Vyzkoušet zdarma

NIS2 v Česku: jaké povinnosti přináší firmám a koho se týká

Směrnice NIS2 (Network and Information Security 2) je největší změnou v evropské kybernetické legislativě za poslední desetiletí. V Česku ji transponuje nový zákon o kybernetické bezpečnosti a oproti původní směrnici NIS dramaticky rozšiřuje okruh povinných subjektů — z několika stovek firem na odhadované tisíce.

Koho se NIS2 týká

Směrnice rozlišuje dvě kategorie subjektů podle sektoru a velikosti; český zákon s nimi pracuje jako s poskytovateli regulované služby v režimu vyšších, resp. nižších povinností:

Režim vyšších povinností (essential) — velké podniky (250+ zaměstnanců nebo obrat nad 50 mil. €) v sektorech vysoké kritičnosti: energetika, doprava, bankovnictví, finanční infrastruktura, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, správa ICT služeb, veřejná správa a vesmír.

Režim nižších povinností (important) — střední podniky (50+ zaměstnanců nebo obrat nad 10 mil. €) ve stejných sektorech, plus podniky v dalších kritických sektorech: poštovní služby, odpadové hospodářství, chemie, potravinářství, výroba (elektronika, stroje, vozidla, zdravotnické prostředky), digitální poskytovatelé a výzkum.

Malé podniky stojí obecně mimo přímou působnost — ale pozor na dva háčky. Za prvé, existují výjimky (například jediný poskytovatel kritické služby v regionu). Za druhé, povinné subjekty musí řešit bezpečnost dodavatelského řetězce — takže pokud dodáváte firmě spadající pod NIS2, její bezpečnostní požadavky skončí ve vaší smlouvě.

Nejste si jisti? Otestujte se ve 2minutovém NIS2 self-checku.

Hlavní povinnosti

  1. Opatření k řízení kybernetických rizik — hodnocení rizik, bezpečnostní politiky, řízení přístupů, šifrování, zálohování, řízení zranitelností a bezpečnost dodavatelského řetězce.
  2. Hlášení incidentů — závažný incident je nutné nahlásit jako včasné varování do 24 hodin od zjištění a podrobnější hlášení podat do 72 hodin. Do měsíce následuje závěrečná zpráva.
  3. Odpovědnost managementu — statutární orgány schvalují opatření, absolvují školení a nesou osobní odpovědnost za porušení. To je novinka, která dělá z kybernetické bezpečnosti téma pro představenstvo.
  4. Registrace — povinné subjekty se musí registrovat u národního dozorového orgánu, kterým je v Česku NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost).

Pokuty

Pro subjekty v režimu vyšších povinností až 10 milionů € nebo 2 % celosvětového obratu, pro subjekty v režimu nižších povinností až 7 milionů € nebo 1,4 % obratu. Vedle pokut hrozí i pozastavení certifikací či dočasný zákaz výkonu funkce pro management.

Jak se připravit: ISO 27001 jako základ

NIS2 nepředepisuje konkrétní rámec, ale její požadavky se téměř dokonale překrývají s normou ISO/IEC 27001 — systémem řízení bezpečnosti informací (ISMS). Politiky, hodnocení rizik, řízení incidentů, dodavatelský řetězec, školení — to vše jsou povinné součásti ISMS. Firma s funkčním ISO 27001 má z NIS2 splněnou podstatnou část domácího úkolu a certifikát slouží jako silný důkaz due diligence vůči regulátorovi.

Prvním krokem je dokumentace: politika bezpečnosti informací, hodnocení rizik, plán řízení incidentů a další povinné dokumenty. Právě zde umí ISOForge ušetřit měsíce práce — vygeneruje audit-ready dokumentaci přizpůsobenou vaší firmě v češtině a pomůže ji udržovat i po certifikaci: registr rizik, evidenci incidentů s lhůtami podle NIS2, registr dodavatelů i compliance kalendář.

Shrnutí

Potřebujete ISO dokumentaci?

ISOForge vygeneruje audit-ready dokumentaci přizpůsobenou vaší firmě — v češtině, za zlomek ceny konzultanta.

Zjistit více