TECHTERRA SERVICES

+420 606 200 600

NIS2


NIS2: Nová pravidla kybernetické bezpečnosti v praxi

– Co musíte vědět, co musíte mít, a co už nestačí ignorovat

Digitální infrastruktura se stala nedílnou součástí každodenního života – ve firmách, na úřadech, v nemocnicích, v dopravě i ve vzdělávání. A jak roste její význam, rostou i hrozby. Na ně reaguje Evropská unie prostřednictvím nové směrnice NIS2 (Network and Information Security Directive 2), která zásadně mění pravidla hry pro stovky tisíc organizací napříč členskými státy – včetně České republiky.

NIS2 vstoupí v účinnost formou novely zákona o kybernetické bezpečnosti, která bude doplněna vyhláškami NÚKIBu a přinese přímou odpovědnost vedení organizací za řízení rizik.

Koho se NIS2 týká?

Na rozdíl od původní směrnice NIS se rozsah působnosti dramaticky rozšiřujeDotkne se dvou kategorií organizací:

1. Subjekty zásadního významu

(musí splnit více povinností, podléhají přímému dohledu NÚKIB)

  • Energetika

  • Doprava

  • Bankovnictví a finanční sektor

  • Zdravotnictví (nemocnice, laboratoře)

  • Digitální infrastruktura (poskytovatelé DNS, IXP, cloudové služby)

  • Veřejná správa (ministerstva, kraje)

2. Subjekty důležitého významu

(rovněž mají povinnosti, ale mírnější dohled)

  • Výroba (zejména chemický, farmaceutický a potravinářský průmysl)

  • Poštovní služby a kurýři

  • Odpady, pitná voda

  • Výzkumné instituce

  • Poskytovatelé IT služeb a správy infrastruktury

  • Školství s vazbou na kritické technologie

Pozor: Zařazení se odvíjí podle velikosti (počet zaměstnanců, obrat) i typu poskytovaných služeb. Už se nestačí „nepovažovat za kritickou infrastrukturu“ – NIS2 má daleko širší síť.

Jaké povinnosti NIS2 přináší?

Směrnice vyžaduje, aby organizace prokazatelně zavedly opatření pro řízení kybernetických rizik. A to nejen formálně, ale jako aktivní a dokumentovaný systém. Klíčové prvky zahrnují:

1. Zřízení a udržování systému řízení kybernetické bezpečnosti

  • Vyhodnocení rizik (risk management),

  • Stanovení odpovědné osoby (např. manažer kybernetické bezpečnosti),

  • Zavedení bezpečnostní politiky a postupů.

2. Technická a organizační opatření

  • Zálohování a obnova dat,

  • Řízení přístupových práv (včetně správy mobilních zařízení, BYOD),

  • Ochrana před malwarem a aktualizace systémů,

  • Monitorování hrozeb a bezpečnostních událostí.

3. Reakce na incidenty a jejich hlášení

  • Povinnost hlásit bezpečnostní incidenty do 24 hodin NÚKIBu,

  • Zajistit reakční tým (interní nebo externí),

  • Vést dokumentaci o incidentech a způsobu nápravy.

4. Školení zaměstnanců a zvyšování bezpečnostního povědomí

  • Pravidelné školení, včetně phishingových testů,

  • Ověřování znalostí a vyhodnocování slabých míst.

5. Interní audity a kontrola souladu

  • Provádění auditů kybernetické bezpečnosti,

  • Dokumentace opatření, nálezů a přijatých nápravných kroků.

Co hrozí při nesplnění povinností?

NIS2 zavádí přímou odpovědnost statutárních zástupců za nedodržení povinností.

Kromě hrozby vysokých pokut (až 10 milionů EUR nebo 2 % obratu) je novinkou i:

  • možnost dočasného odvolání vedení,

  • zveřejnění porušení,

  • soudní odpovědnost za vzniklé škody.

NIS2 v praxi: Nestačí mít technologie. Je třeba mít procesy, lidi a plán

Zavedení AI do interních procesů? Bez bezpečnostní politiky je to riziko.

Používání mobilních zařízení zaměstnanci? Bez MDM a pravidel BYOD hrozí únik dat.

Správa infrastruktury a cloudu? Bez správce s reálnými kompetencemi a podporou 24/7 neudržitelná.

Proto je důležité auditovat současný stav,
outsourcovat klíčové role,
nastavit pravidelný monitoring a reakce na incidenty,
školit personál, který často představuje nejslabší článek řetězce.

Na co se zaměřit při přípravě na NIS2?

✔️ Zmapujte, zda do působnosti NIS2 spadáte

✔️ Vyhodnoťte aktuální úroveň zabezpečení a procesů

✔️ Identifikujte chybějící role – zejména manažera kybernetické bezpečnosti

✔️ Vytvořte nebo aktualizujte krizové plány a reportingové kanály

✔️ Zaveďte cyklus interních auditů, školení a testování připravenosti

✔️ Zajistěte si partnera pro IT podporu a bezpečnost 24/7

Závěrem: NIS2 je příležitost, ne jen další povinnost

Ačkoli NIS2 na první pohled působí jako zátěž, ve skutečnosti představuje příležitost posílit digitální odolnost organizace. Pomáhá chránit to nejcennější – data, provoz, důvěru a stabilitu. S jasným plánem, odpovědnými osobami a správnými nástroji je přechod na nový režim zvládnutelný a udržitelný.

Jsme připraveni vám s tím pomoci – od auditu po zavedení systému řízení, outsourcing klíčových rolí až po podporu 24/7.