z automobilového průmyslu) a (ii) zpřísnění sankcí za případné porušení povinností (maximální výše pokut pro vybrané subjekty je stanovena na 10 milionů eur nebo 2 % celkového celosvětového ročního obratu); novela výslovně zavádí odpovědnost řídících orgánů povinných subjektů, které budou odpovídat za přijatá opatření a budou nad těmito opatřeními také vykonávat dohled.

První lhůta, a to 60 dnů od nabytí účinnosti novely zákona pro oznámení výkonu některé z činností spadajících pod novou právní úpravu, již uplynula. Doporučujeme proto nepromeškat další lhůty, neboť s prodlužováním prodlení s plněním povinností se pro povinné subjekty může zvyšovat riziko vzniku i výše sankce.

Kromě novely zákona již byly přijaty i prováděcí předpisy, které dále upřesňují rozsah povinných bezpečnostních opatření a podrobnosti ohledně hlášení kybernetických bezpečnostních incidentů.

Několik slov závěrem

Oblast kybernetické bezpečnosti je jednou z hlavních specializací technologického týmu HAVEL & PARTNERS. V případě zájmu vám společně s našimi odbornými poradci pro oblast řízení kybernetické bezpečnosti, rádi pomůžeme nejen s procesem sebehodnocení, ale i s analýzou rizik a doporučeními pro nastavení kybernetické bezpečnosti ve vaší společnosti (včetně pomoci s povinnými registracemi, poradenstvím v oblasti přeshraničních projektů kybernetické bezpečnosti v rámci skupiny nebo poskytováním školení pro zaměstnance a management).

Zdroje článku

Související články
Restart podpory biometanu již od 1. ledna 2026
Robert Porubský, Ivo Skolil

Restart podpory biometanu již od 1. ledna 2026

Český trh s biometanem se od ledna 2026 významně promění. Dosavadní, v praxi ne příliš využívaný systém „zelených“ bonusů, které byly stanovovány administrativně, nahradí aukční systém. Tzv. aukční bonus bude stanoven v korunách za megawatthodinu spalného tepla. Tato změna představuje významnou příl