NIS2 en República Checa

Guía de implementación y cumplimiento de NIS2 en República Checa.

Este documento presenta información vigente a abril de 2026. Aunque se han adoptado todas las medidas razonables para verificar la exactitud del contenido, la información se proporciona sin garantía de integridad o exactitud y puede estar sujeta a cambios. Aunque prevemos realizar actualizaciones periódicas de este contenido, se aconseja a los lectores verificar de forma independiente la información crítica.

La República Checa está implementando el marco reforzado de ciberseguridad de la UE en virtud de la Directiva NIS2 mediante actualizaciones integrales de su legislación nacional de ciberseguridad. El régimen revisado amplía la cobertura sectorial, la responsabilidad de gobierno corporativo, las obligaciones de notificación y las facultades de ejecución y sanción. Esta guía ofrece una visión estructurada de los requisitos de cumplimiento de NIS2 en la República Checa para pymes que operan en sectores regulados.

1. Panorama rápido de aplicabilidad para pymes en la República Checa

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de aplicabilidad para pymes en la República Checa?

Sí — dependiendo del sector y del tamaño.

Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
Se aplica a entidades establecidas en la República Checa y, en determinados casos, a proveedores digitales extranjeros que prestan servicios al mercado checo.

Las pymes deben evaluar su calificación en el régimen nacional de ciberseguridad en función de la clasificación sectorial y de los umbrales legales.

2. Visión general de la implementación de NIS2 en la República Checa

La República Checa ha traspuesto la Directive mediante la Ley n.º 264/2025 Rec. sobre Ciberseguridad, adoptada el 11 de junio de 2025, publicada el 4 de agosto de 2025 y en vigor desde el 1 de noviembre de 2025. La Ley reemplaza por completo el marco anterior y se acompaña de siete decretos de aplicación y dos reglamentos gubernamentales; algunos actos de desarrollo siguen pendientes.

La nueva ley alinea el régimen checo de ciberseguridad con Directive (EU) 2022/2555 y reestructura el modelo de supervisión, las obligaciones de gestión de riesgos y los mecanismos sancionadores bajo la National Cyber and Information Security Agency (NÚKIB).

El régimen checo introduce tres desviaciones notables respecto del nivel de base de la Directive: las entidades esenciales deben notificar todos los incidentes de origen cibernético (no solo los significativos), NÚKIB tiene autoridad para restringir o prohibir proveedores y productos específicos de la cadena de suministro en entidades estratégicamente importantes, y las entidades deben autoidentificarse y registrarse a través de un portal específico de NÚKIB en un plazo de 60 días tras cumplir las condiciones legales.

3. Ámbito de aplicación en la República Checa

Entidades esenciales

Entidades que operan en sectores altamente críticos:

Entidades importantes

Entidades que operan en otros sectores enumerados:

El ámbito checo refleja las categorías sectoriales mínimas de la Directiva sin una expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a pymes en la República Checa

Se aplican los umbrales básicos:

≥50 empleados y
≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas cuando se consideren críticas para la estabilidad económica, la seguridad pública o la continuidad de los servicios esenciales.

Las autoridades checas conservan facultades de designación cuando esté justificado por riesgo sistémico o consideraciones de seguridad nacional.

5. Marco de clasificación de entidades en la República Checa

Las entidades se clasifican como:

Entidades esenciales — Sujetas a supervisión proactiva, incluidas auditorías y monitorización estructurada del cumplimiento.
Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones en materia de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades competentes pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión más estricta.

La estructura de clasificación checa refleja el modelo de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión del riesgo de ciberseguridad en la República Checa

El régimen checo se alinea con la base establecida por la Directiva para la gestión del riesgo de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implantar medidas técnicas y organizativas proporcionadas que aborden:

Análisis de riesgos y seguridad de sistemas
Prevención y respuesta a incidentes
Continuidad de negocio y gestión de crisis
Controles de riesgo de la cadena de suministro NIS2 en la República Checa
Adquisición y desarrollo seguros de sistemas
Control de acceso y gestión de identidades
Cifrado y salvaguardias criptográficas
Procedimientos de gestión de vulnerabilidades
Formación en ciberseguridad del personal

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. El régimen checo exige un Sistema de Gestión de Seguridad de la Información (SGSI) formal con un plan de tratamiento de riesgos documentado; se espera la alineación con ISO/IEC 27001 y con la orientación nacional de NÚKIB.

La gestión del riesgo en la cadena de suministro va más allá de la Directive: NÚKIB tiene autoridad para restringir o prohibir proveedores o productos específicos en las cadenas de suministro de entidades estratégicamente importantes, lo que puede afectar a contratos con proveedores tecnológicos no pertenecientes a la UE.

7. Responsabilidad de la dirección y gobierno corporativo en la República Checa

Los órganos de dirección deben aprobar formalmente las medidas de gestión del riesgo de ciberseguridad y supervisar su implantación.

En el marco checo:

Los consejos de administración son responsables de la supervisión del cumplimiento.
La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
Las sanciones administrativas pueden aplicarse ante fallos de gobernanza.
La suspensión temporal de funciones directivas puede contemplarse en los mecanismos de ejecución alineados con la Directiva.

Los estándares de responsabilidad de la dirección NIS2 en la República Checa elevan la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en la República Checa

Definición de un incidente significativo

An incident qualifies if it causes:

Interrupción operativa grave
Pérdidas financieras significativas
Impacto social sustancial
Efectos transfronterizos

Cronograma de notificación

Fase de notificación	Plazo	Autoridad
Initial Incident Report	24 hours from detection	NÚKIB (essential entities); national CSIRT (important entities)
Informe final	1 mes	NÚKIB (essential entities); national CSIRT (important entities)

El régimen checo se aparta del nivel de base de la Directive: las entidades esenciales deben notificar a NÚKIB todos los incidentes de origen cibernético, con independencia de que alcancen el umbral de significatividad. Dicho umbral se aplica únicamente a las entidades importantes, que notifican incidentes significativos al CSIRT nacional. Las autoridades sectoriales pueden coordinarse con NÚKIB cuando proceda.

9. Autoridades supervisoras y modelo de ejecución en la República Checa

Autoridad principal: National Cyber and Information Security Agency (NÚKIB), que opera un portal específico para el registro de entidades, las notificaciones de incidentes y las interacciones de supervisión.

La República Checa opera un modelo de supervisión centralizado bajo NÚKIB, con apoyo de los reguladores sectoriales cuando sea necesario.

Supervisory powers include:

Requerimientos de información
Auditorías de seguridad
Inspecciones in situ
Instrucciones de cumplimiento vinculantes
Participación en la coordinación de ciberseguridad de la UE

Más allá del nivel de base de la Directive, NÚKIB tiene la facultad de prohibir temporalmente a los representantes de la dirección de las entidades esenciales el ejercicio de sus funciones durante un mínimo de seis meses, y hasta que se restablezca el cumplimiento — una sanción más prescriptiva que las disposiciones generales de suspensión previstas por la Directive.

10. Multas y sanciones NIS2 en la República Checa

La República Checa aplica sanciones administrativas alineadas con la Directive.

Entidades esenciales

Hasta €10 million o 2% del volumen de negocios anual mundial total (lo que sea mayor)

Entidades importantes

Hasta €7 million o 1.4% del volumen de negocios anual mundial total (lo que sea mayor)

La ejecución de las multas NIS2 en la República Checa también puede incluir:

Órdenes de subsanación vinculantes
Identificación pública de entidades incumplidoras
Suspensión de autorizaciones o certificaciones
Facultades para suspender a la dirección

11. Cadena de suministro y seguridad de proveedores NIS2 en la República Checa

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

Evaluaciones de riesgos de proveedores
Requisitos contractuales de traslación de obligaciones de seguridad
Supervisión continua de proveedores TIC
Análisis de riesgo de concentración
Mitigación de la propagación de incidentes

El marco checo se alinea con las expectativas básicas de la Directive para la gestión de riesgos de terceros.

12. Registro y deberes de autoidentificación en la República Checa

Entities within scope must:

Autoidentificación y registro a través del portal NÚKIB en un plazo de 60 días tras cumplir las condiciones legales; las entidades ya en el ámbito el 1 de noviembre de 2025 tuvieron como plazo de registro el 31 de diciembre de 2025
Aportación de datos de identificación corporativa
Comunicación de la clasificación sectorial
Mantenimiento de información de contacto actualizada

Tras la recepción de la decisión de registro de NÚKIB, las entidades disponen de 30 días para aportar datos adicionales de contacto, propiedad, técnicos y geográficos, seguidos de un periodo transitorio de 12 meses para alcanzar el cumplimiento pleno en materia de seguridad y notificación.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con GDPR y otras leyes en la República Checa

El General Data Protection Regulation continúa aplicándose de forma concurrente.

Los ámbitos de solapamiento incluyen:

Notificación de violación de datos personales en 72 horas
Coordinación entre autoridades de supervisión
Investigaciones paralelas de ciberseguridad y protección de datos
Normas checas de ciberseguridad específicas por sector

Un único incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en la República Checa quedan bajo la autoridad supervisora checa para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en la República Checa pueden estar sujetos a obligaciones nacionales según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directive para proveedores no pertenecientes a la UE que atienden a los mercados checos.

15. Calendario de implementación en la República Checa

Adopción de la Directiva: 2022
Ley n.º 264/2025 Rec. adoptada el 11 de junio de 2025; publicada el 4 de agosto de 2025
Entrada en vigor: 1 de noviembre de 2025
Notificación a la Comisión: dictamen motivado de la CE de mayo de 2025 (previo a la promulgación); la exhaustividad de la notificación está siendo revisada por la Comisión
Hitos de cumplimiento: registro a través del portal NÚKIB antes del 31 de diciembre de 2025 (o 60 días desde la entrada en el ámbito); datos adicionales en un plazo de 30 días desde la decisión de registro; cumplimiento pleno en materia de seguridad 12 meses después de la decisión de registro

La República Checa completó la trasposición el 1 de noviembre de 2025; el registro a través del portal NÚKIB venció el 31 de diciembre de 2025; el cumplimiento pleno se exige 12 meses después de la decisión de registro; algunos actos de desarrollo siguen pendientes.

16. Conclusiones clave para pymes en la República Checa

La trasposición de NIS2 está completada en la República Checa mediante la Ley n.º 264/2025 Rec., en vigor desde el 1 de noviembre de 2025.
Las entidades se clasifican como Esenciales o Importantes en función del sector y el tamaño, con supervisión proactiva para las esenciales.
La gestión de riesgos exige un SGSI documentado y medidas conformes al estado del arte; se recomienda la alineación con ISO/IEC 27001.
La notificación de incidentes sigue los plazos de 24 h informe inicial / 1 mes informe final. Las entidades esenciales deben notificar todos los incidentes de origen cibernético (no solo los significativos) a NÚKIB — más estricto que la Directive. Las entidades importantes notifican los incidentes significativos al CSIRT nacional.
Los órganos de administración deben aprobar y supervisar las medidas de ciberseguridad; NÚKIB puede prohibir temporalmente a los representantes de la dirección el ejercicio de sus funciones durante al menos seis meses en casos graves.
La gestión del riesgo de proveedores es una obligación esencial. NÚKIB tiene autoridad para restringir o prohibir proveedores o productos específicos de la cadena de suministro en entidades estratégicamente importantes — un requisito superior a la Directive que puede afectar a contratos con proveedores tecnológicos no pertenecientes a la UE.
La autoidentificación y el registro a través del portal NÚKIB son obligatorios; el plazo para las entidades en el ámbito el 1 de noviembre de 2025 fue el 31 de diciembre de 2025.

Preguntas frecuentes: Guía NIS2 para pymes en la República Checa

¿Se aplica NIS2 a las empresas pequeñas en la República Checa?

Las empresas pequeñas están generalmente excluidas salvo designación expresa o si operan en sectores altamente críticos. Las entidades medianas que cumplan los umbrales de tamaño quedan automáticamente cubiertas.

¿Cuáles son las multas NIS2 en la República Checa?

Las Entidades Esenciales afrontan sanciones de hasta €10 million o 2% del volumen de negocios anual mundial. Las Entidades Importantes afrontan hasta €7 million o 1.4% del volumen de negocios anual mundial.

¿Cuándo entra en vigor NIS2 en la República Checa?

La Ley n.º 264/2025 Rec. sobre Ciberseguridad está en vigor desde el 1 de noviembre de 2025. Las entidades en el ámbito tuvieron hasta el 31 de diciembre de 2025 para registrarse a través del portal NÚKIB, con 12 meses desde la decisión de registro para alcanzar el cumplimiento pleno. Algunos actos de desarrollo siguen pendientes. Las entidades aún no registradas deberían actuar de inmediato.

¿Quién hace cumplir NIS2 en la República Checa?

La National Cyber and Information Security Agency (NÚKIB) actúa como autoridad supervisora principal, coordinándose con los reguladores sectoriales cuando corresponda.

¿Pueden los directores tener responsabilidad personal en virtud de NIS2 en la República Checa?

Los órganos de administración deben aprobar y supervisar las medidas de ciberseguridad. La ejecución administrativa puede incluir facultades para suspender a la dirección en casos graves.

¿En qué se diferencia NIS2 de GDPR en la República Checa?

NIS2 rige la resiliencia de ciberseguridad y la gestión del riesgo operativo, mientras que GDPR regula la protección de datos personales. Ambos marcos pueden aplicarse tras un incidente cibernético.

¿Qué se considera un incidente significativo en virtud de NIS2 en la República Checa?

Un incidente que cause una interrupción grave, una pérdida financiera significativa, un impacto social o consecuencias transfronterizas suele cumplir el umbral de notificación.