Směrnice NIS2 (implementována v ČR zákonem č. 264/2025 Sb.) vstoupila v platnost a přinesla nové povinnosti v oblasti kybernetické bezpečnosti. Velké hotely a hotelové řetězce se nemohou tvářit, že se jich netýká — pokuta za ignorování může být až 10 milionů EUR.
⚠️ Týká se to vašeho hotelu?
NIS2 se vztahuje na hotely, které jsou součástí skupiny s 50+ zaměstnanci nebo obratem přes 10 milionů EUR ročně, nebo na ty, kteří provozují digitální platformy (vlastní booking systém, věrnostní program). Menší nezávislé hotely pod tyto prahy obvykle nespadají — ale GDPR platí pro všechny.
Proč se hotely NIS2 týká více než jiných odvětví
Hotely jsou v kybernetické bezpečnosti zvláště zranitelné hned z několika důvodů:
- 💳 Zpracování platebních karet — POS terminály, online booking systémy, minibar účtování
- 🛂 Kopie osobních dokladů — hotely jsou zákonem povinny evidovat hostů totožnost
- 📡 Veřejná WiFi pro hosty — pokud není správně segmentována, jde útočníkovi přímo do zázemí
- 🔗 Komplexní dodavatelský řetězec — PMS systémy, channel managery, distribuční platformy, Booking.com API
- 👤 Vysoká fluktuace zaměstnanců — recepční se mění, phishing se daří
6 konkrétních povinností pro hotely podle NIS2
1. Řízení rizik kybernetické bezpečnosti
Hotel musí mít písemně zdokumentovaný systém řízení rizik — ne jen tušit, co by se mohlo stát, ale mít zmapovaná konkrétní aktiva (PMS server, platební terminály, rezervační systém), hrozby a způsoby jejich zmírnění.
Prakticky: potřebujete inventář IT aktiv, hodnocení rizik a plán ošetření. Nestačí antivirus a firewall — musí to být systém.
2. Bezpečnost dodavatelského řetězce
Hotel odpovídá i za bezpečnost svých dodavatelů — PMS systémů (Mews, Opera, Cloudbeds), channel managerů, platebních bran. NIS2 vyžaduje, abyste od dodavatelů požadovali záruky v oblasti bezpečnosti a pravidelně je kontrolovali.
Co konkrétně udělat:
- → Vyžádejte od PMS poskytovatele bezpečnostní certifikaci (ISO 27001, SOC 2)
- → Zkontrolujte smlouvy — obsahují SLA pro bezpečnostní incidenty?
- → Ověřte, kde jsou data hostů fyzicky uložena (EU nebo mimo?)
3. Plán reakce na incidenty
Závažný kybernetický incident musíte nahlásit příslušnému orgánu do 24 hodin od zjištění. Do 72 hodin musíte podat podrobnou zprávu. Za závažný incident se považuje například ransomware útok, únik dat hostů nebo výpadek rezervačního systému.
Plán reakce musí existovat před incidentem, ne být improvizován za běhu. Musí jasně říkat, kdo co dělá, koho informuje a jak rychle.
4. Zabezpečení přístupu a identit
Vícefaktorové ověřování (MFA) pro přístup ke kritickým systémům je povinností. Recepční, kteří se přihlašují do PMS jen heslem, jsou bezpečnostní dírou — zvlášť při vysoké fluktuaci.
- ✅ MFA pro správce PMS systému
- ✅ MFA pro e-mail administrátorů
- ✅ Správa přístupů — odebrat přístupy ihned při odchodu zaměstnance
- ✅ Princip nejmenšího oprávnění — recepční nepotřebuje přístup k finančním výkazům
5. Školení zaměstnanců
NIS2 výslovně vyžaduje pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti. Recepční, kteří klikají na phishingové e-maily nebo sdílejí hesla, jsou nejslabším článkem.
Prakticky: roční školení (ideálně čtvrtletní), simulované phishingové testy, jasná pravidla pro hlášení podezřelých aktivit.
6. Osobní odpovědnost vedení
Toto je novinka, na kterou mnozí hoteliéři zapomínají: NIS2 umožňuje osobní odpovědnost statutárních orgánů. Generální ředitel nebo jednatel může být pokutován osobně, pokud prokazatelně ignoroval bezpečnostní rizika.
Jaké jsou pokuty?
Základní subjekty
až 7 mil. EUR
nebo 1,4 % ročního obratu
Důležité subjekty
až 10 mil. EUR
nebo 2 % celosvětového obratu
Velké hotelové řetězce s celosvětovým obratem 500 milionů EUR by mohly čelit pokutám až 10 milionů EUR. To je motivace k akci.
Jak začít — praktický plán pro hotel
Zjistěte, jestli pod NIS2 spadáte
Počet zaměstnanců, obrat, typ poskytovaných digitálních služeb — tohle stačí ověřit za hodinu.
Udělejte inventář IT aktiv
PMS server, platební terminály, WiFi infrastruktura, rezervační systém, e-mail — kde jsou, kdo je spravuje, kdo k nim má přístup.
Identifikujte největší mezery
Obvykle to jsou: slabé přístupy (bez MFA), segmentace sítě (guest WiFi vs. interní), zálohy, školení zaměstnanců.
Zpracujte dokumentaci
Politika kybernetické bezpečnosti, plán reakce na incidenty, analýza rizik — v případě kontroly musíte tyto dokumenty ukázat.
Zaregistrujte se u NÚKIB
Pokud pod NIS2 spadáte, musíte se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost. Termín byl stanoven na podzim 2025.
Potřebujete pomoc s NIS2 compliance pro váš hotel?
HotelIT poskytuje hotelům v Praze komplexní IT správu včetně přípravy na NIS2. Víme, jak hotelové systémy fungují, a dokážeme připravit vaši infrastrukturu i dokumentaci.
Domluvte konzultaci zdarmaNejčastější otázky (FAQ)
Vztahuje se NIS2 na malé boutiqueové hotely?
Obvykle ne — pokud hotel zaměstnává méně než 50 lidí a jeho obrat nepřekračuje 10 milionů EUR ročně, pod NIS2 nespadá. Ale GDPR platí pro všechny bez ohledu na velikost, a to přináší podobné požadavky na ochranu dat hostů.
Musíme kvůli NIS2 měnit celý PMS systém?
Ne nutně. Klíčové je, aby váš PMS poskytovatel splňoval bezpečnostní standardy (ISO 27001 nebo SOC 2) a abyste měli smluvně ošetřenu odpovědnost za bezpečnostní incidenty. Změna systému bývá krajní možností, ne prvním krokem.
Co dělat, když nás hacker napadne?
Máte 24 hodin na hlášení incidentu NÚKIB (pokud pod NIS2 spadáte). Ihned izolujte postižené systémy, aktivujte plán reakce na incidenty, kontaktujte IT bezpečnostního specialistu. Nemazte stopy — pro vyšetřování a pojistné plnění jsou logy klíčové.