Co je NIS2?
NIS2 (Network and Information Security Directive 2) je nová evropská směrnice o kybernetické bezpečnosti, která nahrazuje původní směrnici NIS z roku 2016. Směrnice vstoupila v platnost v lednu 2023 a členské státy EU ji musely implementovat do národní legislativy do října 2024.
Hlavním cílem NIS2 je zvýšit úroveň kybernetické bezpečnosti v celé EU a zajistit jednotný přístup k ochraně kritické infrastruktury a služeb. Směrnice významně rozšiřuje seznam odvětví, která musí splnit přísné bezpečnostní požadavky.
- Směrnice platí od ledna 2023
- Členské státy EU měly transponovat do října 2024
- V ČR je implementována jako Zákon o kybernetické bezpečnosti
- Sankce až 10 milionů € nebo 2 % globálního obratu
Kdo musí splnit požadavky NIS2?
NIS2 se vztahuje na dva typy subjektů – klíčové subjekty (essential entities) a důležité subjekty (important entities). Kategorizace závisí na odvětví a velikosti firmy.
Odvětví pokrytá NIS2:
Klíčové subjekty
- Energetika
- Doprava (letecká, železniční)
- Bankovnictví a finanční trhy
- Zdravotnictví
- Vodní hospodářství
- Digitální infrastruktura
- Veřejná správa
- Vesmírný průmysl
Důležité subjekty
- Poštovní služby
- Výroba chemikálií
- Potraviny
- Digitální poskytovatelé (cloud, datacentra)
- Výzkum
- Online platformy (sociální sítě, e-shopy)
- Výrobci kritických produktů
Velikost firmy:
NIS2 se vztahuje na střední a velké podniky:
- 50+ zaměstnanců a roční obrat 10M+ €, nebo
- 250+ zaměstnanců nebo roční obrat 50M+ €
Klíčové požadavky NIS2
1. Řízení Rizik a Kybernetická Bezpečnost
- Analýza rizik – pravidelné hodnocení kybernetických hrozeb
- Incident response plán – jasný postup při bezpečnostním incidentu
- Kontinuita provozu – zajištění kontinuity služeb
- Bezpečnost od návrhu – bezpečnost jako součást vývoje
- Šifrování a autentizace – ochrana dat a identit
2. Správa Dodavatelského Řetězce
- Hodnocení kybernetické bezpečnosti dodavatelů a partnerů
- Smluvní zabezpečení požadavků na bezpečnost
- Monitorování bezpečnosti třetích stran
3. Řízení Přístupů a Oprávnění
- Vícefaktorová autentizace (MFA) pro všechny administrátory
- Princip minimálních oprávnění (least privilege)
- Pravidelný audit uživatelských účtů
- Automatické rušení přístupů při odchodu zaměstnanců
4. Vzdělávání Zaměstnanců
- Pravidelná školení o kybernetické bezpečnosti
- Phishing testy a awareness kampaně
- Jasné postupy pro hlášení bezpečnostních incidentů
5. Reportování Incidentů
- Early warning do 24 hodin – první oznámení incidentu
- Incident notification do 72 hodin – detailní popis incidentu
- Final report do 1 měsíce – kompletní analýza a závěry
Sankce za nedodržení NIS2
NIS2 přináší výrazně přísnější sankce než předchozí směrnice NIS:
Klíčové subjekty
10 milionů €
nebo 2 % globálního ročního obratu, podle toho, co je vyšší
Důležité subjekty
7 milionů €
nebo 1.4 % globálního ročního obratu, podle toho, co je vyšší
Kromě finančních sankcí hrozí osobní odpovědnost vedení – vedení firmy může být přímo odpovědné za nedodržení bezpečnostních požadavků.
Praktický Kontrolní Seznam pro NIS2 Compliance
Kontrolní seznam:
- Ověřit, zda firma spadá pod NIS2
- Určit kategorii (klíčový/důležitý subjekt)
- Identifikovat kritické služby a systémy
- Provést analýzu kybernetických rizik
- Vytvořit incident response plán
- Nastavit plán kontinuity provozu
- Implementovat MFA pro všechny administrátory
- Nastavit šifrování citlivých dat
- Zavést monitorování a logování přístupů
- Implementovat automatickou správu oprávnění
- Jmenovat odpovědnou osobu za kybernetickou bezpečnost
- Provést školení zaměstnanců
- Vytvořit interní směrnice a politiky
- Hodnotit kybernetickou bezpečnost dodavatelů
- Aktualizovat smlouvy s dodavateli
- Nastavit monitorování třetích stran
- Nastavit proces pro hlášení incidentů (24h/72h/1 měsíc)
- Připravit kontakty na národní CERT
- Vytvořit šablony pro reportování
Jak Optimaly pomáhá s NIS2 compliance
V Optimaly máme rozsáhlé zkušenosti s implementací bezpečnostních řešení pro enterprise klienty. Naše projekty jsou navrženy s ohledem na principy "security by design" – bezpečnost je součástí každého kroku vývoje.
Naše služby pro NIS2 compliance:
- Analýza compliance stavu – posouzení aktuálního stavu vůči NIS2
- Analýza mezer – identifikace mezer v bezpečnosti
- Implementace technických opatření – MFA, šifrování, monitorování
- Platformy pro řízení přístupů – automatizace oprávnění s auditními záznamy
- Incident response plány – příprava na bezpečnostní incidenty
- Integrace s Azure Security Center – centralizované monitorování
Časová osa implementace NIS2
| Termín | Milník |
|---|---|
| Leden 2023 | NIS2 směrnice vstoupila v platnost v EU |
| Říjen 2024 | Konečný termín pro transpozici do národních legislativ |
| 2025 | Aktivní vymáhání požadavků a sankce za nedodržení |
| Průběžně | Pravidelné audity a aktualizace compliance |
Závěr
NIS2 není jen regulatorní povinnost, ale příležitost posílit kybernetickou bezpečnost vaší firmy a chránit kritické služby před kybernetickými hrozbami. Sankce až 10 milionů € jsou významnou motivací, ale skutečný přínos je v ochraně vašeho byznysu a důvěry zákazníků.
Pokud vaše firma spadá pod NIS2, neodkládejte implementaci. Čím dříve začnete, tím méně stresující bude proces compliance a tím lépe budete připraveni na případné audity.