Blog

NIS 2 a Zákon o kybernetické bezpečnosti: Co vás čeká, na co si dát pozor a jak se připravit

Co je směrnice NIS 2 a proč vznikla

Původní směrnice NIS z roku 2016 měla posílit kybernetickou bezpečnost u tzv. provozovatelů
základních služeb a poskytovatelů digitálních služeb. Jenže s prudkým nárůstem kybernetických
útoků, geopolitickými hrozbami a digitalizací infrastruktury přestala být dostačující. Proto v roce
2022 vznikla NIS 2.

Hlavním cílem směrnice je vytvoření jednotného rámce kybernetické bezpečnosti napříč celou
EU, zvýšení odolnosti institucí i podniků a zajištění hladké přeshraniční spolupráce. NIS 2 zavádí
standardizované postupy řízení rizik, oznamování incidentů a zpřísňuje dohledové a sankční
mechanismy.

Směrnice reflektuje fakt, že digitální infrastruktura je dnes zásadní součástí nejen kritické
infrastruktury státu, ale také běžných ekonomických procesů, výroby a služeb. V důsledku toho
se regulace nově týká desítek tisíc podniků po celé EU – i těch, které se doposud regulace v
oblasti kyberbezpečnosti netýkala.

Na koho se směrnice NIS 2 vztahuje – podrobněji

NIS 2 zavádí zásadní změnu v přístupu k tomu, kdo je považován za tzv. regulovaný subjekt.
Místo úzkého výčtu typů organizací přechází směrnice na princip kombinace velikosti subjektu a
jeho působnosti v kritických nebo strategických oblastech.

Významné subjekty (Essential Entities): typicky jde o subjekty, jejichž narušení by mělo vážné
důsledky pro ekonomiku nebo bezpečnost státu. Kritéria zahrnují počet zaměstnanců a finanční
ukazatele. V praxi sem spadají např. provozovatelé energetických sítí, nemocnice nebo klíčové
dopravní podniky.

Důležité subjekty (Important Entities): jsou menší podniky, které sice nemusí být strategické z
hlediska národního měřítka, ale jejichž narušení by mohlo vést k významným dopadům. Zde je
důležitá zejména činnost – typicky firmy vyvíjející software, poskytující IT infrastrukturu, datová
centra a služby cloud computingu.

Do budoucna je důležité sledovat tzv. „risk-based approach“ – tedy možnost, že stát zařadí do
regulace i subjekt, který kritéria nesplňuje, ale je z hlediska rizik pro stát nebo společnost klíčový.
Pozoruhodné je také to, že mezi regulované subjekty mohou patřit i instituce veřejné správy,
univerzity nebo výzkumná centra, pokud jejich činnost naplňuje kritéria stanovená zákonem.

3. Požadavky NIS 2 – implementační a technické detaily

Směrnice definuje soubor povinných bezpečnostních opatření, která musí subjekty zavést.
Opatření nejsou volitelná – jsou závazná a jejich implementace musí být doložena při případné
kontrole ze strany NÚKIB.

10 klíčových oblastí zahrnuje komplexní bezpečnostní rámec:

1. Řízení rizik – identifikace a analýza aktiv, hrozeb, zranitelností a jejich dopadů.
2. Incident management – schopnost detekovat, analyzovat, řešit a hlásit kybernetické
   incidenty včetně vedení dokumentace.
3. Business Continuity a Disaster Recovery – jasné plány pro zvládání krizových situací a
   obnovu činností.
4. Dodavatelský řetězec – kontrola bezpečnosti externích subjektů a třetích stran.
5. Bezpečný vývoj a správa systémů – opatření zabraňující zneužití systémových
   zranitelností.
6. Řízení přístupů – nastavení rolí, přístupových práv a vícefaktorové autentizace.
7. Kryptografie – využívání ověřených kryptografických metod pro ochranu dat.
8. Školení a zvyšování povědomí – pravidelné školení personálu, simulace útoků a
   bezpečnostní kampaně.
9. Ochrana OT systémů – segmentace a oddělení provozních systémů od IT.
10. Detekce a monitoring – aktivní sledování sítě, logování a zavádění SIEM řešení.
    Povinností je také vedení dokumentace – bezpečnostních politik, záznamů o školení, auditech i
    kontrolních mechanismech. Zodpovědnost nese statutární orgán.
    “Velkou výhodou je, pokud má firma zavedný a certifikovaný system řízení bezpečnosti dle ISO
    27 001”.

4. Termíny a implementace v ČR

• Platnost směrnice rok 2023
• Návrh zákona 1Q – 2024
• Účinnost zákona říjen 2024
• Začátek dozorových činností rok 2026

Doporučení NÚKIB: začněte s implementací ihned, určete odpovědnost, sledujte metodiky a
vyhlášky.

5. Jak se připravit: školení a certifikace

Certifikace není v této době povinná, ale velmi doporučená. SUSS Consulting nabízí kompletní
konzultační činnosti při vybudování dokumentace a následné implementace požadavků Zákona
o kybernetice a evropské směrnice NIS 2 do firmy.

Následně nabízí údržbu úrovně kybernetické bezpečnosti a to pomocí funkcí:

• Manažer kybernetické bezpečnosti
• Risk Manager
• Incident Manager
• Security Awareness Officer

6. Doporučení

1. Zmapujte organizaci
2. Určete odpovědné osoby
3. Začněte budovat a popisovat procesy
4. Začněte se školením zaměstnanců a dodavetelů
5. Zavádějte opatření
6. Sledujte legislativu
7. Spolupracujte s odborníky.

Závěr

NIS 2 není jen povinnost – je to příležitost. Posiluje bezpečnost, důvěru a odolnost celé
společnosti. Připravte se včas a získejte výhodu oproti konkurenci.

21. 7. 2025