NIS2 – co přináší nová evropská směrnice o kybernetické bezpečnosti?

Co je NIS2?

NIS2 (Network and Information Security Directive 2) je směrnice Evropské unie č. 2022/2555, která nahrazuje původní směrnici NIS z roku 2016. Cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti napříč EU a zajistit, že kritické organizace ve všech členských státech splňují závazné bezpečnostní požadavky.

V České republice je NIS2 implementována prostřednictvím zákona č. 181/2014 Sb. o kybernetické bezpečnosti a prováděcích vyhlášek vydávaných NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Povinnosti vyplývající z NIS2 jsou pro dotčené organizace účinné od 17. října 2024.

Proč NIS2 vznikla?

Původní směrnice NIS z roku 2016 se ukázala jako nedostatečná z několika důvodů:

• Pokrývala příliš úzký okruh subjektů a odvětví
• Implementace se v členských státech výrazně lišila, což vedlo k nerovnoměrné úrovni ochrany
• Výrazně vzrostl počet a sofistikovanost kybernetických útoků – zejména ransomware, útoky na dodavatelský řetězec a hybridní hrozby
• Digitální transformace rozšířila útočnou plochu prakticky ve všech odvětvích

NIS2 tyto nedostatky adresuje rozšířením rozsahu působnosti, harmonizací požadavků a zavedením přísnějších sankcí.

Kdo spadá pod NIS2?

NIS2 zavádí dvojí kategorii subjektů:

Základní subjekty (Essential Entities)

Jde o organizace v odvětvích s nejvyšší mírou kritičnosti:

• Energetika – elektřina, plyn, ropa, vodík, dálkové vytápění
• Doprava – letecká, železniční, vodní, silniční
• Bankovnictví – úvěrové instituce
• Infrastruktura finančního trhu – obchodní místa, ústřední protistrany
• Zdravotnictví – nemocnice, laboratoře, výzkum a vývoj léčiv
• Pitná voda a odpadní vody
• Digitální infrastruktura – poskytovatelé DNS, IXP, cloudových služeb, datových center, CDN, TSP
• Správa ICT služeb B2B – poskytovatelé řízených bezpečnostních služeb
• Vesmírný průmysl
• Veřejná správa – ústřední orgány státní správy

Důležité subjekty (Important Entities)

Rozsah je širší a zahrnuje také:

• Poštovní a kurýrní služby
• Nakládání s odpady
• Výroba, zpracování a distribuce potravin
• Výroba – zdravotnické prostředky, počítače, elektronika, strojní zařízení, motorová vozidla, chemické látky
• Digitální poskytovatelé – online tržiště, vyhledávače, platformy sociálních sítí
• Výzkumné organizace

Kritéria velikosti

Pro zařazení do NIS2 se obecně uplatňují tato kritéria:

• Střední podniky – 50 a více zaměstnanců NEBO roční obrat nad 10 mil. EUR
• Velké podniky – 250 a více zaměstnanců NEBO roční obrat nad 50 mil. EUR

Některé subjekty jsou povinné bez ohledu na velikost – například poskytovatelé kritické infrastruktury, DNSSP, TLD registry nebo subjekty, jejichž výpadek by měl závažné dopady.

V ČR se odhaduje, že pod NIS2 spadá přibližně 6 000 organizací – ve srovnání s původní NIS, která pokrývala jen několik set subjektů.

Jaké jsou povinnosti?

NIS2 ukládá povinným subjektům sadu bezpečnostních opatření, která lze rozdělit do několika oblastí:

1. Řízení kybernetické bezpečnosti

• Schválení a zavedení politiky bezpečnosti informací
• Přidělení odpovědností v oblasti kybernetické bezpečnosti
• Pravidelná školení managementu a zaměstnanců
• Hodnocení rizik a přiměřená opatření k jejich mitigaci

2. Technická a organizační opatření

• Řízení aktiv – inventář HW, SW a datových aktiv
• Řízení přístupu – princip nejmenšího oprávnění, vícefaktorové ověřování (MFA)
• Ochrana sítí – segmentace, firewall, detekce anomálií
• Šifrování – šifrování dat v klidu i při přenosu
• Bezpečnost dodavatelského řetězce – hodnocení bezpečnostních schopností dodavatelů
• Správa zranitelností – pravidelné záplaty, penetrační testy
• Zálohy a obnova – testované zálohy, plán obnovy po havárii (DR)
• Kryptografie – bezpečné algoritmy a správa klíčů

3. Hlášení incidentů

Subjekty jsou povinny hlásit závažné kybernetické incidenty NÚKIB ve stanovených lhůtách:

• Do 24 hodin – první hlášení (early warning) o incidentu s výrazným dopadem
• Do 72 hodin – podrobnější hlášení s počáteční analýzou
• Do 1 měsíce – závěrečná zpráva s příčinami, dopadem a přijatými opatřeními

4. Řízení dodavatelského řetězce

Organizace musejí hodnotit kybernetická rizika u svých dodavatelů a smluvně zajistit, aby i dodavatelé uplatňovali přiměřená bezpečnostní opatření. Kybernetické útoky přes dodavatelský řetězec (supply chain attacks) jsou v posledních letech jednou z nejrychleji rostoucích hrozeb.

5. Registrace u NÚKIB

Subjekty spadající pod NIS2 mají povinnost se zaregistrovat u NÚKIB prostřednictvím online portálu a poskytovat požadované informace o svém bezpečnostním stavu.

Odpovědnost managementu

Jednou z klíčových novinek NIS2 je přímá odpovědnost nejvyššího vedení organizace za kybernetickou bezpečnost. Management musí:

• Schvalovat bezpečnostní politiky a opatření
• Absolvovat školení kybernetické bezpečnosti
• Aktivně dohlížet na plnění povinností

V případě závažného porušení povinností může NÚKIB uložit dočasný zákaz výkonu řídících funkcí konkrétní osobě. Kybernetická bezpečnost přestává být pouze „IT záležitostí" – stává se agendou boardu.

Sankce za porušení povinností

NIS2 zavádí výrazně přísnější sankční rámec než předchůdce:

• Základní subjekty – pokuta až 10 mil. EUR nebo 2 % celosvětového ročního obratu (platí vyšší hodnota)
• Důležité subjekty – pokuta až 7 mil. EUR nebo 1,4 % celosvětového ročního obratu

V přepočtu na české koruny se maximální sankce pohybuje v řádu stovek milionů korun. NÚKIB může vedle pokut uložit také:

• Závazný pokyn k nápravě
• Zveřejnění informací o porušení (reputační riziko)
• Dočasný zákaz výkonu funkce pro odpovědné vedoucí pracovníky

Jak na implementaci NIS2 – praktický postup

Implementace NIS2 je projekt, který pro větší organizace může trvat 12–18 měsíců. Doporučený postup:

1. Zjistěte, zda se vás NIS2 týká – ověřte odvětví, velikost a kritičnost vaší organizace; v případě pochybností konzultujte s NÚKIB nebo právním poradcem
2. GAP analýza – porovnejte současný stav kybernetické bezpečnosti s požadavky NIS2; identifikujte mezery
3. Registrace u NÚKIB – pokud jste povinným subjektem, zaregistrujte se
4. Jmenujte odpovědné osoby – manažer kybernetické bezpečnosti (CISO nebo ekvivalent)
5. Zpracujte bezpečnostní politiku – základní dokument popisující pravidla a odpovědnosti
6. Hodnocení rizik – identifikujte aktiva, hrozby a zranitelnosti; ohodnoťte rizika
7. Implementujte technická opatření – dle výsledků GAP analýzy a hodnocení rizik
8. Nastavte procesy hlášení incidentů – kdo hlásí, co hlásí, v jakých lhůtách a jakým způsobem
9. Bezpečnost dodavatelského řetězce – aktualizujte smlouvy s dodavateli
10. Pravidelné přezkoumání a audit – NIS2 není jednorázový projekt, ale průběžný proces

Vztah NIS2 k dalším regulacím

NIS2 není jediná regulace v oblasti kybernetické bezpečnosti a digitální odolnosti. Organizace musejí sledovat také:

• DORA (Digital Operational Resilience Act) – pro finanční sektor, s platností od ledna 2025
• GDPR – ochrana osobních údajů, překryv s bezpečnostními požadavky NIS2
• CER Directive – odolnost kritické infrastruktury (fyzická bezpečnost)
• EU AI Act – pro organizace využívající AI systémy ve vysokorizikových aplikacích
• ISO/IEC 27001 – mezinárodní norma pro systémy řízení bezpečnosti informací, vhodný rámec pro implementaci NIS2

Certifikace ISO 27001 sice nesplňuje povinnosti NIS2 automaticky, ale výrazně usnadňuje implementaci a může být argumentem při prokazování shody.

Co NIS2 znamená pro IT dodavatele a integrátory?

Organizace spadající pod NIS2 budou po svých IT dodavatelích požadovat:

• Doklady o vlastní úrovni kybernetické bezpečnosti
• Smluvní závazky k hlášení incidentů ovlivňujících zákazníka
• Pravidelné bezpečnostní audity a penetrační testy
• Šifrování dat a bezpečnou komunikaci
• Jasné procesy při ukončení spolupráce (bezpečná likvidace dat)

Pro IT firmy a integrátory, kteří chtějí být důvěryhodným partnerem regulovaných organizací, se kybernetická bezpečnost stává konkurenční výhodou.

Závěr

NIS2 představuje zásadní posun v přístupu EU ke kybernetické bezpečnosti. Nejde o byrokratickou zátěž, ale o reakci na reálnou a rostoucí hrozbu – kybernetické útoky způsobují globálně škody v řádu bilionů dolarů ročně a jejich počet stále roste.

Organizace, které přistoupí k NIS2 jako k příležitosti zvýšit svou odolnost a důvěryhodnost, získají dlouhodobou výhodu. Naopak ignorování povinností přináší nejen riziko sankcí, ale především reputační a obchodní rizika v případě incidentu.

Pokud si nejste jisti, zda vaše organizace spadá pod NIS2, nebo potřebujete pomoc s GAP analýzou a implementací bezpečnostních opatření, neváhejte nás kontaktovat. Rádi vám pomůžeme zorientovat se v požadavcích a nastavit bezpečnost na odpovídající úroveň.