Co znamenají jednotlivé požadavky NIS2?

Datum poslední aktualizace: 14. 06. 2026

Co musíte jako firma podle NIS 2 splnit?

Zde je seznam základních 12-ti požadavků s komentářem toho, co v praxi znamenají

  1. zavést vnitřní směrnice, politiky a odpovědnosti lidí a vedení firmy
  2. znát svá aktiva, systémy a rizika s tím spojená
  3. zavést řízení rizik
  4. řídit přístup k informacím, zajistit bezpečnost a ochranu dat
  5. zajistit bezpečnost vaší sítě
  6. zavést šifrování
  7. řídit vaše IT: aplikace, software, hardware a další IT vybavení
  8. zvládat nakupované IT služby a jejich dodavatele
  9. omezit lidské chyby pomocí vzdělávání zaměstnanců
  10. chránit se proti útokům a umět reagovat útoky a incidenty 
  11. umět zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
  12. zajistit trvalé fungování a zlepšování výše uvedeného

1. Zavést směrnice, politiky a odpovědnost lidí (Governance) znamená:

  • mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění  a další
  • mít ve směrnicích zakotvené odpovědnosti managementu
  • mít dokumentaci k prokázání shody s NIS2
  • vést směrnice, pracovní postupy a politiku pro vaše zaměstnance (nejen) k bezpečnosti
  • zavedení rolí a odpovědností za kybernetickou bezpečnost 
  • zavedení chybějících směrnic a postupů
Vedení směrnic bezpečnosti k NIS2

2. Znát aktiva, systémy znamená:

Vedení primárních a podpůrných aktiv pro NIS2

3. Zavést řízení rizik ve firmě znamená:

  • mít popsaná rizika ve firmě v registru rizik podle požadavků zákona o kybernetické bezpečnosti
  • mít zavedený systém řízení a hodnocení rizik
  • ke každému riziku mít popsaný způsob, jak se s ním popasujete
Vedení katalogu rizik pro nis2

4. Řízení přístupu k informacím znamená:

  • řídit oprávnění a přístupy zaměstnanců v průběhu nástupu, zaměstnání i při odchodu
  • při nástupu zaměstnance mít pod kontrolou komu a proč dáváte oprávnění, kdo zná jaká hesla, kdo má kam přístup ve firmě (klíče, vstupní karty)
  • při odchodu zaměstnance odebírat jejich oprávnění 
  • vědět kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu)
  • řídit přístupy na základě pracovního zařazení zaměstnanců (pracovní pozice) 
Popdora procesů pro NIS2

5. Technická bezpečnost sítě znamená:

  • zajistit bezpečnost sítě a související infrastruktury (segmentace sítě, 
  • mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
  • zajištění bezpečných hesel, přihlašování uživatelů k síti, šifrování
  • zajištění bezpečné politiky hesel přístupu do sítě
  • zajištění detekce útoků
  • zajištění vzdáleného přístupu (VPN)
  • pořizovat a provozovat bezpečné technologie 

6. Kryptografie a ochrana dat znamená:

  • zavést základní ochranu dat, jako je zálohování nebo jiná opatření
  • zavést ochranu (šifrování) dat při přenosu
  • zavést ochranu / šifrování dat v klidu (ukládání na médiích) 
  • zavést bezpečnou správu klíčů

7. Řídit provoz IT znamená:

  • pořizovat a provozovat bezpečné informační technologie 
  • provádět pravidelnou údržbu
  • provádět pravidelné aktualizace
  • zajistit monitoring proti kybernetickým hrozbám 
  • zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb (preventivní opatření)
  • zajistit bezpečnou fyzickou infrastrukturu, na které je IT provozováno, mít prostory fyzicky zabezpečené (například klíče, kamerový systém)

8. Bezpečnost dodavatelů znamená:

  • zvládat dodavatele IT služeb
  • mít přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
  • zajistit jejich prověření, mít ošetřené smlouvy 
  • mít přehled jaká data u nich máte uložena
  • víte, že se k datům nedostane nikdo neoprávněný zvenku
  • mít dokumentaci zabezpečení používaných aplikací a software
  • vést informace o dodavatelích služeb, o přístupech dodavatelů
  • vést informace o zabezpečení nakupovaných služeb
Podpora řízení dodavatelů a IT služeb pro NIS2

9. Lidský faktor znamená:

  • omezit lidské chyby pomocí vzdělávání pracovníků v informační bezpečnosti
  • mít vzdělávací plány zaměstnanců
  • vědět, koho jste proškolili a v čem 
  • poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
  • poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
  • poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji
Řízení vzdělávání zaměstnanců pro NIS2

10. Incident management znamená:

  • evidovat bezpečnostní incidenty, jako jsou útoky, ztráty dat, ztráty klíčů 
  • evidovat a řešit incidenty (vedením incidentů a reakce na ně)
  • umět řešit následky těchto bezpečnostních incidentů 
  • umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
  • umět oznámit incident zákazníkům
Vedení bezpečnostních incidentů pro NIS2

11. Obnova a kontinuita znamená:

  • umět řešit následky incidentů - zajistit kontinuitu provozu a obnovu po havárii 
  • vedení dokumentace o uložených zálohách, testovacích plánech a údržbě 
  • mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
  • mít zpracované DRP
  • umět obnovit provoz po havárii nebo útoku
12. Zajistit trvalé fungování a zlepšování výše uvedeného znamená
  • pravidelně přehodnocovat situaci: aktiva, rizika, hrozby i opatření
  • provádět pravidelnou údržbu dokumentace
  • provádět pravidelné testování a audity skutečného stavu
  • na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
  • řídit opatření v návaznosti na zjištění
  • plánovat pravidelné testování, aktualizace a vedení údržby
vedení opatření a zlepšování pro NIS2

Jak vám pomůžeme splnit povinnosti NIS2

Aptien pomůže vést kompletní dokumentaci pro prokázání shody s NIS2

  • Aptien je integrovaný systém řízení rizik a shody
  • v jednom prostředí vám umožní vést veškerou dokumentaci lépe než v excelu
  • pomůže s řízením rizik,
  • s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i
  • s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. 

Směrnice NIS 2 ke stažení