← Zpět na blog
10. května 2026|DCcost tým|7 min čtení

NIS2 a DORA: Kolik stojí compliance a jak to zakalkulovat do IT rozpočtu

Směrnice NIS2 vstoupila v účinnost v říjnu 2024 a její transpozice do české legislativy (nový zákon o kybernetické bezpečnosti) se přímo dotýká tisíců organizací. Regulace DORA (Digital Operational Resilience Act) pro finanční sektor platí od ledna 2025. Obě regulace mají společného jmenovatele: vyžadují prokazatelné investice do IT bezpečnosti a odolnosti -- a ty stojí reálné peníze.

Koho se NIS2 týká

NIS2 rozšiřuje okruh povinných subjektů oproti původní NIS směrnici. Nově zahrnuje: energetiku, dopravu, zdravotnictví, vodárenství, digitální infrastrukturu, ICT služby, veřejnou správu, výrobu, poštovní služby, odpadové hospodářství a potravinářství. V ČR se odhaduje 6 000+ dotčených organizací.

Klíčové: NIS2 rozlišuje essential (klíčové) a important (důležité) subjekty. Rozdíl je v míře dohledu a výši sankcí, ale bezpečnostní povinnosti jsou prakticky totožné.

DORA: speciální režim pro finanční sektor

DORA je sektorová regulace pro banky, pojišťovny, investiční firmy, platební instituce a jejich ICT dodavatele. Na rozdíl od NIS2 je DORA přímo použitelné nařízení (ne směrnice) -- platí okamžitě bez transpozice do národní legislativy.

DORA klade důraz na: ICT risk management, incident reporting (do 4 hodin od detekce), testování digitální odolnosti (TLPT penetrační testy), management třetích stran (ICT dodavatelé) a sdílení threat intelligence.

Typické náklady na NIS2 compliance

Malá a střední organizace (50-250 zaměstnanců)

Gap analýza a audit: 10 000-30 000 EUR. Implementace bezpečnostních opatření: 30 000-100 000 EUR. SIEM/SOC (managed): 15 000-40 000 EUR ročně. Penetrační testy: 5 000-15 000 EUR ročně. Školení zaměstnanců: 5 000-10 000 EUR ročně. Dokumentace a procesy: 10 000-25 000 EUR.

Celkem prvotní investice: 50 000-180 000 EUR. Roční provozní náklady: 25 000-65 000 EUR.

Velká organizace (250+ zaměstnanců)

Gap analýza a audit: 30 000-80 000 EUR. Implementace bezpečnostních opatření: 100 000-500 000 EUR. SOC (vlastní nebo managed): 50 000-200 000 EUR ročně. Penetrační testy a red teaming: 20 000-50 000 EUR ročně. Školení a awareness program: 15 000-40 000 EUR ročně. Business continuity a DR: 50 000-200 000 EUR.

Celkem prvotní investice: 200 000-830 000 EUR. Roční provozní náklady: 85 000-290 000 EUR.

Které kategorie IT rozpočtu jsou zasaženy

Bezpečnost -- nejvíce zasažená kategorie

Firewall next-gen (Palo Alto, Fortinet): 10 000-100 000 EUR. IDS/IPS systémy: 5 000-30 000 EUR. SIEM platforma (Splunk, Elastic, Microsoft Sentinel): 15 000-150 000 EUR ročně. EDR/XDR na endpointech: 20-50 EUR na endpoint ročně. Privileged Access Management (PAM): 10 000-50 000 EUR. MFA/SSO řešení: 5 000-20 000 EUR.

Zálohy a disaster recovery

NIS2 vyžaduje prokazatelnou schopnost obnovy. To znamená: immutable backup (Veeam + hardened repository, nebo tape): 20 000-100 000 EUR. DR site nebo DRaaS: 30 000-200 000 EUR. Pravidelné testování obnovy (minimum 2x ročně): 5 000-15 000 EUR za test. Air-gapped zálohy: dodatečná infrastruktura 10 000-50 000 EUR.

Monitoring a logging

NIS2 požaduje detekci incidentů a hlášení do 24 hodin. K tomu potřebujete: centrální log management s retencí 12+ měsíců, network monitoring (NetFlow, packet capture), vulnerability scanning (Qualys, Nessus, OpenVAS). Roční náklady: 10 000-80 000 EUR podle velikosti prostředí.

Lidské zdroje

Největší dlouhodobý náklad. CISO nebo security manager: 80 000-150 000 EUR ročně (v ČR). Security analyst (SOC): 50 000-80 000 EUR ročně. Alternativa managed SOC: 15 000-60 000 EUR ročně, ale bez interní expertízy. Školení a certifikace (CISSP, CISM): 3 000-5 000 EUR na osobu.

Sankce za nedodržení

NIS2 sankce pro essential subjekty: až 10 000 000 EUR nebo 2 % celosvětového obratu (podle toho, co je vyšší). Pro important subjekty: až 7 000 000 EUR nebo 1,4 % obratu. DORA: až 1 % průměrného denního obratu za každý den porušení. Nově platí i osobní odpovědnost managementu -- statutární orgán může být osobně zodpovědný.

Pro kontext: průměrná pokuta za GDPR porušení v ČR je kolem 100 000 EUR. NIS2 pokuty budou pravděpodobně vyšší, protože jde o kritickou infrastrukturu a bezpečnost.

Jak vytvořit auditovatelný nákladový přehled

Regulátor bude chtít vidět, že organizace investuje do bezpečnosti přiměřeně svému rizikovému profilu. Potřebujete: (1) inventář všech bezpečnostních opatření s náklady, (2) mapování na požadavky NIS2/DORA, (3) plán investic na 3 roky, (4) pravidelný přehled plnění.

Typická chyba: firmy investují do technologie, ale zapomínají na dokumentaci a procesy. Regulátor nezkoumá, jestli máte nejnovější firewall -- zkoumá, jestli máte zdokumentovaný risk management proces a prokazatelně ho dodržujete.

Praktický plán implementace

Fáze 1 (měsíce 1-3): Gap analýza -- identifikace mezer mezi současným stavem a požadavky NIS2/DORA. Výstup: prioritizovaný seznam opatření s odhadovanými náklady.

Fáze 2 (měsíce 3-6): Quick wins -- MFA na všechny přístupy, patch management proces, základní SIEM/logging, školení zaměstnanců. Typické náklady: 20 000-50 000 EUR.

Fáze 3 (měsíce 6-12): Hlavní implementace -- SOC/managed SOC, DR řešení, penetrační testy, formalizace procesů a dokumentace. Typické náklady: 50 000-200 000 EUR.

Fáze 4 (průběžně): Provoz a kontinuální zlepšování -- pravidelné audity, testování obnovy, aktualizace dokumentace, threat intelligence. Roční náklady: 25 000-100 000 EUR.

Jak DCcost pomáhá s plánováním compliance

V DCcost kalkulačce pokrývá compliance hned několik kategorií: Security (firewally, SIEM, EDR, penetrační testy), Backup (DR site, immutable backup, testování obnovy), Software (monitoring, vulnerability scanning, PAM) a Lidé (CISO, security analyst, školení). Přepněte relevantní položky do režimu Detail a zadejte reálné náklady.

DCcost PDF report pak slouží jako podklad pro vedení i auditory -- ukazuje celkové náklady na IT infrastrukturu včetně bezpečnostních investic v kontextu celého rozpočtu. Není to compliance dokumentace, ale je to výchozí bod pro investiční plán.

Zdroje: EUR-Lex NIS2 Directive 2022/2555, EUR-Lex DORA Regulation 2022/2554, ENISA NIS2 implementation guidance, NUKIB.cz (Národní úřad pro kybernetickou a informační bezpečnost), Deloitte NIS2 compliance cost survey 2025

Vyzkoušejte DCcost kalkulačku zdarma

Zadejte IT rozpočet a za 60 sekund uvidíte kompletní rozpad nákladů

Spustit kalkulačku
Sdílet:
NIS2 nákladyDORA compliance ITNIS2 požadavky infrastrukturakybernetická bezpečnost rozpočet

Používáme cookies pro analýzu návštěvnosti (Google Analytics). Žádná osobní data neshromažďujeme.