Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Kompletní průvodce implementací NIS2 v České republice: Jak zvládnout novou kyberbezpečnostní legislativu

– Vytvořil/a

Olga Pincová

v kategorii

Hned na úvod si ujasněme jednu klíčovou věc: NIS2 je závazná pro státy, nikoli pro jednotlivé organizace. Nicméně ani tak si nyní nemůžete oddychnout. Zákon, který NIS2 transponuje do české legislativy, je již (červen 2025) u prezidenta.

Implementace směrnice NIS2 prostřednictvím Zákona o kybernetické bezpečnosti v České republice představuje zásadní změnu pro tisíce českých společností.

Tyto organizace se musí připravit na nové povinnosti v oblasti kyberbezpečnosti. Pokud prezident zákon podepíše, lze očekávat účinnost zákona od 1. 11. 2025.

Po nabytí účinnosti mají regulované organizace 60 dní na samoidentifikaci. Pojďme na to ale postupně:

Co je NIS2 směrnice a proč se (ne)týká vaší společnosti

NIS2 (Network and Information Security 2) je evropská směrnice, která výrazně rozšiřuje počet organizací povinných dodržovat přísné standardy kyberbezpečnosti. Zatímco původní NIS směrnice se týkala pouze kritické infrastruktury, NIS2 zahrnuje mnohem širší spektrum sektorů.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil nový zákon o kyberbezpečnosti, který vstoupí v účinnost pravděpodobně v druhé polovině roku 2025. Tento zákon transponuje NIS2 směrnici do českého právního řádu a přináší významné změny pro podnikatelský sektor.

Pokud si myslíte, že je to narychlo, vyvedeme vás z omylu – členské státy měly povinnost zavést požadavky směrnice do místní legislativy do října 2024.

Kdo musí implementovat NIS2 – Kdo je regulovaný subjekt v České republice

Už jsme si vysvětlili v úvodu – NIS2 musí implementovat ČR. Konečné dopady jsou ale na české firmy. Abyste se stali regulovaným subjektem, musíte splnit 3 podmínky:

  1. Působíte v regulovaném odvětví
    • Veřejná správa
    • Vodní hospodářství
    • Poštovní služby
    • Vesmírný průmysl
    • Zdravotnictví
    • Energetika – vodík
    • Energetika – ropa, ropné produkty
    • Energetika – teplárenství
    • Energetika – elektřina
    • Energetika – zemní plyn
    • Potravinářský průmysl
    • Věda, výzkum a vzdělávání
    • Chemický průmysl
    • Výrobní průmysl
    • Digitální infrastruktura a služby
    • Drážní doprava
    • Odpadové hospodářství
    • Vodní doprava
    • Finanční trh
    • Obranný průmysl
    • Letecká doprava
    • Silniční doprava
  2. Poskytujete regulovanou službu – tedy poskytuje službu uvedenou ve vyhlášce, nestačí v dané odvětví jen působit
  3. Jste dostatečně významní – tedy jste dle doporučení Komise buď velký, nebo střední podnik
    • Velký podnik = máte více než 250 zaměstnanců + a roční obrat nad 50 milionů EUR NEBO bilanční suma roční rozvahy více než 43 milionů EUR (u finančních ukazatelů se bere v potaz ten nižší)
    • Střední podnik = máte 50 – 250 zaměstnanců + a roční obrat mezi 10 a 50 miliony EUR NEBO bilanční suma roční rozvahy mezi 10 a 43 miliony EUR (u finančních ukazatelů se bere v potaz ten nižší))
    • Ale pozor, toto pravidlo má své výjimky. Pokud tedy splňujete pouze jeden parametr, věnujte dostatek času nastudování metodiky určování velikosti podniku!

Klíčové povinnosti podle nového zákona o kyberbezpečnosti

Pro plnění požadavků zákona pro vás bude klíčové, zda spadáte do režimu vyšších, nebo nižších povinností. Počítejte ale minimálně s:

  • Samoidentifikace
  • Nahlášení povinných údajů (po obdržení rozhodnutí o registraci regulované služby od NÚKIB)
  • Stanovení rozsahu řízení kybernetické bezpečnosti
  • Provádění bezpečnostních opatření
  • Hlášení kybernetických bezpečnostních incidentů
  • Informování zákazníků o incidentech a hrozbách (V mnoha případech to bude na vašem uvážení, ale NÚKIB vám může informování uložit jako povinnost, nebo naopak informování zakázat.)
  • Reagovat na výstrahy NÚKIBu
  • Zajišťovat bezpečnost dodavatelských řetězců
  • A pokud poskytujete strategicky významnou službu, tak zajistit její poskytování v nezbytném rozsahu přímo z ČR

Tento výčet je hrubě orientační a nemusí na vás dopadnout vše. Je ale dobré být v obraze.

Osobní odpovědnost vedení

Nový zákon klade důraz na osobní odpovědnost managementu za řízení kybernetických rizik. Vedení společnosti musí:

  • Schválit bezpečnostní politiky
  • Zajistit školení zaměstnanců
  • Dohlížet na implementaci bezpečnostních opatření
  • Nést odpovědnost za dodržování předpisů

A co stane v případě porušení povinností? Třeba i dočasný zákaz výkonu funkce člena statutárního orgánu (nejméně na 6 měsíců). Není to tedy jen o pokutách. Donucovacích prostředků je více.

Praktické kroky pro implementaci NIS2 (vy víte, že ZoKB)

Krok 1: Posouzení současného stavu

Zjistěte, jak na tom jste a co všechno už máte hotovo. Velmi pravděpodobně jste toho už oblasti kybernetické bezpečnosti provedli dost, jen je potřeba to zmapovat, uspořádat a identifikovat, co schází.

Krok 2: Vytvoření implementačního týmu

Pojměte nastavení souladu se zákonem jako projekt, který má někdo na starosti a je za něj zodpovědný. A také má k ruce tým, který má dostatečné znalosti a schopnosti.

Vrcholové vedení nesmí zůstat stranou. Zaprvé nese osobní zodpovědnost, zadruhé poskytuje zdroje. Bez jejich zapojení to půjde těžko.

Krok 3: Tvorba bezpečnostních politik

Nejspíš budete muset vytvořit nebo revidovat dokumenty a metodiky.

Krok 4: Zmapujte aktiva, hrozby, zranitelnosti a proveďte analýzu rizik

Váš byznys = váš poklad. Když víte, kterými cestami je možné váš poklad ohrozit, víte, jak ho chránit. Někdo může potřebovat vodní příkop, někdo elektrický ohradník.

Z analýzy rizik se dozvíte, kde je největší riziko. Na vás pak je, co s ním provedete. Každopádně vaše rozhodnutí bude podložené daty, ne pouze pocity.

Krok 5: Provádějte potřebná opatření

Implementujte potřebná opatření. Mohou být technická i organizační. Sledujte je a testujte, že fungují tak, jak mají.

Krok 6: Školení a osvěta

Zajistěte pravidelné školení zaměstnanců. Nejslabším článkem je obvykle člověk.

Doporučení pro úspěšnou implementaci

Začněte co nejdříve

Čas rychle ubíhá. Organizace, které začnou s přípravami nyní, budou mít lepší šanci na úspěšnou implementaci. (A pokud na to nechcete být sami, připojte se do CyberEdu Letní školy, kde budeme postupovat krok za krokem pod vedením specialistů z Ernst&Young.)

Investujte do lidí

Kybernetická bezpečnost není jen o technologiích, ale především o lidech. Investice do vzdělávání a školení zaměstnanců se dlouhodobě vyplatí.

Využijte externí pomoc

Pokud nemáte dostatečné interní kapacity, neváhejte využít služby specializovaných konzultantů nebo bezpečnostních firem.

Sledujte aktualizace

NÚKIB pravidelně publikuje aktualizace a doporučení. Sledujte oficiální kanály a účastněte se odborných seminářů.

Závěr

Implementace NIS2 v České republice představuje významnou výzvu, ale také příležitost pro posílení kybernetické bezpečnosti organizací. Klíčem k úspěchu je včasné zahájení příprav, systematický přístup a investice do lidských zdrojů. Organizace, které se na nové povinnosti připraví důkladně, nejen splní zákonné požadavky, ale také posílí svou odolnost vůči kybernetickým hrozbám a získají konkurenční výhodu na trhu.

PS

MoyaKybeon je vyvinutá přímo na to, aby vám s analýzami rizik pomohla (ano, opravdu s MoyaKybeon zvládnete připravit analýzu rizik, která „k něčemu bude“). Vyzkoušet si ji můžete buď v rámci CyberEdu Letní školy, nebo po své ose – 30 dní si můžete s aplikací hrát zcela zdarma, stačí se zaregistrovat.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.