Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
Multi-regulace9 min24. května 2026

Tři předpisy, jedna firma: jak zvládnout NIS2, GDPR a EU AI Act najednou

Přišel bezpečnostní dotazník od potenciálního enterprise zákazníka.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

O čem každý předpis je — v jedné minutěKoho se týkají všechny tři najednou?Kde se předpisy překrývají: mapa průnikůCo je naopak specifické pro každý předpis — a nelze sloučitPraktický postup: kde začít, když musíte řešit všechny třiNejčastější chyby, které firmy dělajíTL;DR

O čem každý předpis je — v jedné minutě

Než se pustíme do průniků, rychlé shrnutí toho, co každý předpis řeší:

nZKB (Nový zákon o kybernetické bezpečnosti, zákon č. 264/2025 Sb.) — česká implementace NIS2

Zákon chráí sítě, informační systémy a digitální infrastrukturu. Zaměřuje se na firmy, které poskytují tzv. regulované služby — tedy služby, jejichž výpadek nebo narušení by mělo závažný dopad na ekonomiku, společnost nebo veřejnou správu. Patří sem poskytovatelé cloudových služeb, správci sítí, MSP, ale i subjekty z energetiky, zdravotnictví nebo dopravy.

Zákon ukládá registraci u NÚKIB, zavedení bezpečnostních opatření a hlášení kybernetických incidentů. Sankcí může být pokuta až 250 milionů Kč nebo 2 % celosvětového ročního obratu.

GDPR (Obecné nařízení o ochraně osobních údajů, nařízení EU 2016/679)

GDPR chrání osobní data fyzických osob — zákazníků, zaměstnanců, uživatelů. Platí pro každou firmu, která zpracovává osobní data osob v EU, bez ohledu na velikost nebo sídlo. Vyžaduje právní základ pro každé zpracování, transparentnost vůči subjektům údajů, zavedení technických a organizačních opatření a hlášení bezpečnostních incidentů na dozorový úřad (v ČR je to ÚOOÚ) do 72 hodin. Sankce dosahují až 20 milionů EUR nebo 4 % celosvětového obratu.

EU AI Act (Nařízení EU 2024/1689)

EU AI Act reguluje vývoj, uvádění na trh a používání systémů umělé inteligence. Platí pro firmy, které AI systémy vyvíjejí (tzv. poskytovatelé), i pro ty, které je ve svém provozu nebo službách používají (nasazovatelé). Přísnost povinností závisí na míře rizika, které AI systém představuje. Sankcí může být pokuta až 35 milionů EUR nebo 7 % celosvětového obratu.

Koho se týkají všechny tři najednou?

Pokud splňujete alespoň jeden bod z každé skupiny níže, s vysokou pravděpodobností padáte pod všechny tři regulace:

**nZKB:**

**GDPR:**

**EU AI Act:**

Pokud jste zaškrtli alespoň jeden bod v každé skupině — čtete správný článek.

  • Poskytujete cloudové služby, datová centra, spravované IT služby (MSP)
  • Provozujete digitální platformu nebo SaaS pro větší počet zákazníků
  • Spravujete kritické IT systémy pro zákazníky v regulovaných sektorech
  • Zpracováváte e-mailové adresy, jména, IP adresy nebo jakákoli jiná osobní data
  • Provozujete zákaznický účet, newsletter nebo analytiku webu
  • Vedete databázi zaměstnanců
  • Používáte nástroje jako GitHub Copilot, ChatGPT, AI zákaznickou podporu nebo AI HR systém
  • Váš produkt obsahuje funkce strojového učení, doporučovacích algoritmů nebo prediktivní analytiky
  • Automatizujete rozhodnutí, která se týkají lidí (nábor, hodnocení, úvěry, cenová segmentace)

Kde se předpisy překrývají: mapa průniků

Největší efektivita v compliance přichází z toho, že poznáte, kde předpisy sdílejí společné požadavky. Pak je řešíte jednou — ne třikrát.

1. Řízení rizik

Všechny tři předpisy vyžadují, abyste rizika systematicky identifikovali, hodnotili a řídili. Liší se jen „čočka", přes kterou na rizika nahlížíte:

**Řešení:** Veďte jeden registr rizik s více sloupci. Ke každému identifikovanému riziku přiřaďte, který předpis se ho týká a jaká opatření ho snižují. Nedělejte tři oddělené analýzy — to je zdroj chyb a plýtvání časem.

  • **GDPR:** Riziko pro práva a svobody fyzických osob (únik dat, neoprávněný přístup k osobním datům)
  • **nZKB:** Riziko pro dostupnost, důvěrnost a integritu sítí a systémů (kybernetický útok, výpadek)
  • **EU AI Act:** Riziko spojené s chováním AI systému (diskriminace, chybné rozhodnutí, bezpečnostní zranitelnost)

2. Dokumentace a interní politiky

Každý předpis vyžaduje určitou formu dokumentace, která dokazuje, že víte, co děláte:

**Řešení:** Vytvořte jedno sdílené úložiště interních předpisů. Bezpečnostní politika (nZKB) a politika ochrany osobních údajů (GDPR) jsou sice oddělené dokumenty, ale sdílejí společné sekce — definice, rozsah, odpovědnosti, přezkoumání. Použijte šablony, které tyto průniky reflektují.

  • **GDPR:** Záznamy o zpracovatelských činnostech (ROPA), smlouvy se zpracovateli (DPA), záznamy o incidentech
  • **nZKB:** Bezpečnostní politiky, přehled aktiv, dokumentace rozsahu řízení kyberbezpečnosti
  • **EU AI Act:** Technická dokumentace AI systémů, záznamy o použití u nasazovatelů systémů vysokého rizika

3. Hlášení incidentů — tři hodiny, jeden incident

Toto je oblast, kde nepozornost může mít nejrychlejší a nejbolestnější důsledky:

Skutečný kybernetický útok, při němž dojde k úniku zákaznických dat zpracovávaných AI systémem, může spustit všechny tři oznamovací povinnosti najednou — s různými lhůtami a různými příjemci. Bez předem připraveného plánu je prakticky nemožné zvládnout to v čase.

**Řešení:** Napište jeden incident response plán, který výslovně adresuje všechny tři předpisy. Pro každý typ incidentu definujte: kdo rozhoduje, kdo hlásí, komu, v jaké lhůtě a co se sděluje zákazníkům. Viz také článek o tabletop cvičeních na tomto blogu.

  • Předpis: GDPR | Co hlásit: Porušení zabezpečení osobních dat | Komu: ÚOOÚ | Do kdy: 72 hodin od zjištění
  • Předpis: nZKB | Co hlásit: Kybernetický bezpečnostní incident | Komu: NÚKIB (vyšší režim) nebo Národní CERT (nižší režim) | Do kdy: 24 hodin od zjištění
  • Předpis: EU AI Act | Co hlásit: Závažný incident nebo závažné selhání systému (pro poskytovatele systémů vysokého rizika) | Komu: Národní tržební dozorový orgán | Do kdy: Bez zbytečného odkladu

4. Správa dodavatelů

Ani jeden z předpisů vás neomlouvá, pokud za problém může váš dodavatel:

**Řešení:** Veďte jeden vendor seznam s více sloupci. Pro každého dodavatele označte: zda zpracovává osobní data (GDPR → DPA), zda je bezpečnostně významný (nZKB → hodnocení), zda poskytuje AI funkce (EU AI Act → riziková klasifikace).

  • **GDPR:** Musíte mít uzavřenou DPA (smlouvu o zpracování osobních údajů) s každým subjektem, který zpracovává osobní data vaším jménem.
  • **nZKB:** Bezpečnostně významní dodavatelé musejí být hodnoceni z pohledu kybernetické bezpečnosti.
  • **EU AI Act:** Pokud používáte AI systém třetí strany, musíte mít k dispozici jeho technickou dokumentaci a vědět, do jaké rizikové kategorie spadá.

5. Školení zaměstnanců

Všechny tři předpisy předpokládají, že zaměstnanci vědí, jak se chovat bezpečně a v souladu s pravidly:

**Řešení:** Jedno roční školení pokrývající všechny tři oblasti je lepší než tři oddělené akce. Záznamy o školení jsou důkaz pro všechny tři regulace.

  • GDPR vyžaduje školení o ochraně osobních dat
  • nZKB vyžaduje bezpečnostní školení jako součást politiky bezpečnosti lidských zdrojů
  • EU AI Act vyžaduje, aby nasazovatelé systémů vysokého rizika zajistili odpovídající AI gramotnost obsluhy

Co je naopak specifické pro každý předpis — a nelze sloučit

Přes všechny průniky mají předpisy i oblasti, které nelze jednoduše sdílet:

**GDPR specifika:**

**nZKB specifika:**

**EU AI Act specifika:**

  • Právní základ pro každé zpracování (souhlas, plnění smlouvy, oprávněný zájem…)
  • Posouzení vlivu na ochranu osobních údajů (DPIA) před spuštěním rizikového zpracování
  • Práva subjektů údajů: přístup, výmaz, přenositelnost, námitka
  • Jmenování DPO (pokud jde o rozsáhlé zpracování citlivých dat nebo veřejný orgán)
  • Registrace regulované služby u NÚKIB přes Portál NÚKIB
  • Stanovení rozsahu řízení kyberbezpečnosti
  • Konkrétní technická a organizační opatření dle vyhlášky (podle režimu)
  • Hlášení incidentů specifickým způsobem a ve formátu NÚKIB
  • Riziková klasifikace každého AI systému
  • Pro systémy vysokého rizika: registrace v EU databázi (pro poskytovatele)
  • Posouzení dopadů na základní práva (FRIA) pro nasazovatele v určitých oblastech
  • Transparentnost vůči uživatelům (označení, že komunikují s AI)

Praktický postup: kde začít, když musíte řešit všechny tři

Krok 1: Inventura — jeden dokument, tři sekce

Než začnete cokoli řešit, potřebujete vědět, co máte. Proveďte inventuru:

**Sekce A — Data (GDPR):** Jaká osobní data zpracováváte? Kde jsou uložena? Kdo k nim má přístup? Kdo jsou vaši zpracovatelé?

**Sekce B — Systémy a sítě (nZKB):** Jaké IT systémy a sítě provozujete nebo spravujete? Které z nich jsou součástí regulované služby? Kteří dodavatelé mají přístup?

**Sekce C — AI nástroje (EU AI Act):** Jaké AI nástroje nebo funkce vaše firma používá nebo nabízí? Do jaké rizikové kategorie spadají? Ovlivňují rozhodnutí o lidech?

Krok 2: Registr rizik — jeden, průřezový

Ke každému riziku v registru přiřaďte relevantní regulaci (GDPR / nZKB / EU AI Act nebo jejich kombinaci). Opatření ke snížení rizika pak navrhujte s ohledem na všechny dotčené předpisy — ne izolovaně.

Krok 3: Prioritizujte podle termínů a sankcí

Pokud máte od NÚKIB rozhodnutí o registraci, máte zákonné lhůty (30 dní na kontaktní údaje, 12 měsíců na opatření). Ty jsou závaznější než obecné GDPR nebo AI Act povinnosti bez konkrétního deadline. Začněte tedy nZKB — a průběžně integrujte GDPR a AI Act.

Krok 4: Sdílená dokumentační páteř

Vytvořte sadu základních dokumentů, které slouží pro více předpisů:

  • Dokument: Registr aktiv (data, systémy, AI nástroje) | Slouží pro: GDPR + nZKB + EU AI Act
  • Dokument: Registr rizik | Slouží pro: GDPR + nZKB + EU AI Act
  • Dokument: Vendor seznam s kategorizací | Slouží pro: GDPR + nZKB + EU AI Act
  • Dokument: Incident response plán | Slouží pro: GDPR + nZKB + EU AI Act
  • Dokument: Politika školení zaměstnanců | Slouží pro: GDPR + nZKB + EU AI Act
  • Dokument: ROPA | Slouží pro: GDPR
  • Dokument: Bezpečnostní politiky | Slouží pro: nZKB
  • Dokument: AI systémová dokumentace | Slouží pro: EU AI Act

Krok 5: Jeden přezkum ročně — nebo po každé změně

Každá změna ve firmě — nový dodavatel, nový AI nástroj, nová funkce produktu, nový typ zákazníka — může mít dopad na soulad se všemi třemi předpisy. Nastavte interní proces: před každou větší změnou se ptejte, zda ovlivňuje GDPR, nZKB nebo AI Act soulad.

Nejčastější chyby, které firmy dělají

**„Řešíme to postupně — letos GDPR, příští rok NIS2."** Rizikové. Lhůty nZKB jsou zákonné a konkrétní. GDPR sankce se ukládají průběžně. Integrace je efektivnější než sekvenční přístup.

**„AI Act se nás netýká — my AI nevyvíjíme."** Zákon se stejnou silou vztahuje na nasazovatele (uživatele) AI systémů, nejen na jejich vývojáře. Pokud používáte AI HR nástroj pro hodnocení zaměstnanců, jste nasazovatelem systému, který pravděpodobně spadá do vysokého rizika.

**„Máme GDPR vyřešené od roku 2018."** Technické prostředí, dodavatelé a produktové funkce se za 6+ let zásadně změnily. GDPR soulad není stav, ale průběžný proces. ROPA z roku 2019 neodpovídá realitě roku 2026.

**„Každé oddělení si řeší svůj předpis samo."** Když IT tým řeší nZKB, právní oddělení GDPR a produktový tým AI Act bez koordinace, vznikají mezery, duplicity a konflikty. Compliance potřebuje vlastníka, který koordinuje průřezové oblasti.

TL;DR

  • nZKB, GDPR a EU AI Act se vztahují na velkou část českých MSP a SaaS firem — najednou, ne postupně.
  • Čtyři klíčové průřezy lze řešit společně: řízení rizik, dokumentace, hlášení incidentů a správa dodavatelů.
  • Jeden incident může spustit povinnosti ze všech tří předpisů zároveň — mějte připravený jednotný incident response plán.
  • Začněte inventurou: data, systémy, AI nástroje. Pak jeden registr rizik, jedna dokumentační páteř.
  • Compliance není cíl, je to průběžný stav. Přezkum po každé větší změně ve firmě je nutností, ne volbou.

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||