Co je to NIS2
NIS2 znamená směrnice EU Network and Information Security (Zabezpečení sítí a informací). Cílem je sjednotit a zvýšit standardy kybernetické bezpečnosti v klíčových sektorech. Důvodem pro zavedení NIS2 je rostoucí počet kybernetických incidentů a bezpečnostních hrozeb.
Důležité datum:
Tato povinnost platí od 1. listopadu 2025, díky novému zákonu o kybernetické bezpečnosti (nZKB).
Dohled zajišťuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Zákon se týká více než 6000 podniků v ČR.
Hlavní změnou je dopad na střední a velké podniky s více než 50 zaměstnanci nebo obratem nebo bilanční sumou přesahující 10 milionů EUR ve vybraných odvětvích.
Důležité je, že zákon určuje povinné lhůty a vysoké sankce za nedodržení.
Nehledejte v tom složitosti. My vás celým procesem provedeme.
Co řeší NIS2?
Povinnosti pro podniky se liší podle skupiny, do které patří. Jde zejména o oblasti:
Kybernetická bezpečnost
Bezpečnostní audit
Zapojení vedení
Řízení procesů
Řízení rizik
Zabezpečení HR
Řízení přístupů
Detekce událostí
Řešení incidentů
Bezpečnost komunikace
Aktivní bezpečnost
Šifrování
Koho se týká NIS2
Reguluje chování podniků s více než 50 zaměstnanci nebo obratem nebo bilanční sumou přesahující 10 milionů EUR ve vybraných odvětvích.
Subjekty ZÁSADNÍHO VÝZNAMU
Vyšší režim povinností, přísnější pravidla i sankce
Příklady:
- Energetika (elektřina, plyn)
- Doprava (letecká, železniční)
- Bankovnictví
- Zdravotnictví
- Digitální infrastruktura (DNS, TLD registry, cloudové služby)
Subjekty DŮLEŽITÉHO VÝZNAMU
Nižší režim povinností
Příklady:
- Poštovní a kurýrní služby
- Nakládání s odpady
- Potravinářství
- Výroba (např. chemických látek, počítačů, strojů)
- Digitální poskytovatelé (online tržiště, vyhledávače)
Co musíte udělat?
Vzhledem k nZKB (nový zákon o kybernetické bezpečnosti) je třeba zavést řadu povinných bezpečnostních opatření a procesů, které zvyšují odolnost vašeho podniku proti kybernetickým hrozbám.
1. Zaregistrovat se do registru
Šedesátidenní lhůta od 1.11.2025 nebo od okamžiku, kdy dojde ke splnění podmínek
2. Řízení kybernetických rizik
Opatření k řízení rizik, včetně analýzy rizik, plán opatření a obnovy po incidentu. Pravidelná školení zaměstnanců. Zajištění bezpečnosti dodavatelského řetězce.
3. Řízení kybernetických rizik
Vrcholový management je přímo odpovědný za dohled nad implementací bezpečnostních opatření. Jmenování manažera kybernetické bezpečnosti a osoby pro hlášení incidentů.
4. Řízení kybernetických rizik
Vícefaktorové ověřování, šifrování, řízení přístupu k systémům a pravidelná školení zaměstnanců.
5. Řízení kybernetických rizik
Hlášení závažných kybernetických incidentů NÚKIBu (24 hodin od zjištění).
Termíny NIS2
60 dní
Na ohlášení regulované služby přes portál NÚKIB
30 dní
Od registrace k nahlášení kontaktních údajů
1 rok
Přechodná lhůta k implementaci povinností
24 hodin
Přechodná lhůta k implementaci povinností
Sankce při nedodržení
NIS2 řeší kritickou infrastrukturu, proto zde hrozí velké pokuty při nedodržení nařízení:
Subjekty ZÁSADNÍHO VÝZNAMU
Vyšší režim
250 mil. Kč
nebo 2 % ročního obratu
(podle toho, co je vyšší)
Subjekty Subjekty DŮLEŽITÉHO VÝZNAMU
Nižší režim
175 mil. Kč
nebo 1,4 % ročního obratu
(podle toho, co je vyšší)