Směrnice NIS2 vstoupila v platnost a mnozí majitelé malých firem si kladou otázku: týká se NIS2 i naší firmy do 50 zaměstnanců? Odpověď není tak jednoznačná, jak by se mohlo zdát. V tomto článku vám vysvětlíme, co NIS2 znamená, koho se týká a jaké praktické kroky musíte podniknout – i když jste malá firma v Praze nebo kdekoliv v Česku.

Co je směrnice NIS2 a proč vznikla

NIS2 (Network and Information Security Directive 2) je evropská směrnice o kybernetické bezpečnosti, která nahradila původní směrnici NIS z roku 2016. Její hlavní cíl je zvýšit úroveň kybernetické bezpečnosti napříč členskými státy EU.

Důvod je prostý – počet kybernetických útoků dramaticky roste. Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se počet hlášených incidentů v ČR meziročně zvyšuje o desítky procent. Útočníci se přitom stále častěji zaměřují právě na malé a střední firmy, které mají slabší zabezpečení.

V České republice je NIS2 implementována prostřednictvím nového zákona o kybernetické bezpečnosti, který nahrazuje původní zákon č. 181/2014 Sb.

Koho se NIS2 týká – spadá do ní vaše firma?

NIS2 rozlišuje dva typy subjektů: základní (essential) a důležité (important). Směrnice se primárně zaměřuje na střední a velké podniky, ale existují důležité výjimky.

Hlavní kritéria

Automaticky pod NIS2 spadáte, pokud:

• Máte 50+ zaměstnanců NEBO roční obrat/bilanční sumu nad 10 mil. EUR
• Působíte v jednom z regulovaných sektorů (viz níže)

Regulované sektory

NIS2 pokrývá 18 sektorů, mezi které patří:

• Energie – elektřina, plyn, ropa, teplo
• Doprava – letecká, železniční, vodní, silniční
• Zdravotnictví – nemocnice, laboratoře, výrobci léčiv
• Digitální infrastruktura – poskytovatelé cloudových služeb, datová centra, DNS
• ICT služby – managed service providers (MSP), managed security providers
• Poštovní a kurýrní služby
• Výroba – potravinářství, chemický průmysl, elektronika
• Veřejná správa

Kdy se NIS2 týká i malé firmy do 50 zaměstnanců

Ano, i malá firma může spadat pod NIS2. Stane se tak v těchto případech:

• Poskytujete IT služby pro regulované subjekty – jste v dodavatelském řetězci
• Jste poskytovatel DNS služeb, registrátor domén nebo provozovatel datového centra – velikost nehraje roli
• Jste kvalifikovaný poskytovatel služeb vytvářejících důvěru (certifikační autority)
• Vás určí NÚKIB jako regulovaný subjekt na základě individuálního posouzení

Klíčové je také pojetí dodavatelského řetězce. Pokud vaše firma dodává IT služby, software nebo infrastrukturu regulovanému subjektu, může od vás vyžadovat splnění bezpečnostních standardů – i když přímo pod NIS2 nespadáte.

Jaké povinnosti NIS2 přináší

Regulované subjekty musí splnit řadu požadavků. Zde jsou ty nejdůležitější:

1. Řízení kybernetických rizik

Musíte zavést systematický přístup k identifikaci a řízení rizik. To zahrnuje pravidelné hodnocení hrozeb, zranitelností a dopadů případného incidentu na vaše podnikání.

2. Hlášení bezpečnostních incidentů

NIS2 zavádí přísné lhůty pro hlášení incidentů:

• Do 24 hodin – předběžné varování o závažném incidentu
• Do 72 hodin – podrobné oznámení s popisem incidentu
• Do 1 měsíce – závěrečná zpráva s analýzou a přijatými opatřeními

3. Technická a organizační opatření

Směrnice vyžaduje minimálně:

• Politiky analýzy rizik a bezpečnosti informačních systémů
• Zvládání incidentů – detekce, reakce, obnova
• Kontinuita podnikání – zálohy, disaster recovery, krizové řízení
• Bezpečnost dodavatelského řetězce
• Šifrování a vícefaktorové ověřování (MFA)
• Školení zaměstnanců v oblasti kybernetické bezpečnosti

4. Odpovědnost vedení

Nově jsou za kybernetickou bezpečnost přímo odpovědní jednatelé a členové představenstva. Musí schvalovat bezpečnostní opatření a absolvovat školení. Za porušení hrozí osobní odpovědnost.

Sankce za nedodržení NIS2

Pokuty jsou výrazně vyšší než u původní směrnice:

• Základní subjekty: až 10 mil. EUR nebo 2 % celosvětového obratu
• Důležité subjekty: až 7 mil. EUR nebo 1,4 % celosvětového obratu

Pro malou firmu to samozřejmě znamená proporcionálně nižší částky, ale stále mohou být existenčně ohrožující. Kromě pokut hrozí i dočasný zákaz výkonu řídicí funkce pro odpovědné osoby.

Praktický návod: Co udělat jako první

I když si nejste jistí, zda přímo spadáte pod NIS2, následující kroky vám pomohou zvýšit bezpečnost firmy a připravit se na případné požadavky:

Krok 1: Vyhodnoťte svou pozici

Zjistěte, zda vaše firma spadá do regulovaného sektoru. Podívejte se také na své klienty – pokud dodáváte služby firmám, které pod NIS2 spadají, budou od vás pravděpodobně vyžadovat bezpečnostní standardy.

Krok 2: Proveďte bezpečnostní audit

Zmapujte současný stav IT bezpečnosti ve firmě. Zjistěte, kde máte slabá místa – nezabezpečené wifi sítě, chybějící zálohy, slabá hesla bez MFA. Profesionální správce IT vám s auditem pomůže.

Krok 3: Zavedete základní opatření

• Pravidelné zálohy podle pravidla 3-2-1 (3 kopie, 2 média, 1 offsite)
• Vícefaktorové ověřování na všech kritických účtech
• Aktuální software – pravidelné aktualizace a záplaty
• Antivirová ochrana na všech zařízeních (endpoint protection)
• Zabezpečená firemní síť – firewall, segmentace, šifrování

Krok 4: Proškolte zaměstnance

Lidský faktor je příčinou většiny bezpečnostních incidentů. Podle zprávy Verizon Data Breach Investigations Report je lidská chyba přítomna v 68 % úniků dat. Pravidelná školení o phishingu, bezpečných heslech a práci s daty jsou nutností.

Krok 5: Dokumentujte vše

Vytvořte základní bezpečnostní politiky – kdo má přístup kam, jak se řeší incidenty, jak probíhá zálohování. Dokumentace je klíčová pro prokázání compliance.

NIS2 a dodavatelský řetězec – proč se to týká i vás

I když vaše firma přímo pod NIS2 nespadá, vaši klienti vás mohou požádat o splnění bezpečnostních požadavků. Regulované subjekty mají povinnost zajistit bezpečnost celého dodavatelského řetězce.

V praxi to znamená, že pokud dodáváte IT služby, software nebo zpracováváte data pro firmu spadající pod NIS2, můžete čelit požadavkům na:

• Prokázání bezpečnostních opatření
• Certifikaci (ISO 27001 nebo podobné)
• Smluvní závazky ohledně hlášení incidentů
• Pravidelné bezpečnostní audity

Firmy, které tyto požadavky nesplní, riskují ztrátu zakázek. Naopak – prokazatelná kybernetická bezpečnost se stává konkurenční výhodou.

Často kladené otázky (FAQ)

Musí malá firma do 50 zaměstnanců řešit NIS2?

Přímo pod NIS2 spadáte jen pokud působíte v regulovaném sektoru nebo poskytujete specifické digitální služby (DNS, cloud, datová centra). Nepřímo vás ale NIS2 ovlivní přes dodavatelský řetězec – vaši klienti mohou vyžadovat splnění bezpečnostních standardů.

Jaké jsou termíny pro splnění NIS2 v ČR?

Směrnice byla implementována do českého práva novým zákonem o kybernetické bezpečnosti. Regulované subjekty by měly být v souladu s požadavky co nejdříve, neboť NÚKIB již provádí kontroly.

Kolik stojí příprava na NIS2 pro malou firmu?

Náklady se liší podle stavu IT bezpečnosti. Základní opatření (zálohy, MFA, firewall, školení) lze zavést za řádově tisíce korun měsíčně. Profesionální správa IT zajistí průběžný soulad.

Co se stane, když NIS2 ignoruji?

Pokud přímo spadáte pod regulaci, hrozí vysoké pokuty a osobní odpovědnost jednatele. Pokud spadáte do dodavatelského řetězce, riskujete ztrátu klíčových klientů, kteří budou vyžadovat bezpečnostní standardy.

Závěr – NIS2 jako příležitost, ne jen povinnost

Směrnice NIS2 mění pravidla hry v kybernetické bezpečnosti. I když vaše malá firma do 50 zaměstnanců nemusí přímo spadat pod regulaci, investice do kybernetické bezpečnosti se vyplatí. Chrání vaše data, vaše klienty a vaši reputaci.

Začněte bezplatným IT auditem – zmapujeme stav zabezpečení vaší firmy a navrhneme konkrétní kroky ke zlepšení. Volejte 228 222 752 nebo vyplňte kontaktní formulář.