Směrnice NIS2 je největší změnou v oblasti kybernetické bezpečnosti pro české firmy za poslední dekádu. Přesto ji spousta managementu stále podceňuje – nebo o ní vůbec neví. Pojďme si to napravit.
Co NIS2 vlastně je?
NIS2 (Network and Information Security Directive 2) je evropská směrnice o bezpečnosti sítí a informačních systémů, přijatá v říjnu 2022. Navazuje na původní směrnici NIS z roku 2016, ale výrazně rozšiřuje její záběr – a také tvrdost sankcí.
V Česku je NIS2 implementována prostřednictvím nového zákona o kybernetické bezpečnosti, jehož správcem je NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Zákon přináší konkrétní povinnosti pro tisíce českých firem, které dříve stály zcela mimo regulaci.
Klíčové číslo
Oproti původní NIS směrnici se počet regulovaných subjektů v EU zvýšil z přibližně 10 000 na odhadovaných 150 000+ organizací. V Česku se NIS2 dotkne řádově tisíců firem.
Koho se NIS2 týká?
Tady dělá spousta firem chybu – myslí si, že NIS2 je jen pro banky a elektrárny. Realita je jiná. NIS2 definuje dvě kategorie subjektů:
Základní subjekty (Essential Entities)
Velké organizace v kritických odvětvích: energetika, doprava, bankovnictví, zdravotnictví, digitální infrastruktura, veřejná správa. Přísná pravidla, pravidelné audity, vyšší sankce.
Důležité subjekty (Important Entities)
Střední a větší firmy v rozšířených odvětvích – a tady přichází překvapení pro mnoho podnikatelů:
- Výrobní podniky (potraviny, chemie, strojírenství, elektrotechnika...)
- Poštovní a kurýrní služby
- IT a technologické firmy (poskytovatelé cloud služeb, datových center, e-commerce platformy)
- Výzkum a vývoj
- Nakládání s odpady
Velikostní prahy
Obecná pravidla pro zařazení (nezávisle na odvětví):
| Kategorie | Zaměstnanci | Obrat / Rozvaha |
|---|---|---|
| Základní subjekt | 250+ | ≥ 50 mil. EUR |
| Důležitý subjekt | 50–249 | ≥ 10 mil. EUR |
Pozor na výjimky
Některé organizace spadají pod NIS2 bez ohledu na velikost – například poskytovatelé kvalifikovaných důvěryhodných služeb, registrátoři domén nebo jedineční poskytovatelé kritické infrastruktury. Pokud si nejste jisti, proveďte analýzu.
Co musíte jako povinný subjekt udělat?
NIS2 nestanovuje konkrétní technická řešení, ale vyžaduje zavedení přiměřených opatření na řízení kybernetických rizik. V praxi to znamená:
1. Řízení rizik a bezpečnostní politika
Musíte mít zdokumentovaný přístup k identifikaci, hodnocení a zvládání kybernetických rizik. To není šanon plný políček k zaškrtnutí – jde o živý proces, který vaše firma skutečně dodržuje.
2. Hlášení incidentů
Závažné bezpečnostní incidenty je nutné hlásit NÚKIB ve třech fázích:
- 24h Včasné varování – do 24 hodin od zjištění incidentu
- 72h Oznámení o incidentu – do 72 hodin s prvotní analýzou
- 1M Závěrečná zpráva – do jednoho měsíce s kompletní analýzou
3. Bezpečnost dodavatelského řetězce
NIS2 explicitně požaduje, abyste prověřili kybernetickou bezpečnost svých klíčových dodavatelů a partnerů. Nestačí, že vy sami máte bezpečnost pod kontrolou – musíte vědět, co dělají i vaši subdodavatelé.
4. Šifrování a řízení přístupu
Citlivá data musí být šifrována. Přístupy musí být řízeny na principu nejnižšího nutného oprávnění (least privilege) a dvoufaktorové ověřování by mělo být standardem.
5. Kontinuita provozu a zálohy
Musíte mít plán pro případ kybernetického útoku – co dělat, kdo za co odpovídá, jak obnovit provoz a v jakém časovém rámci.
Sankce za nedodržení
Tady by měl management zpozornět. NIS2 přináší výrazně přísnější pokuty než předchozí regulace:
| Kategorie | Maximální pokuta |
|---|---|
| Základní subjekty | 10 mil. EUR nebo 2 % celosvětového ročního obratu |
| Důležité subjekty | 7 mil. EUR nebo 1,4 % celosvětového ročního obratu |
Navíc zákon umožňuje osobní odpovědnost statutárních orgánů – tedy jednatelů a členů představenstva. To je zásadní změna oproti dosavadnímu stavu.
Kde začít?
Pokud si nejste jisti, zda vaše firma pod NIS2 spadá, nebo pokud spadáte a nevíte kde začít, doporučujeme tento postup:
-
1
Ověřte, zda se vás NIS2 týká
Zkontrolujte odvětví a velikost. V pochybnostech se obraťte na NÚKIB nebo specializovaného poradce.
-
2
Proveďte GAP analýzu
Zmapujte, kde aktuálně stojíte a co konkrétně chybí. Bez tohoto kroku nevíte, kolik práce vás čeká.
-
3
Připravte management
NIS2 je záležitostí vedení, ne jen IT. Workshop pro management pomůže vysvětlit zodpovědnosti a získat potřebné zdroje.
-
4
Implementujte postupně
Compliance není sprint, ale maraton. Prioritizujte nejkritičtější mezery a postupujte systematicky.
Chcete vědět, zda vaše firma splňuje NIS2?
Nabízíme GAP analýzu, která přesně ukáže, kde stojíte a co je potřeba udělat. Výsledkem je prioritizovaný akční plán srozumitelný pro management.
Nezávazně poptat GAP analýzu
