Co byste měli znát o NIS2

Po doručení rozhodnutí o registraci bude mít poskytovatel regulované služby roční lhůtu na zavedení bezpečnostních opatření. Zejména v organizacích, které doteď kybernetickou bezpečnost vůbec neřešily, je vhodné začít tuto problematiku postupně řešit v následujících měsících. V případě bezpečnostních opatření v režimu vyšších povinností je nutné orientovat se na tzv. plán zvládání rizik a ideálně mít tento plán v dané lhůtě zpracovaný.

Pracovníci odpovědní za bezpečnost informací, manažeři IT a odpovědní pracovníci ve firmách musí implementovat tento komplexní právní rámec, který masivně rozšiřuje požadavky na kybernetickou bezpečnost, řízení rizik a oznamovací povinnosti. Ti, kdo s implementací otálejí, riskují milionové pokuty. CIS Certification GmbH nabízí podporu osobám odpovědným za implementaci, a to od seznamu kontrolních bodů NIS2 až po individuální školení.

Široký rozsah – týká se mnoha společností

Oproti předchozímu nařízení o bezpečnosti sítí a informací se nový zákon vztahuje na podstatně více společností. Kromě tradiční kritické infrastruktury, jako je energetika, doprava nebo zdravotnictví, se nařízení nyní vztahuje také na obchod, výrobu, zásobování potravinami, poskytovatele IT služeb a další hospodářsky významné oblasti. Kromě společností, které se nový zákon týká přímo, bude také poměrně velké množství společností dotčeno nepřímo prostřednictvím dodavatelských řetězců nebo vztahů v oblasti služeb.

Klíčový rozdíl oproti minulosti: odpovědnost za vlastní klasifikaci nese samotný podnik. Každá právnická osoba musí zkontrolovat, zda spadá pod NIS2, a ve lhůtě se zaregistrovat u příslušného orgánu.

Povinnosti v kostce

Základní požadavky lze rozdělit do čtyř oblastí:

1. 1. Management rizik: Společnosti musí zavést dokumentovaný, průběžně sledovaný systém řízení rizik. Povinná jsou technická, organizační a provozní bezpečnostní opatření, aby byla zajištěna důvěrnost, integrita a dostupnost IT systémů.
   2. Povinnosti hlášení: Kybernetické incidenty, které by mohly mít významný dopad, musí být hlášeny do 24 hodin. Povinná jsou také doplňující následná hlášení. 
   3. Registrace a podávání zpráv:
      • Ohlášení regulované služby je první povinností dle  § 6 zákona 264/2025 Sb. o kybernetické bezpečnosti. Provádí se přes formulář dostupný na Portálu NÚKIB.
      • Hlášení údajů je povinnost dle § 11 zákona 264/2025 Sb. o kybernetické bezpečnosti. Lhůta pro splnění povinnosti je 30 dnů od doručení rozhodnutí o registraci.
   4. Bezpečnost dodavatelského řetězce: Společnosti musí zajistit své řízení rizik v celém dodavatelském řetězci a prokázat, že bezpečnostní požadavky splňují i dodavatelé.

Dohled a sankce

Za nesplnění jednotlivých zákonných povinností hrozí sankce řadově od desítek tisíc korun až po maximální sankci pro poskytovatele v režimu vyšší povinností ve výši 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu.

Kromě toho může dojít na základě kontroly k uložení tzv. nápravných opatření, zejména ve vztahu k povinnosti zavádění bezpečnostních opatření.  Pokud by povinná osoba soustavně odmítala provést nápravné opatření, může dojít k uložení trestu pozastavení platnosti certifikace, případně k dočasnému zákazu výkonu funkce člena statutárního orgánu.

Závěr

Ti, kdo požadavky včas zavedou, budou těžit z jasných struktur řízení rizik, lepší ochrany před kybernetickými útoky a právně bezpečného postavení. Zpoždění může být nákladné – jak finančně, tak z hlediska pověsti a provozu. Protože čas běží, platí pro pracovníky odpovědné za bezpečnost informací a osoby s rozhodovací pravomocí následující:

• určete si priority
• zkontrolujte procesy
• zaveďte opatření