Co je NIS2

Datum poslední aktualizace: 22. 10. 2024

NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, software a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací. Co všechno musí udělat, aby povinnosti vyplývající z NIS2 splnily, lze shrnout do těchto deseti bodů:

  1. vědět, jaká máte data a kde a na jakých dalších aktivech jsou závislá (viz aktiva
  2. vědět, jaká jsou vaše slabiny a rizika, to znamená zavést hodnocení a řízení rizik
  3. zajistit bezpečnost a ochranu dat a informací a přístup k nim
  4. vzdělávat zaměstnance, zejména v oblasti kyber bezpečnosti  
  5. zajistit bezpečnost vašeho IT a informačního systému - aplikací, software, hardware a dalšího IT vybavení
  6. zvládat nakupované IT služby a jejich dodavatele, včetně cloudových služeb
  7. chránit se proti útokům a umět reagovat útoky a incidenty 
  8. zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
  9. zavést směrnice informační bezpečnosti
  10. zajistit trvalé fungování a zlepšování výše uvedeného

Je na jednotlivých zemích, jak budou směrnici naplňovat.

České republice budou přesné povinnosti NIS2 zakotvené v zákoně 181/2014 Sb. o kybernetické bezpečnosti (ZoKB)

Jednotlivé části NIS2 si lze představit na schématu ryby. Lidé a vzdělávání jako zadní ploutev dávají vše do pohybu. Směrnice jako hřbetní ploutev společně s procesy celý systém stabilizují. Data, informace, informační technologie a služby jsou střeva. Systém řízení rizik je mozek, audity a kontrola jako bedlivé oko vše sledují. Opatření představují hlavu, za kterou se celý systém posouvá dopředu.

co je NIS2

Kdo je za NIS2 odpovědný a co hrozí při nesplnění zákona?

  • zákon zavádí přímou odpovědnost statutárních orgánů 
  • při nesplnění podmínek hrozit pokuta až 10 mil. EUR nebo 2% z ročního obratu

Koho se zákon týká, jaké organizace se podle NIS2 musí řídit

  • Povinnosti vyplývající ze směrnice NIS2 se vztahují na organizace ve veřejném i soukromém sektoru.
  • V České republice se bude NIS2 vztahovat odhadem na 6 000 až 15 000 firem a organizací.
  • Bude se týkat firem poskytujících IT služby a digitální řešení.
  • Bude se týkat firem vyrábějících elektroniku, stroje, potraviny, zdravotnické prostředky a automobily. 
  • Bude se týkat středních a velkých firem nad 50 zaměstnanců nebo firem s ročním obratem nad 250 mil Kč.
  • Organizace jsou rozdělené do dvou skupin s vyšším a nižším režimem.  

Regulované služby s vyšším režimem jsou organizace z těchto odvětví

  • veřejná správa
  • energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
  • doprava (letecká, železniční, vodní a silniční)
  • bankovnictví a infrastruktury finančních trhů
  • zdravotnictví a výroba farmaceutických a zdravotnických prostředků
  • pitná voda a odpadní vody
  • digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
  • poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center a sítě pro doručování obsahu
  • poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
  • vesmír

Organizace s nižším režimem jsou organizace z těchto odvětví

  • výroba strojního zařízení
  • výroba počítačů a elektroniky
  • výroba motorových vozidel
  • výroba jiných zdravotnických prostředků
  • výroba potravin
  • digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
  • poštovní a kurýrní služby
  • nakládání s odpady, chemické látky

Co znamená NIS2 pro firmy a organizace, jaké povinnosti přinese

V praxi to znamená zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření. Důležitý je důraz na přiměřenost: neznamená to, že každá firma musí mít vše šifrované a mít to nejlepší vybavení. Opatření musí být přiměřená finančním možnostem firmy a hodnotě jejích dat. Konkrétní povinnosti se budou lišit pro organizace s vyšším a nižším režimem, ale v zásadě je cílem snížení rizik napadení, odcizení, ztráty nebo narušení informací a dat. 

Pojďme se podívat na to, co si pod jednotlivými povinnostmi představit. Většina firem může mít celou řadu povinností již vyřešenou, jen tomu musí dát nějakou "štábní kulturu". 

Zavést směrnice informační bezpečnosti znamená

  • mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění  a další
  • mít dokumentaci k prokázání shody s NIS2

Popsat aktiva znamená

  • vědět, která data jsou pro firmu kritická z hlediska fungování
  • jestli data souvisí s tzv. regulovanou službou
  • vědět, co všechno dalšího musí fungovat 

Zavést analýzu a hodnocení rizik znamená

  • mít popsaná rizika ve firmě
  • ke každému riziku mít popsaný způsob, jak se s ním popasovat

Zavést základní HR procesy řízení bezpečnosti znamená 

  • mít pod kontrolou komu a proč dávám oprávnění k nějaké aplikaci
  • mít pod kontrolou, kdo zná jaká hesla
  • mít pod kontrolou, kdo má, kam přístup ve firmě (klíče, vstupní karty)
  • mít pod kontrolou, kdo kam ukládá jaké informace
  • mít pod kontrolou, že když odchází zaměstnanec, tak mu odeberete všechny přístupy
  • když nastupuje zaměstnanec, že mu dáváte přístupy, kam 

Zajistit vzdělávání pracovníků v informační bezpečnosti znamená

  • poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
  • poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
  • poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji

Zajistit bezpečnost a ochranu dat a řízení IT  a informací znamená

  • zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
  • mít pod kontrolou, kdo má přístup k datům a informacím

Zajistit bezpečnost software, hardware a IT infrastrukturu znamená 

  • zabezpečit své informační systémy, aplikace, software
  • mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
  • pořizovat bezpečné Informační technologie 
  • provozovat bezpečné informační technologie
  • provádět pravidelnou údržby
  • zajistit monitoring proti kybernetickým hrozbám 
  • nesdílet heslo k wifi
  • zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb (preventivní opatření)

Zajistit bezpečnou fyzickou infrastrukturu 

  • pokud máte serverovnu, vědět, kdo do ní má přístup
  • mít prostory fyzicky zabezpečené (například klíče, kamerový systém)
Zajistit bezpečné a spolehlivé dodavatele IT služeb znamená
  • máte přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
  • zajistit jejich prověření, mít ošetřené smlouvy 
  • máte přehled jaká data u nich máte uložena
  • víte, že se k datům nedostane nikdo neoprávněný zvenku

Zavést neodkladné řešení bezpečnostních incidentů znamená

  • evidovat útoky, ztráty dat, ztráty klíčů a další podobné bezpečnostní incidenty
  • řešit následky těchto bezpečnostních incidentů 
  • umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
  • umět oznámit incident zákazníkům

Zajistit kontinuitu provozu a obnovu po havárii znamená

  • mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
  • umět reagovat a obnovit provoz po havárii nebo útoku

Zajistit trvalé fungování a zlepšování výše uvedeného znamená

  • provádět pravidelné aktualizace
  • provádět pravidelnou údržbu IT vybavení
  • provádět pravidelné testování a audity skutečného stavu
  • na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic

Podívejte se také na základní checklist pro NIS2

Jak vám pomůžeme splnit povinnosti i dokumentovat shodu s NIS2

Aptien vám na jednom místě usnadní splnění velké části vašich povinností. Pomůže s řízením rizik, s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí pomůže s:

Vedením dokumentace o vašich aktivech - datech, informacích a IT vybavení

  • vedení informací o vašich primárních aktivech a jejich závislostech na podpůrných aktivech
  • vedení informací a dokumentace o vašich podpůrných aktivech, IT vybavení a infrastruktuře
  • dokumentací zabezpečení používaných aplikací a software
  • vedení informací o IT službách a jejich dodavatelích
  • vedení dokumentace o uložených zálohách, testovacích plánech a údržbě 
Vedení primárních a podpůrných aktiv pro NIS2

Zavedením systému řízení rizik do organizace

Vedení katalogu rizik pro nis2

Podpora HR procesů


Popdora procesů pro NIS2

Evidencí bezpečnostních incidentů

Vedení bezpečnostních incidentů pro NIS2

Řízením vašich dodavatelů

  • vedením informací o dodavatelích služeb 
  • vedením informací o přístupech dodavatelů
  • vedením informací o přístupech vašich zaměstnanců ke službám (například cloudové služby)
  • vedením informací o zabezpečení nakupovaných služeb


Podpora řízení dodavatelů a IT služeb pro NIS2

Vzdělávání pracovníků 

    Řízení vzdělávání zaměstnanců pro NIS2

    Řízením kontinuity provozu a systémem trvalého zlepšování

    • dokumentací technických a organizačních opatření zvýšení síťové a informační bezpečnosti
    vedení opatření a zlepšování pro NIS2

    Vedením směrnic a dalších vnitřních předpisů


      Vedení směrnic bezpečnosti k NIS2

      Řízením vašich interních auditů

      • vedení informací o auditech a jejich závěrech
      • řízení opatření v návaznosti na zjištění
      • plánovaní pravidelného testování, aktualizace a vedení údržby
      Podpora vedení auditů a kontrol pro NIS2

      Směrnice NIS 2 ke stažení