Kontrola souladu s NIS 2

1. Kontrola míry dopadu

• Vlastní hodnocení, zda se na společnost vztahuje NIS-2.
• Ohlášení regulované služby je první povinností dle § 6 zákona 264/2025 Sb. o kybernetické bezpečnosti. Provádí se přes formulář dostupný na Portálu NÚKIB.

2. Zavedení systému řízení rizik

• Zavedení dokumentovaných procesů řízení rizik a bezpečnosti.
• Provádění pravidelné analýzy rizik a hodnocení zranitelnosti.

3. Zavedení bezpečnostních opatření

• Technická a organizační opatření pro zajištění důvěrnosti, integrity a dostupnosti
• Zavedení zálohování, havarijních plánů, reakcí na incidenty a monitorování

4. Zajištění ohlašovacích povinností

• Zavedení procesů pro hlášení incidentů do 24 hodin
• Zavedení následných hlášení a struktury hlášení

5. Prověření dodavatelských řetězců

• Prověření bezpečnostních požadavků v rámci celého dodavatelského řetězce
• Přezkoumání a úprava smluv a auditů s dodavateli

6. Dokumentace a podávání zpráv

• Průběžná dokumentace opatření, procesů, rizik a incidentů
• Včasná příprava zpráv pro orgán odpovědný za kybernetickou bezpečnost

7. Využívání školení, dalšího vzdělávání a norem ISO

• Kvalifikace jako Manažer informační bezpečnosti nebo ISO 27001 Lead Implementer/Auditor podporují odborné znalosti.
• Mnoho požadavků NIS2, jako jsou bezpečnostní politika, pohotovostní plány a řízení dodavatelského řetězce, je obsaženo v ISO 27001 a srovnatelných normách.
• Stávající struktury řízení a řízení rizik lze přímo přenést do NIS2; procesy, jako je řízení rizik, audit a compliance, jsou již částečně pokryty.