NIS2 – Network and Information Security Directive 2

  • směrnice EU o kyberbezpečnosti přináší přísnější pravidla pro ochranu IT systémů a dat
  • 60 služeb v 18 odvětvích – povinnosti se liší podle velikosti firmy, oboru i typu poskytovaných služeb
  • návrh zákona je účinný od 1.11.20255
  • Očekáváme vydání prováděcích předpisů a vyhlášek NÚKIBem

NIS2: Nová pravidla kyberbezpečnosti, která musíte splnit

Evropská směrnice NIS2 zpřísňuje požadavky na IT bezpečnost ve firmách i institucích. Týká se stovek služeb včetně zdravotnictví, dopravy, digitálních služeb nebo veřejné správy a dopadá nejen na velké firmy, ale i na střední podniky a jejich dodavatele.

NIS2 – Network and Information Security Directive 2

Co NIS2 vyžaduje

  • analýzu rizik a bezpečnostní politiku
  • plán zvládání incidentů a zajištění provozní kontinuity
  • zabezpečení dodavatelského řetězce
  • hlášení incidentů příslušným autoritám (NÚKIB, CERT, CSIRT)
  • jasně definované bezpečnostní role a pravidelné audity
  • splnění konkrétních povinností podle velikosti firmy a odvětví

Koho se týká

Organizace v regulovaných sektorech od zdravotnictví přes digitální infrastrukturu až po veřejnou správu. Povinnosti se vztahují i na střední podniky nebo dodavatele větších firem.

Na regulace jsme připraveni. Naše systémy už dnes odpovídají normě ISO/IEC 27001:2022, takže vás provedeme požadavky bez stresu i zdržování.

NIS2 má být účinná už nyní v červnu 2025.

CTA Pages Form

Co přináší NIS2

Evropská směrnice NIS2 nastavuje nová pravidla pro kybernetickou bezpečnost. Cílem je zvýšit odolnost organizací proti digitálním hrozbám. V České republice bude směrnice zapracována do zákona o kybernetické bezpečnosti, jehož účinnost se očekává od června 2025. Významně se kryje s normou ISO/IEC 27001:2022 a navazuje na dosavadní českou legislativu.

Koho se týká

Zákon se bude vztahovat na více než 6 000 organizací v Česku. Reguluje 60 typů služeb rozdělených do 18 odvětví od zdravotnictví, energetiky a dopravy přes digitální služby, infrastrukturu až po veřejnou správu. Rozsah povinností se liší podle velikosti podniku i povahy poskytované služby.

  • mikropodniky do 10 zaměstnanců a obratu 2 mil. EUR,
  • malé podniky do 50 zaměstnanců a 10 mil. EUR
  • střední podniky do 250 zaměstnanců a 50 mil. EUR podléhají regulaci podle rizikovosti.

Některé služby – například cloud computing, bezpečnostní ICT služby nebo klíčová digitální infrastruktura – spadají pod regulaci bez ohledu na velikost provozovatele.

Co je potřeba splnit

Organizace zpracovávají

  • analýzu rizik a bezpečnostní politiku,
  • identifikují svá aktiva, hrozby a zranitelnosti,
  • připravují plán zvládání incidentů a zajišťují provozní kontinuitu.

Požadavky zahrnují řízení přístupů, správu identit, fyzické zabezpečení, bezpečnost dodavatelského řetězce a pravidelné audity.
Firmy určují role, jako je manažer kybernetické bezpečnosti, architekt nebo auditor, a ustavují bezpečnostní komisi.

Jaké jsou úrovně požadavků

NIS2 rozlišuje dvě úrovně regulace: „important“ a „essential“. Do vyšší kategorie spadají subjekty s klíčovým významem pro chod společnosti – například nemocnice, datová centra, velcí poskytovatelé energií nebo veřejná správa.
Ty musí splnit širší spektrum opatření, včetně pravidelného reportingu a hlášení incidentů autoritám jako jsou NÚKIB, CERT nebo CSIRT.

Co musíte udělat

Pokud do regulace spadáte, bude třeba upravit nejen IT infrastrukturu, ale i vnitřní procesy a dokumentaci. Patří sem zavedení řízené správy přístupů, školení zaměstnanců,
plán obnovy provozu, kontinuální monitoring i nastavení zodpovědností v týmu. Včasná příprava vám ušetří sankce, pomůže projít auditem a zajistí, že vaše provozy zůstanou v klidu i při bezpečnostních incidentech.