2. Znalostní báze
  3. Řízení shody NIS2
  4. Kontrolní seznam opatření a povinností pro NIS2

Kontrolní seznam opatření a povinností pro NIS2

Datum poslední aktualizace: 27. 11. 2025
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
34 z celkových 34 článek pomohl.

NIS2 nastiňuje nezbytná vhodná a přiměřená technická a organizační opatření, která musí organizace přijmout. Následující seznam seznam deseti oblastí opatření obsahuje minimální povinnosti, které je třeba pokrýt.

Systém řízení bezpečnosti informací

  • Je zavedená bezpečnostní politika
  • Je zavedený systém řízení rizika a zavedená přiměřená bezpečnostní opatření

Požadavky na vrcholné vedení

  • Statutární orgán nebo vrcholové vedené absolvuje školení
  • Statutární orgán nebo vrcholové zajistí systém řízení bezpečnosti a bezpečnostní kulturu napříč firmou

Stanovení bezpečnostních rolí

  • Jsou zavedené role pro manažera, architekta a auditora kybernetické bezpečnosti
  • Je zavedený systém bezpečnostní kultury

Řízení bezpečnostní politiky a bezpečnostní dokumentace

Směrnice bezpečnostní jsou zavedené, když jsou splněné následující body

  • Bezpečnostní zásady jsou dokumentovány, komunikovány a vyhodnocovány
  • Existuje směrnice k řešení incidentů
  • Existuje směrnice k nakládání s informacemi, hesly a přiřazování oprávnění
  • Existuje směrnice k údržbě IT infrastruktury
  • Existuje směrnice kontroly poskytovatelů služeb

Řízení aktiv

Řízení aktiv je zavedené, pokud máte popsaná svoje aktiva (data, software, hardware, infrastrukturu a nakupované služby) a znáte jejich vzájemné závislosti a zdroje rizik.

  • Jsou  identifikována a dokumentována klíčová data (Primární aktiva)
  • Podpůrná aktiva jsou známa, identifikována a popsána, kritické systémy a známé, identifikované a popsané
  • Závislosti primárních aktiv na podpůrných aktivech (IT infrastruktuře, software, hardware a službách) jsou popsané

Řízení rizik

Řízení rizik je zavedené, když máte splněné následující body

  • Kritická rizika jsou známá a popsaná a řízená
  • Hrozby jsou známé, popsané a řízené
  • Zranitelnosti jsou známé, popsané a řízené
  • Rizika jsou prioritizována, vyhodnocována a řízena
  • Rizika jsou vyhodnocena a opatření k nim jsou naplánována
  • Systém řízení rizik funguje ve vztahu k aktivům


Řízení dodavatelů 

Zvládání dodavatelů a nakupovaných služeb. Řízení dodavatelů je zavedené, když jsou zavedena následující opatření.

  • Kritické služby zajišťované dodavateli jsou známé, identifikované a popsané
  • Dodavatelé IT služeb, podpůrných aktiv, jsou identifikováni a zdokumentováni a pod kontrolou
  • Dodavatelé údržby jsou pod kontrolou
  • Dodavatelé úklidových služeb jsou pod kontrolou
  • Smlouvy s dodavateli IT služeb jsou pod kontrolou
  • Smlouvy s dodavateli obsahují potřebné náležitosti na bezpečnost a ochranu informací i ukončení služeb

Bezpečnost lidských zdrojů

Vzdělávání zaměstnanců, je zavedené, když jsou splněné následující body.

  • Je zavedené vstupní školení zaměstnanců (v rámci onboardingu)
  • Je zavedený pravidelný trénink a školení stávajících zaměstnanců
  • Školicí procesy jsou plánované a dokumentované
  • Školení obsahuje znalosti informační gramotnosti, rizik informační a kybernetické bezpečnosti
  • Zaměstnanci jsou pravidelně a průběžně seznamováni s vnitřními předpisy a novinkami

Řízení změn

  • Jsou zavedené postupy a pravidla pro řízení změn

Akvizice, vývoj a údržba

  • Má zavedenou dobrou praxi pro akvizici, vývoj a údržbu systémů

Řízení přístupu

Máte zvládnuté procesy přístupu lidí a technologií k informacím a datům a řízení jejich oprávnění, když jsou splněné následující body:

  • je zavedené řízení přístupu na základě rolí a pracovního zařazení
  • Sdílení informací a dat mimo firmu je pod kontrolou
  • Zaměstnanci s přístupem k informacím jsou prověřováni
  • Přidělování oprávnění při nástupu zaměstnanců (onboarding) je pod kontrolou
  • Změny v oprávnění při změně pracovní pozice nebo jiné organizační změně je pod kontrolou
  • Změny oprávnění v průběhu zaměstnání jsou pod kontrolou
  • Proces odchodu zaměstnance a odebírání oprávnění je pod kontrolou
  • Privilegovaní uživatelé, účty a administrátoři a účty jsou pod kontrolou

Zvládání kybernetických bezpečnostních událostí a incidentů

Řízení incidentů je zavedené když jsou splněné následující body.

  • Bezpečnostní incidenty jsou detekovány
  • Jsou zavedené procesy reakce na incidenty
  • Incidenty jsou zdokumentovány
  • Je zavedený systém hlášení incidentů

Řízení kontinuity činností

Obnova a kontinuita provozu je zavedená když jsou splněné následující body.

  • Jsou definované a zavedené procesy prevence ochrany (zálohování, školení, nezávislost na jednotlivcích) 
  • Jsou definované a zavedené procesy obnovy po havárii (disaster recovery)
  • Obnova provozu po útoku nebo havárii

Provádění auditu kybernetické bezpečnosti

  • je prováděný pravidelný audit kybernetické bezpečnosti
  • Pravidelné hodnocení efektivnosti zavedených opatření formou kontrol, auditů a trvalého zlepšování je zavedené, když jsou splněné následující body.
  • Funguje pravidelné vyhodnocování, kontrola a audit aktiv, rizik, technických i organizačních opatření
  • Audity a kontroly jsou dokumentovány a závěry se uplatňují v praxi
  • Výstupy jsou použity pro zlepšování systému řízení bezpečnosti informací

Fyzická bezpečnost

  • Máte zvládnuté procesy řízení provozu a komunikací, když jsou splněné následující body:
  • jsou zavedené principy přístupu a ochrany fyzické bezpečnosti

Bezpečnost komunikací a sítí

Máte zvládnuté procesy řízení provozu a komunikací, když jsou splněné následující body:

  • Sdílení informací a dat mimo firmu je pod kontrolou
  • Zaměstnanci s přístupem k informacím jsou prověřováni
  • Přidělování oprávnění při nástupu zaměstnanců (onboarding) je pod kontrolou
  • Změny v oprávnění při změně pracovní pozice nebo jiné organizační změně je pod kontrolou
  • Změny oprávnění v průběhu zaměstnání jsou pod kontrolou
  • Proces odchodu zaměstnance a odebírání oprávnění je pod kontrolou
  • Privilegovaní uživatelé, účty a administrátoři a účty jsou pod kontrolou

Správa a ověřování identit

  • Ověřování identit
  • Zavedená politika hesel

Řízení přístupových práv a oprávnění

  • Má zavedený nástroj pro řízení přístupových práv a oprávnění

Detekce kybernetických bezpečnostních událostí

  • nástroj pro detekci kybernetických bezpečnostních událostí, který zajišťuje

Zaznamenávání událostí

  • zaznamenávání bezpečnostních a relevantních provozních událostí

Vyhodnocování kybernetických bezpečnostních událost

  • Vyhodnocuje zaznamenané události

Aplikační bezpečnost

Bezpečnost IT infrastruktury je zavedena a řízena, když jsou splněné následující body:

  • Pravidelná plánovaná údržba software, hardware a další IT infrastruktury (podpůrných aktiv) je zavedena
  • Je zavedena preventivní ochrana před útoky zvenku
  • Je zavedena preventivní ochrana před útoky zevnitř firmy
  • Je zavedena preventivní ochrana před útoky z mailů
  • Je zavedeno zálohování dat
  • Je zavedena obnova dat
  • Je zavedena přiměřená ochrana dat (kryptografie, šifrování)
  • Procesy vyřazení IT techniky jsou pod kontrolou

Kryptografické algoritmy


Doporučujeme znát
Kam pokračovat dále