Implementujte NIS2 a vyhněte se případným sankcím
NIS2: Co to je a ovlivní i vaši firmu?
Co je NIS2? (Foto: Freepik)
Co je to NIS2?
Na první pohled pod záhadnou zkratkou NIS2 se skrývá anglický název Network and Information Security Directive 2. Jedná se o aktualizovanou směrnici NIS, která je v platnosti od roku 2016. Evropská unie prostřednictvím ní reaguje na zvyšující se kybernetické hrozby a cílí na maximální ochranu klíčové infrastruktury. Nové nařízení zavádí přísnější a jednotnější požadavky v rámci celé EU, ale také rozšiřuje okruh subjektů, na které se pravidla vztahují.[1]
Nejedná se přitom o takovou novinku, jak by se na první pohled mohlo zdát. Směrnice totiž vstoupila v platnost již 16. ledna 2023 a členské státy ji měly implementovat nejpozději 17. října 2024. V České republice k tomu však nedošlo a v tuto chvíli se očekává, že začne platit někdy během druhé poloviny roku 2025. Konkrétně ji připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a v praxi bude představovat novelu zákona o kybernetické bezpečnosti.
Jaké jsou hlavní rozdíly mezi NIS a NIS2?
Jak jsem již nastínil výše v článku, hlavním cílem NIS2 je reagovat na nové kybernetické hrozby. Zásadně proto rozšiřuje a upravuje původní nařízení. Nyní je mnohem konkrétnější a důslednější v mnoha odhledech. Jaké hlavní rozdíly tedy mezi těmito nařízeními jsou?
- Rozsah působnosti: Zatímco původní směrnice se zaměřovala pouze na operátory základních služeb, jako je energetika, doprava či zdravotnictví a poskytovatele základních služeb, NIS2 se rozšiřuje i na další sektory. Nově se dotkne také například poštovních služeb, výroby, odpadového hospodářství, ICT firem a podobně. Platí to navíc také pro soukromé firmy. Do pole působnosti nové směrnice tedy spadá mnohem větší počet subjektů.
- Kategorizace: Na to přímo navazuje také kategorizace jednotlivých subjektů. Zatímco původní nařízení rozlišovalo pouze operátory základních služeb a poskytovatele digitálních služeb, nová směrnice rozděluje subjekty na základní (Essential) a důležité (Important). Více o dopadu tohoto rozdělení najdete níže článku.
- Konkrétnější a přísnější bezpečnostní požadavky: U NIS byly požadavky spíše obecné a ponechané v kompetenci národních úřadů, NIS2 zavádí konkrétní povinnosti v rámci řízení rizik, zálohování dat, ochrany proti útokům, řízení přístupů, bezpečnosti dodavatelského řetězce nebo například školení zaměstnanců. Organizace tedy budou muset prokazatelně zavést konkrétní opatření a nevystačí si již pouze s obecnými prohlášeními.
- Řízení dodavatelů a subdodavatelů: Původní směrnice prakticky dodavatelský řetězec vůbec neřešila. To se nyní mění a firmy budou muset aktivně řídit a kontrolovat bezpečnost svých dodavatelů. To v praxi znamená uzavírání bezpečnostních doložek, provádění hodnocení a nastavování standardů.
- Hlášení incidentů: V rámci původní směrnice byla stanovena obecná povinnost hlásit závažné incidenty bez přesného časového rámce. NIS2 zavádí konkrétní lhůty, které stanovují, jak rychle musí organizace hlášení provést.
- Odpovědnost vedení: Směrnice NIS počítala s tím, že vedení organizace je odpovědné za případné porušení směrnice odpovědné pouze nepřímo prostřednictvím IT oddělení. To už však nyní platit nebude a NIS2 stanovuje přímou a právě vymahatelnou odpovědnost vedení dané organizace. Vedení tedy bude muset provádět školení managementu a aktivně se bránit kybernetickým rizikům.
- Sankce: Dříve platilo, že sankce byly stanoveny vágně a bez konkrétních částek. NIS2 však zavádí jasné a velmi vysoké pokuty. U základních subjektů hrozí za porušení předpisů pokuta až 10 milionů euro či 2 % z obratu. U důležitých subjektů je to až 7 milionů euro či až 1,4 % z obratu. Firmy tedy musí brát kybernetickou bezpečnost skutečně vážně.
- Jednotný dohled EU: NIS2 zavádí harmonizaci napříč EU a klade důraz na mnohem větší mezinárodní spolupráci. Právě jednotnost původnímu nařízení velmi chyběla a jednotlivé členské státy přistupovaly ke směrnici s rozdílnou implementací.
Rozdílů je tedy skutečně velké množství a všechny mají za cíl rozšířit kybernetickou bezpečnost v rámci specifických subjektů. Dá se také očekávat výrazně zvýšená administrativní zátěž, kdy bude třeba vytvořit různé plány pro řízení rizik, reakce na incidenty a hlášení. Samozřejmě pak bude nutné počítat s audity a možností kontroly ze strany NÚKIB.[2]
Koho se NIS2 týká?
Jedním z nejzásadnějších rozdílů, které NIS2 přináší, je především rozšíření své působnosti. Oproti původnímu nařízení se tak dotkne výrazně většího množství subjektů, než tomu bylo doposud. Obecně pak platí, že se bude týkat těch firem a organizací, které spadají do regulovaného sektoru a zároveň mají více než 50 zaměstnanců nebo roční obrat přes 10 milionů euro. Některé sektory jako je například zdravotnictví, veřejná správa, DNS nebo třeba registr domén, spadají pod NIS2 bez ohledu na svou velikost.[3]
Koho se týká NIS2 (Zdroj: nukib.gov.cz)
Už výše jsem zmiňoval, že NIS2 počítá s rozdělením na dvě skupiny organizací. Konkrétně se jedná o:
Základní subjekty: Sem spadají organizace poskytující služby zásadní pro společnost, ekonomiku nebo bezpečnost. Pokud by tedy došlo k výpadku nebo narušení jejich bezpečnosti, může to mít vážné dopady na celkové fungování státu či klíčové infrastruktury. Tyto společnosti spadají pod přísnější pravidla a dohled, což znamená přísnější režim kontrol, vyšší sankce v případě porušení pravidel a povinnost plnit bez výjimky všechna nařízení pod NIS2. Spadá sem například energetika, doprava, bankovnictví, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, veřejná správa nebo například finanční trhy.
Důležité subjekty: Tyto subjekty nejsou klíčové pro bezpečnost státu, ale jejich výpadek může ovlivnit ekonomiku či běžný chod společnosti. V jejich případě například nejsou stanoveny pravidelné audity bez důvodného podezření na porušení. Úřad nad nimi také vykonává dohled až na základě podnětu či incidentu. Do tohoto sektoru se řadí poštovní a kurýrní služby, výroba potravin, zařízení, chemikálií či farmaceutických produktů, odpadové hospodářství, digitální služby, výzkum, telekomunikace či správa IT struktury.
Všechny společnosti, kterých se NIS2 dotkne, budou muset plnit konkrétní technické a organizační požadavky. Budou tedy muset zajistit bezpečné provozování systémů, hlásit incidenty, správně nastavit identity, řídit dohled nad dodavateli a zavést patřičné administrační procesy.
Konkrétní požadavky směrnice NIS2
Nařízení NIS2 stanovuje 10 konkrétních okruhů, které mají členské státy povinnost rozpracovat ve svých předpisech, a následně je uložit subjektům, kterých se směrnice NIS2 dotýká. Těmito okruhy jsou konkrétně:
- Analýza rizik a politiky bezpečnosti informací: Organizace budou povinny zmapovat svá klíčová informační aktiva, jako jsou data, servery, systémy, sítě, aplikace, zaměstnance i dodavatele. Poté identifikují možné hrozby a zhodnotí zranitelnost a dopady. Následně vyčíslí rizika a navrhnou opatření ke snížení rizik. Mezi ta může patřit zálohování školení pracovníků, antivirová řešení, firewall nebo třeba dvoufaktorové přihlášení.
- Zvládání incidentů: Incidentem se rozumí například útok ransomwarem, neoprávněný přístup do systémů, únik dat, výpadek způsobený DDoS útokem, ztráta nebo krádež klíčových zařízení. NIS2 ukládá, že je třeba vydat do 24 hodin od incidentu předběžné varování, do 72 hodin podrobnou zprávu a do 1 měsíce závěrečnou zprávu s vyhodnocením.
- Kontinuita činností: NIS2 stanovuje, jak postupovat v případě incidentu. Tento okruh poté směrnice rozvádí o příklad zálohování, zotavení a krizové řízení. Přesně tedy stanovuje, jak by měla organizace postupovat.
- Bezpečnost v rámci dodavatelského řetězce: V rámci NIS2 společnosti musí řešit bezpečnost také u svých dodavatelů IT služeb, externích partnerů s přístupem k datům, dodavatele HW a SW řešení a podobně. Mají tedy povinnost identifikovat klíčové a rizikové dodavatele, zohlednit jejich bezpečnostních požadavků a kontrolovat smluvní ujednání. Dále je také nutné pravidelně hodnotit dodavatele a provádět audity či monitorovat reakce na incidenty v rámci dodavatelského řetězce.
- Bezpečnost v rámci pořízení, vývoje a údržby systému: Směrnice stanovuje, že organizace musí budovat kybernetickou bezpečnost od základu. Je tedy nutné navrhnout a vybrat správný a ověřený systém, dodržet principy secure coding a zajistit řádnou ochranu svých systémů. K tomu patří také pravidelná údržba, monitoring a aktualizace systémů.
- Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (audit): V rámci NIS2 jsou společnosti povinny plánovat audity, stanovit osoby odpovědné za kybernetickou bezpečnost, provádět interní a externí kontroly či zaznamenávat výsledky a zajistit nápravná opatření.
- Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti: Organizace budou povinné vést pravidelné školení svých zaměstnanců, kteří by měli mít dostatečné povědomí kybernetických rizicích a své roli v rámci jejich zvládání.
- Politiky a postupy týkající se využívání kryptografie a šifrování: NIS2 vyžaduje zajištění kryptografických opatření a šifrování tam, kde je to vhodné. Společnosti tedy mají jasně definovat politiky a procesy, jak těchto opatření dosáhnout. Kryptografie by měla být systémová, plánovaná a dokumentovaná. Nesmí jít o žádné náhodné šifrování a organizace musí vědět, co má šifrované, jak a kdo se o šifrování stará.
- Bezpečnost lidských zdrojů, řízení přístupů a aktiv: Nová směrnice vyžaduje, aby byla přístupová práva přidělována, evidována, monitorována a revidována. Je také nutné, aby si firma nastavila a řídila bezpečnostní kroky při nástupu, změně či odchodu odpovědného zaměstnance. Společnost také musí vést a spravovat inventář svých aktiv, jež musí chránit dle jejich významu.
- Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci: NIS2 stanovuje povinné vícefaktorové ověření pro přístupy do klíčových systému a cloudů. Stanovuje také požadavky na bezpečnou komunikaci při ochraně dat při běžné komunikaci (šifrované e-maily, schválené chaty a platformy pro sdílení) nebo na nouzovou komunikaci při incidentu.
U mnoha firem tedy budou tyto požadavky v praxi vyžadovat zajištění pokročilejší technologie a procesů, které tyto požadavky splní. To samozřejmě nevyhnutelně přinese vysoké náklady. Je však dobrou zprávou, že firmy toto mohou řešit i prostřednictvím třetích stran. Například řešení od VEDOS již tyto požadavky splňuje a odpovídá nejen NIS2, ale také dalším bezpečnostním standardům, jako je ISO 27001.
Kdo vám pomůže s implementací NIS2?
Na českém trhu existuje celá řada společností, které vám pomohou s implementací NIS2 podle nové směrnice. Zde jsou některé z nich.
| Název společnosti | Web |
| WEDOS Group SA | Přejít na web |
| Moore Czech Republic s.r.o. | Přejít na web |
| Ernst & Young Global Limited | Přejít na web |
Na závěr
NIS2 si klade za cíl rozšířit kybernetickou bezpečnost a správně zareagovat na pokročilé hrozby, s nimiž se organizace na internetu potýkají. Její nová podoba se dotkne výrazně většího množství firem, které tak budou muset velmi brzy začít mnohem důkladněji řešit svou kybernetickou bezpečnost. Zavádět bude třeba nejen nové systémy, ale také celé procesy.[4]
Velmi důležitými aspekty je důraz na odpovědnost managementu, prevenci a právě řízení rizik. Velmi důležitý je také fakt, že bude nutné zkoumat bezpečnost nejen na úrovni organizace, ale také v rámci svého dodavatelského řetězce. Mění se i systém, jakým bude nezbytné zvládat případné incidenty. Změny jsou to opravdu velké a zasáhnou řadu společností nejen u nás, ale prakticky v celé Evropě. Zákon u nás ještě nemá finální podobu, ovšem už teď je nutné se na jeho příchod připravovat.
Často kladené otázky
Co je to NIS2?
NIS2 (zkratka pro Network and Information Security Directive 2) je směrnice Evropské unie, která stanovuje pravidla pro zajištění kybernetické bezpečnosti ve firmách a institucích. Navazuje na původní směrnici NIS1 z roku 2016, ale rozšiřuje její působnost, zpřísňuje požadavky a zavádí vyšší sankce. Jejím cílem je zajištění vyšší kybernetické bezpečnosti klíčových služeb.
Koho se směrnice NIS2 týká?
Směrnice NIS2 se týká organizací z více než 15 sektorů včetně energetiky, zdravotnictví, dopravy, financí, výroby, ICT služeb nebo veřejné správy. Obecně platí, že se vztahuje na firmy s více než 50 zaměstnanci nebo obratem nad 10 milionů EUR, ale v některých případech i bez ohledu na velikost (např. nemocnice nebo správci domén).
Co musím jako firma podle NIS2 udělat?
Musíte zavést a udržovat konkrétní bezpečnostní opatření jako jsou: řízení rizik, zálohování, bezpečné řízení přístupů, hlášení incidentů, školení zaměstnanců, auditní záznamy a další. NIS2 také požaduje, abyste pravidelně hodnotili účinnost těchto opatření a zajistili bezpečnost dodavatelského řetězce.
Zdroje
- Směrnice NIS2: zabezpečení sítí a informačních systémů – europa.eu
- NIS2 pro webové stránky – vedos.cz
- Průvodce směrnicí NIS2 – nukib.gov.cz
- Kybernetická ochrana webu, která splňuje NIS2 – wedos.eu
Další užitečné články
- Český Hosting recenze
- NETIO Recenze
- Active24 recenze
- Webglobe Recenze
- Websupport recenze
- Webzdarma recenze
- Forpsi recenze
- Tele3 recenze
- Web4u recenze
- Gigaserver recenze
- Endora recenze
- GoDaddy recenze
- OpenServis Recenze
- Free-host recenze
- Nejlepší webhosting
- Srovnání nástrojů pro webináře
- Srovnání to-do aplikací
- Nejlepší nástroje pro chytré notifikace
- Nejlepší pokladní systémy
- Srovnání dopravců pro e-shopy
- Nejlepší cookie lišty
- Nejlepší e-shopová řešení
- Nejlepší SEO nástroje
- Srovnání účetních programů
- Nejlepší fakturační nástroje
- Srovnání nejlepších AI nástrojů
- Nejlepší e-mailingové nástroje
- Nejlepší virtuální sídlo
- Nejlepší ticketovací helpdesk software
- Srovnání CRM systémů
Co číst dále:
Jak vytvořit e-shop: průvodce podnikáním v e-shopu
Také byste rádi podnikali online, měli vlastní e-shop a vydělávali slušné peníze? připravili takový praktický manuál pro vytvoření e-shopu. Připravili jsme si pro vás takový praktický manuál pro vytvoření e-shopu.
Autor: Vladimír Pilný Datum: 16. 7. 2022
Jak využít umělou inteligenci při tvorbě e-shopu
Umělá inteligence se skloňuje stále častěji. Využívat ji můžete nejen pro zajišťování informací, ale také například při tvorbě vašich webových stránek včetně e-shopů. Chcete vědět, jak ji při tvorbě e-shopu uplatnit?
Autor: David Řezníček Datum: 2. 6. 2025
Dropshipping průvodce: co to je a jak na to
Pojem dropshipping jste již určitě slyšeli. Ale co vše se za tím skrývá? Jak to přesně funguje a jaké jsou jeho výhody a nevýhody?
Autor: Vladimír Pilný Datum: 13. 7. 2022
Jak má vypadat faktura a co na ní musí být
Rozjíždíte svůj první byznys nebo začínáte s drobným podnikáním a budete potřebovat vystavovat faktury za své zboží nebo služby? Víte, jak se taková faktura vystavuje? V našem článku se dozvíte, jak na to.
Autor: Hana Vítková Datum: 27. 10. 2025
Tvorba e-shopu: Jaké řešení vybrat?
Chystáte se založit e-shop, ale nevíte, jaké řešení vybrat? Připravil jsem si pro vás tento článek, ve kterém vám popíšu, podle čeho vybrat e-shopové řešení v závislosti na velikosti e-shopu, zaměření a ceny.
Autor: Vladimír Pilný Datum: 4. 6. 2025
Jak připravit a rozesílat úspěšný newsletter
Newsletter je jedním z nejefektivnějších nástrojů v online marketingu. Umožní vám zůstat v kontaktu se zákazníky a budovat si s nimi dlouhodobý vztah. Zjistěte, jak správně newsletter připravit a jak ho rozesílat.
Autor: David Řezníček Datum: 26. 1. 2026Přispět svou zkušeností
