Směrnice NIS 2 a nová pravidla kybernetické bezpečnosti: Co je třeba vědět?

KATEGORIE
Zákony
|
AUTOR
Ing. Denis Barborík
 
V digitální éře, kde kybernetické útoky ohrožují stabilitu celých sektorů, se ochrana sítí a informačních systémů stává prioritou číslo jedna. Evropská unie reaguje na tuto eskalující hrozbu zpřísněním legislativy. 

 

NIS 2 (Network and Information Security Directive 2) je směrnice Evropské unie, která představuje revizi původní směrnice NIS z roku 2016. Jejím hlavním cílem je zvýšit společnou úroveň kybernetické bezpečnosti v celé EU prostřednictvím přísnějších požadavků na řízení rizik a hlášení incidentů, přičemž rozšiřuje působnost na širší spektrum kritických a důležitých.
 
Pokud vaše organizace poskytuje klíčové služby nebo má významný ekonomický dopad, tato směrnice se vás týká. Připravte se na implementaci NIS 2 a vyhněte se likvidačním sankcím.

 

Co přesně je směrnice NIS2? A jaký je její hlavní cíl?

Směrnice NIS 2 (Směrnice Evropského parlamentu a Rady (EU) 2022/2555) je klíčovým legislativním aktem EU, který posiluje opatření pro zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii.

Tento nový právní rámec stanoví jednotný základ a přináší zásadní změny oproti svému předchůdci. Kybernetická odolnost EU je její prioritou, a proto zavádí přísnější pravidla pro řízení kybernetických rizik a reakci na bezpečnostní incidenty.

 

Proč byla směrnice NIS 2 přijata?

Původní směrnice NIS 1 měla nedostatky v oblasti působnosti, rozdílné transpozici v členských státech a nebyla dostatečně přísná vůči rostoucím hrozbám, jako jsou sofistikované ransomware útoky. NIS 2 vznikla, aby tuto mezeru vyplnila, sjednotila přístup v EU a zvýšila odpovědnost vrcholového managementu za firemní kybernetickou bezpečnost.

 

Rozšířený rozsah působnosti: Kritické a důležité subjekty

Jedna z nejzásadnějších změn, kterou směrnice NIS 2 podrobně definuje, je rozšíření, koho se týká směrnice NIS 2. Už to nejsou jen provozovatelé základních služeb, ale také tisíce středních a velkých podniků a orgánů veřejné správy.

 

NIS 2 dělí subjekty do dvou kategorií, pro které platí různé úrovně dohledu a pokut:

 

1. Kritické subjekty (Klíčové entity)

Tyto organizace mají největší význam pro chod společnosti a ekonomiku:

  • Sektory: Energetika, doprava, bankovnictví, infrastruktura finančního trhu, zdravotnictví, dodávka pitné a odpadní vody, digitální infrastruktura (např. datová centra, cloudové služby).
  • Speciální případy: Orgány veřejné správy jsou automaticky zařazeny, bez ohledu na jejich velikost.

 

2. Důležité subjekty (Důležité entity) 

Jedná se o subjekty, jejichž narušení by mohlo způsobit značnou škodu, ale není kritické pro celou infrastrukturu:

  • Sektory: Poštovní a kurýrní služby, odpadové hospodářství, některá výrobní odvětví, chemický a potravinářský průmysl, výzkum.

Kritéria pro střední/velké podniky: 

Obecně se NIS 2 vztahuje na subjekty, které splňují alespoň jednu z podmínek:

  • Mají minimálně 50 zaměstnanců
  • Dosahují ročního obratu nebo rozvahy minimálně 10 milionů EUR

 

Transpozice NIS2 do české legislativy a termíny účinnosti

Směrnice EU nemůže být uplatňována přímo. Je nezbytné provést NIS 2 do národního práva.
 
V České republice probíhá implementace směrnice NIS 2 do české legislativy prostřednictvím nového Zákona č. 264/2025 Sb., o kybernetické bezpečnosti, který nahrazuje dosavadní zákon č. 181/2014 Sb.
 

Krok

Datum EU / ČR

Poznámka

Termín pro transpozici 

17. říjen 2024

Do tohoto data měly členské státy provést směrnici do svého práva.

Účinnost v České republice

1. listopad 2025

 Datum, kdy nabývá účinnosti nový zákon o kybernetické bezpečnosti (Zákon č. 264/2025 Sb.), který implementuje směrnici NIS 2 do české legislativy.

Dohled

Od data účinnosti

 Dohled nad plněním povinností vykonává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
 
Co hrozí při nedodržení NIS 2?
Nová legislativa přináší drasticky vyšší pokuty, což je hlavní důvod, proč by se měly firmy začít připravovat na NIS 2 již nyní.
 

Klíčové povinnosti vyplývající z NIS2: Řízení rizik a hlášení incidentů

Pokud jste identifikovali svou firmu jako kritický nebo důležitý subjekt, čeká vás sada povinností, které musíte implementovat. Tyto povinnosti firem zahrnují technická, organizační a manažerská opatření.

 

1. Řízení kybernetických rizik 

Subjekty musí přijmout vhodná technická a organizační opatření k řízení rizik, která hrozí bezpečnosti sítí a informačních systémů.

  • Analýza rizik: Pravidelné hodnocení hrozeb, zranitelností a dopadů na informační aktiva
  • Kontinuita podnikání (Dizaster recovery plan): Zavedení plánů obnovy po havárii (DRP plán) a opatření pro krizové řízení.
  • Bezpečnost dodavatelského řetězce: Povinnost prověřovat kybernetickou bezpečnost svých dodavatelů, zejména těch kritických.
  • Základní opatření: Multifaktorová autentifikace (MFA), pravidelné penetrační testy a šifrování dat.
  • Odpovědnost vedení: Vrcholový management musí schvalovat, dohlížet a procházet pravidelným vzděláváním v oblasti kybernetické bezpečnosti.

 

2. Hlášení bezpečnostních incidentů 

Jedna z největších změn. Směrnice zavádí jasné a krátké lhůty pro hlášení bezpečnostních incidentů.

Včasné varování (Early Warning): Do 24 hodin od prvního poznání incidentu musíte informovat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

  • Oznámení incidentu: Do 72 hodin předložit podrobnější zprávu.
  • Závěrečná zpráva: Do jednoho měsíce od oznámení incidentu.

 

NIS 2 vs. původní směrnice NIS: Hlavní rozdíly a přísnější sankce

Záměrem NIS2 bylo poučit se z nedostatků předchozí legislativy. Klíčové změny jsou:

Parametr

NIS 1 (2016)

NIS 2 (2022)

Rozsah působnosti

Úzký (7 sektorů), dobrovolná identifikace

Široký (18 sektorů), povinná samoidentifikace podle velikosti/sektoru. 

Bezpečnostní požadavky

Vágní a rozdílně implementované

Detailní a sladěné (např. řízení rizik dodavatelského řetězce).

Hlášení incidentů

Jen závažné, delší lhůty

Přísné lhůty (24/72 hodín) a závazný formát.

Odpovědnost

Slabá odpovědnost vedení

Přímá odpovědnost vrcholového managementu.

Sankce

Různé, často nízké

Extrémnéí vysoké a likvidační

 

Přísné sankce: 

  • Kritické subjekty: Až 10 milionů EUR nebo 2 % celosvětového ročního obratu (podle toho, co je výše).
  • Důležité subjekty: Až 7 milionů EUR nebo 1,4 % celosvětového ročního obratu (podle toho, co je výše).

 

Praktické kroky: Jak se definitvně připravit na změny

Příprava na NIS 2 není jen o instalaci nového softwaru, ale o změně firemní kultury a procesů. Základní kroky, jak se na NIS 2 připravit:

  1. Samoidentifikace: Zjistěte, zda se na vás NIS 2 vztahuje (kategorie + kritéria velikosti).
  2. Inventura IT aktiv: Vytvořte si katalog informačních aktiv
  3. Analýza rizik: Proveďte hloubkovou NIS 2 analýzu rizik s cílem identifikovat klíčové zranitelnosti.
  4. Implementace opatření:
    1. Vytvořte/aktualizujte DRP a Business Continuity plán.
    2. Posilněte bezpečnost dodavatelského řetězce.
    3. Zaveďte manažera kybernetické bezpečnosti NIS 2 (může být i externí).
    4. Školení a odpovědnost: Zajistěte pravidelné školení pro zaměstnance a management. Odpovědnost vedení musí být formálně zakotvena v interních předpisech.

V mnohém jsou požadavky NIS 2 podobné ISO 27001, takže pokud již máte zavedený systém managementu informační bezpečnosti, jste ve výhodě.

 

Často kladené otázky (FAQ) o NIS 2

Které subjekty a sektory jsou podle NIS 2 považovány za kritické a důležité?

NIS 2 definuje subjekty v kategoriích 'kritické' (např. energetika, doprava, bankovnictví, zdravotnictví, digitální infrastruktura) a 'důležité' (např. poštovní služby, odpadové hospodářství, výroba, potravinářství), přičemž pro většinu platí i velikostní kritérium (min. 50 zaměstnanců a ročně). Avšak subjekty kritického významu (např. ústřední orgány státní správy) spadají do regulace bez ohledu na jejich velikost.

 

Jaký je termín pro splnění požadavků směrnice NIS 2 v České republice?

Termín pro transpozici směrnice do národního práva členských států uplynul 17. října 2024. Účinnost nového zákona o kybernetické bezpečnosti, který transponuje směrnici NIS 2 v České republice, je stanovena na 1. listopadu 2025.

 

Jaké sankce hrozí při nedodržení NIS 2?

Směrnice NIS 2 zavádí přísnější sankce. V případě kritických subjektů (klíčové entity) mohou pokuty dosáhnout až 10 milionů EUR nebo 2 % z celkového celosvětového ročního obratu (podle toho, co je výše). Pro důležité subjekty mohou pokuty dosáhnout až 7 milionů EUR nebo 1,4 % z celkového celosvětového ročního obratu.

 

Jaká je zodpovědnost vrcholového managementu podle NIS 2?

NIS 2 klade důraz na zodpovědnost vrcholového managementu. Členové řídícího orgánu (představenstvo, jednatelé) jsou povinni schvalovat opatření k řízení kybernetických rizik a dohlížet na jejich provádění a dodržování. V případě hrubé nedbalosti nebo úmyslného pochybení mohou čelit i osobní odpovědnosti.

 

Jaký je rozdíl mezi NIS 1 a NIS 2?

NIS 2 rozšiřuje působnost (více sektorů a subjektů), zpřísňuje bezpečnostní požadavky (např. řízení rizik dodavatelského řetězce), zkracuje lhůty pro hlášení incidentů, zavádí silnější nástroje dohledu pro příslušné orgány a výrazně zvyšuje maximální výši sankcí.

 

Kdo je zodpovědný za dodržování NIS 2 ve firmě?

Za dodržování a implementaci NIS 2 je primárně zodpovědný vrcholový management a řídící orgán společnosti. Na exekutivní úrovni je to často manažer kybernetické bezpečnosti.

 

Závěr a další kroky

Směrnice NIS 2 není jen další byrokratická překážka. Je to důležitý krok ke zvýšení Kybernetické odolnosti EU a nevyhnutelná reakce na rostoucí hrozby. Pro vaši firmu představuje příležitost nejen vyhnout se sankcím, ale také zvýšit důvěryhodnost u zákazníků a partnerů.

 

V případě zájmu o audit KB, manažera KB nebo konzultací k zákonu o kybernetické bezpečnosti nás neváhejte kontaktovat.

 

Zdroje:

 

Doporučená školení:

Název školení Délka školení Volné termíny Cena
2 dny
24.11.2025 + 4 dostupné termíny
9 900,00 CZK
11 979,00 CZK s DPH
 Více o školení
1 den
24.11.2025 + 4 dostupné termíny
7 500,00 CZK
9 075,00 CZK s DPH
 Více o školení
2 dny
11.12.2025 + 3 dostupné termíny
9 900,00 CZK
11 979,00 CZK s DPH
 Více o školení
2 dny
16.02.2026 + 2 dostupné termíny
9 500,00 CZK
11 495,00 CZK s DPH
 Více o školení
2 dny
Podle Vás
Na vyžádání Více o školení
1 den
Podle Vás
Na vyžádání Více o školení
1 den
Podle Vás
Na vyžádání Více o školení

Mohlo by Vás zajímat:

Podobné články

Zákony

NIS 2 a zákon o kybernetické bezpečnosti – nejdůležitější informace

Česká republika stojí před významnou změnou v oblasti kybernetické bezpečnosti. Novela zákona o kybernetické bezpečnosti, která vstoupí v platnost v polovině roku 2025, přinese několik důležitých změn pro firmy i veřejné instituce.

Normy ISO

ISO/IEC 42001:2023 - Řízení systému umělé inteligence

Umělá inteligence (AI) způsobila revoluci v mnoha odvětvích, ale její rychlý růst přinesl i obavy týkající se etiky, soukromí a bezpečnosti. Právě k řešení těchto výzev navrhla Mezinárodní organizace pro normalizaci a Mezinárodní elektrotechnická komise normu ISO/IEC 42001.

Normy ISO

Co je to NIST a jak souvisí s ISO/IEC 27001

Oba standardy poskytují řadu bezpečnostních kontrol, které pomáhají organizacím chránit své informace. NIST a ISO/IEC 27001 jsou kompatibilní a navzájem se doplňují. NIST poskytuje technické detaily pro implementaci bezpečnostních kontrol, které jsou doporučeny v ISO/IEC 27001.