NIS2 v Česku: jaké povinnosti přináší firmám a koho se týká
Směrnice NIS2 (Network and Information Security 2) je největší změnou v evropské kybernetické legislativě za poslední desetiletí. V Česku ji transponuje nový zákon o kybernetické bezpečnosti a oproti původní směrnici NIS dramaticky rozšiřuje okruh povinných subjektů — z několika stovek firem na odhadované tisíce.
Koho se NIS2 týká
Směrnice rozlišuje dvě kategorie subjektů podle sektoru a velikosti; český zákon s nimi pracuje jako s poskytovateli regulované služby v režimu vyšších, resp. nižších povinností:
Režim vyšších povinností (essential) — velké podniky (250+ zaměstnanců nebo obrat nad 50 mil. €) v sektorech vysoké kritičnosti: energetika, doprava, bankovnictví, finanční infrastruktura, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, správa ICT služeb, veřejná správa a vesmír.
Režim nižších povinností (important) — střední podniky (50+ zaměstnanců nebo obrat nad 10 mil. €) ve stejných sektorech, plus podniky v dalších kritických sektorech: poštovní služby, odpadové hospodářství, chemie, potravinářství, výroba (elektronika, stroje, vozidla, zdravotnické prostředky), digitální poskytovatelé a výzkum.
Malé podniky stojí obecně mimo přímou působnost — ale pozor na dva háčky. Za prvé, existují výjimky (například jediný poskytovatel kritické služby v regionu). Za druhé, povinné subjekty musí řešit bezpečnost dodavatelského řetězce — takže pokud dodáváte firmě spadající pod NIS2, její bezpečnostní požadavky skončí ve vaší smlouvě.
Nejste si jisti? Otestujte se ve 2minutovém NIS2 self-checku.
Hlavní povinnosti
- Opatření k řízení kybernetických rizik — hodnocení rizik, bezpečnostní politiky, řízení přístupů, šifrování, zálohování, řízení zranitelností a bezpečnost dodavatelského řetězce.
- Hlášení incidentů — závažný incident je nutné nahlásit jako včasné varování do 24 hodin od zjištění a podrobnější hlášení podat do 72 hodin. Do měsíce následuje závěrečná zpráva.
- Odpovědnost managementu — statutární orgány schvalují opatření, absolvují školení a nesou osobní odpovědnost za porušení. To je novinka, která dělá z kybernetické bezpečnosti téma pro představenstvo.
- Registrace — povinné subjekty se musí registrovat u národního dozorového orgánu, kterým je v Česku NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost).
Pokuty
Pro subjekty v režimu vyšších povinností až 10 milionů € nebo 2 % celosvětového obratu, pro subjekty v režimu nižších povinností až 7 milionů € nebo 1,4 % obratu. Vedle pokut hrozí i pozastavení certifikací či dočasný zákaz výkonu funkce pro management.
Jak se připravit: ISO 27001 jako základ
NIS2 nepředepisuje konkrétní rámec, ale její požadavky se téměř dokonale překrývají s normou ISO/IEC 27001 — systémem řízení bezpečnosti informací (ISMS). Politiky, hodnocení rizik, řízení incidentů, dodavatelský řetězec, školení — to vše jsou povinné součásti ISMS. Firma s funkčním ISO 27001 má z NIS2 splněnou podstatnou část domácího úkolu a certifikát slouží jako silný důkaz due diligence vůči regulátorovi.
Prvním krokem je dokumentace: politika bezpečnosti informací, hodnocení rizik, plán řízení incidentů a další povinné dokumenty. Právě zde umí ISOForge ušetřit měsíce práce — vygeneruje audit-ready dokumentaci přizpůsobenou vaší firmě v češtině a pomůže ji udržovat i po certifikaci: registr rizik, evidenci incidentů s lhůtami podle NIS2, registr dodavatelů i compliance kalendář.
Shrnutí
- NIS2 se týká středních a velkých firem v 18 sektorech — zkontrolujte si působnost.
- Klíčové lhůty: 24 h včasné varování, 72 h hlášení incidentu.
- Management nese osobní odpovědnost.
- ISO 27001 je nejpřímější cesta k souladu — začněte dokumentací.