NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, software a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.
- V České republice jsou přesné povinnosti NIS2 zakotvené v zákoně č. 264/2025 Sb. o kybernetické bezpečnosti (ZoKB), který je účinný od 1.11.2025
Jaké povinnosti zákon o kybernetické bezpečnosti ukládá?
- Povinnost se sebeidentifikovat, že se na vás NIS2 vztahuje
- Vědět vám hrozí a zavést přiměřená opatření. Znát svá rizika a jejich zdroje, musíte vědět jaké problémy mohou nastat. Zavést přiměřená opatření, jak problémům předcházet a buďte připraveni na útoky a incidenty
- Povinnost nahlásit incidenty
Koho se zákon týká, jaké organizace se podle NIS2 musí řídit?
- Podívejte se, na jaké typy organizací a firem se zákon vztahuje
Kdo je za NIS2 odpovědný a co hrozí při nesplnění zákona?
- zákon zavádí přímou odpovědnost statutárních orgánů
- při nesplnění podmínek hrozit pokuta až 10 mil. EUR nebo 2% z ročního obratu
Jaká opatření musí firma kvůli NIS2 zavést?
- V praxi to znamená zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření.
- Důležitý je důraz na přiměřenost: neznamená to, že každá firma musí mít vše šifrované a mít to nejlepší vybavení.
- Opatření musí být přiměřená finančním možnostem firmy a hodnotě jejích dat.
- Konkrétní povinnosti se budou lišit pro organizace s vyšším a nižším režimem, ale v zásadě je cílem snížení rizik napadení, odcizení, ztráty nebo narušení informací a dat.
- Podívejte se sem, na přehled povinností