Co je NIS2 – a co musí vaše firma udělat

NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, software a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.

Co musíte v firmě udělat, pokud spadáte pod NIS2? 

Povinnosti, které z kybernetického zákona a NIS2 plynou v jádru znamenají

1. Poznejte, co vám hrozí: svá rizika a jejich zdroje, musíte vědět jaké problémy mohou nastat 
2. Prevence: zaveďte přiměřená opatření, jak problémům předcházet
3. Reakce: buďte připraveni na útoky, incidenty a hlášení
4. Zlepšování: dělejte to pod odpovědností managementu, průběžně přehodnocujte rizika i opatření

Koho se zákon týká, jaké organizace se podle NIS2 musí řídit

• Podívejte se, na jaké typy organizací a firem se zákon vztahuje

Kdo je za NIS2 odpovědný a co hrozí při nesplnění zákona?

• zákon zavádí přímou odpovědnost statutárních orgánů 
• při nesplnění podmínek hrozit pokuta až 10 mil. EUR nebo 2% z ročního obratu

Je na jednotlivých zemích, jak budou směrnici naplňovat.

V České republice jsou přesné povinnosti NIS2 zakotvené v zákoně č. 264/2025 Sb. o kybernetické bezpečnosti (ZoKB), který je účinný od 1.11.2025

• Zde jsou poslední informace NÚKIB k novému zákonu

Co znamená NIS2 pro firmy a organizace, jaké povinnosti přinese

V praxi to znamená zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření. Důležitý je důraz na přiměřenost: neznamená to, že každá firma musí mít vše šifrované a mít to nejlepší vybavení. Opatření musí být přiměřená finančním možnostem firmy a hodnotě jejích dat. Konkrétní povinnosti se budou lišit pro organizace s vyšším a nižším režimem, ale v zásadě je cílem snížení rizik napadení, odcizení, ztráty nebo narušení informací a dat. 

Pojďme se podívat na to, co si pod jednotlivými povinnostmi představit. Většina firem může mít celou řadu povinností již vyřešenou, jen tomu musí dát nějakou "štábní kulturu". 

Jak vám pomůžeme splnit povinnosti NIS2

Aptien vám na jednom místě usnadní splnění velké části vašich povinností. Pomůže s řízením rizik, s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí.

Co musíte jako firma udělat: v deseti bodech

1. musíte znát rizika, aktiva, systémy a dodavatele 
2. musíte zavést řízení rizik, a odpovědnosti vedení firmy
3. zajistit bezpečnost a ochranu dat a informací a přístup k nim
4. omezit lidské chyby pomocí vzdělávání zaměstnanců a budování bezpečnostní kultury
5. zajistit bezpečnost vašeho IT a informačního systému - aplikací, software, hardware a dalšího IT vybavení
6. zvládat nakupované IT služby a jejich dodavatele
7. chránit se proti útokům a umět reagovat útoky a incidenty 
   
8. umět zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
9. zavést potřebné směrnice 
10. zajistit trvalé fungování a zlepšování výše uvedeného

1. Znát rizika, aktiva, systémy a dodavatele znamená

• vedení dokumentace o vašich aktivech - datech, informacích a IT vybavení
• vědět, která data jsou pro firmu kritická z hlediska fungování
• mít popsaná rizika ve firmě
• vědět, co všechno dalšího vám musí fungovat 
• zavést pravidelné hodnocení rizik
• ke každému riziku mít popsaný způsob, jak se s ním popasujete
• vést informace o vašich podpůrných aktivech, IT vybavení a infrastruktuře
• vést přehled nakupovaných IT služeb a jejich dodavatelů
• vedení dokumentace o uložených zálohách, testovacích plánech a údržbě 

2. Zavést řízení rizik a odpovědnosti ve firmě znamená:

• vedení registru rizik podle požadavků zákona o kybernetické bezpečnosti
• vedením přehledu primárních i podpůrných aktiv a jejich souvislostí
• zavedení rolí a odpovědností za kybernetickou bezpečnost 
• zavedení chybějících směrnic a postupů

3. Řídit přístup k informacím, aktivům a bezpečnosti znamená 

• vědět kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu) 
• řídit oprávnění a přístupy zaměstnanců
• digitální předávání klíčů a karet zaměstnancům pomocí jednoduché aplikace
• vedení dokumentace vašich procesů kolem řízení bezpečnosti informací
• při nástupu zaměstnance mít pod kontrolou komu a proč dávám oprávnění, kdo zná jaká hesla, kdo má kam přístup ve firmě (klíče, vstupní karty)
• při odchodu zaměstnance odebírat jejich oprávnění 

• mít vzdělávací plány zaměstnanců
• vědět, koho jste proškolili a v čem
• digitálně seznamovat vaše zaměstnance se směrnicemi a další dokumentací
• poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
  
• poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
• poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji

5. Zajistit bezpečnost software, hardware a IT infrastruktury znamená

• zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
• mít pod kontrolou, kdo má přístup k datům a informacím
• zabezpečit své informační systémy, aplikace, software
• mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
• pořizovat a provozovat bezpečné technologie 
• provádět pravidelnou údržbu
• provádět pravidelné aktualizace
• zajistit monitoring proti kybernetickým hrozbám 
• nesdílet heslo k wifi
• zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb (preventivní opatření)
• zajistit bezpečnou fyzickou infrastrukturu, 
• mít prostory fyzicky zabezpečené (například klíče, kamerový systém)
• pokud máte serverovnu, vědět, kdo do ní má přístup

6. Zvládat dodavatele IT služeb znamená

• mít přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
• zajistit jejich prověření, mít ošetřené smlouvy 
• mít přehled jaká data u nich máte uložena
  
• víte, že se k datům nedostane nikdo neoprávněný zvenku
• mít dokumentaci zabezpečení používaných aplikací a software
• vést informace o dodavatelích služeb, o přístupech dodavatelů
• vést informace o zabezpečení nakupovaných služeb

7. Evidování bezpečnostních incidentů znamená

• evidovat útoky, ztráty dat, ztráty klíčů a další podobné bezpečnostní incidenty
• evidovat a řešit incidenty (vedením incidentů a reakce na ně)
• umět řešit následky těchto bezpečnostních incidentů 
• umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
• umět oznámit incident zákazníkům

8. Zajistit kontinuitu provozu a obnovu po havárii znamená

• mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
• mít zpracované DRP
• umět obnovit provoz po havárii nebo útoku

9. Zavést směrnice informační bezpečnosti znamená

• mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění  a další
  
• mít dokumentaci k prokázání shody s NIS2
• vést směrnice, pracovní postupy a politiku pro vaše zaměstnance (nejen) k bezpečnosti

• pravidelně přehodnocovat situaci  - rizika, hrozby i opatření
• provádět pravidelnou údržbu IT vybavení
• provádět pravidelné testování a audity skutečného stavu
• na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
• řídit opatření v návaznosti na zjištění
• plánovat pravidelné testování, aktualizace a vedení údržby

Směrnice NIS 2 ke stažení

• Směrnice EU 2016/1148 NIS 2 v PDF