Jak splnit NIS2 požadavky?
Víte, co přesně po vaší firmě zákon o kybernetické bezpečnosti vyžaduje a jak to celé splnit bez zbytečného chaosu? Požadavky NIS2 jsou konkrétní a lhůty běží. Přečtěte si, co musíte udělat, v jakém pořadí a jak na to jít co nejefektivněji.
Stručné shrnutí
Splnění NIS2 požadavků znamená zavést bezpečnostní opatření podle vyhlášky 410/2025 Sb. a připravit k nim příslušnou dokumentaci. Firmy v nižším režimu musí mít hotové dokumenty pokrývajících oblasti jako správa přístupů, školení zaměstnanců nebo plán reakce na incidenty. Správná příprava vyžaduje systematický přístup, nikoli jednorázové stažení šablon z internetu.
Co NIS2 požadavky znamenají v praxi
NIS2 není jen o papírech. Zákon vyžaduje, aby firmy skutečně zlepšily svou kybernetickou bezpečnost, a dokumentace k tomu slouží jako důkaz i jako návod. Nestačí mít dokumenty formálně připravené bez vazby na to, co se ve firmě reálně děje.
Mnohé z požadavků vyhlášky vycházejí z běžných bezpečnostních principů, které jsme podrobně rozebrali v článku o základních prvcích kybernetické bezpečnosti.
Zákon 264/2025 Sb. a vyhláška 410/2025 Sb. v kostce
Zákon 264/2025 Sb. stanovuje, kdo jsou povinné subjekty, jaké povinnosti mají a jaké sankce hrozí za jejich nesplnění. Je to základní právní rámec, od kterého se vše odvíjí.
Konkrétní obsah povinností pak upřesňuje vyhláška 410/2025 Sb. Ta definuje bezpečnostní opatření, která musí firmy v nižším režimu zavést, a popisuje, jaká dokumentace musí být připravena ke každému z nich.
Právě vyhláška je klíčovým dokumentem, podle kterého se celá příprava řídí. Důležité je chápat oba předpisy jako celek. Zákon říká co a proč, vyhláška říká jak a v jakém rozsahu.
Zjistěte také, kdy NIS2 začne platit.
Jak splnit NIS2 požadavky krok za krokem
Plnění NIS2 požadavků není sprint, ale postupný proces, který má jasnou logiku. Firmy, které se ho pokusí zvládnout najednou bez přípravy, obvykle narazí na problémy. Správné pořadí kroků ušetří čas i peníze.
Zmapování aktiv, systémů a dodavatelů
Prvním krokem je vědět, co firma vlastně chrání. To znamená sestavit přehled primárních aktiv, tedy služeb a dat, na kterých závisí poskytování regulované služby, a k nim příslušných technických aktiv, jako jsou servery, aplikace, síťové prvky nebo cloudové služby.
Součástí mapování jsou také dodavatelé. Zákon vyžaduje, aby firmy znaly bezpečnostní úroveň svých klíčových dodavatelů a měly ji ošetřenou smluvně.
Řízení přístupů, MFA a správa identit
Zákon výslovně vyžaduje, aby firmy měly nastavené řízení přístupů k systémům a datům. To v praxi znamená, že každý zaměstnanec má přístup jen k těm systémům a informacím, které ke své práci skutečně potřebuje.
Součástí požadavků je také zavedení vícefaktorového ověřování, tedy MFA, alespoň pro přístupy k citlivým systémům a vzdálené připojení. Správa identit a přístupových práv musí být zdokumentována a pravidelně revidována.
Školení zaměstnanců v kybernetické bezpečnosti
Technická opatření sama o sobě nestačí. Zákon ukládá firmám povinnost pravidelně školit zaměstnance v oblasti kybernetické bezpečnosti. Cílem je zajistit, aby lidé rozuměli základním hrozbám, dokázali rozpoznat phishingový útok a věděli, jak správně nakládat s hesly a citlivými daty.
Školení musí být zdokumentováno a přizpůsobeno různým rolím ve firmě. Jiný obsah potřebuje IT správce, jiný běžný zaměstnanec.
NIS2 dokumentace: jaké dokumenty musíte mít
Dokumentace je viditelným výstupem celého procesu přípravy a zároveň hlavním předmětem případné kontroly NÚKIBu. Bez kompletní a věcně správné dokumentace nelze prokázat soulad se zákonem.
Co musí obsahovat NIS2 dokumentace
Firmy v nižším režimu musí připravit dokumenty ke všem třinácti bezpečnostním opatřením vyhlášky 410/2025 Sb.
Mezi klíčové oblasti patří:
- bezpečnostní politika
- evidence primárních a technických aktiv
- pravidla řízení přístupů a správy identit
- plán reakce na bezpečnostní incidenty
- politika zálohování a obnovy dat
- směrnice pro bezpečný vývoj a správu systémů
- pravidla pro bezpečnost dodavatelského řetězce
- záznamy o školení zaměstnanců
Každý dokument musí odpovídat skutečnému stavu firmy. Obecné šablony bez úpravy na konkrétní prostředí při kontrole neobstojí.
Jak probíhá kontrola NÚKIBu a jak se připravit na audit
NÚKIB nevykonává plošné kontroly u všech povinných subjektů najednou. Dozor je zaměřen především na firmy, u nichž existuje podezření na nedodržení povinností, nebo na základě vlastního plánu kontrol. Přesto je potřeba být připraven kdykoli.
Co NÚKIB kontroluje a jak dozor probíhá
Při kontrole se NÚKIB zaměřuje zejména na to, zda firma provedla registraci, zda má připravenou a aktuální dokumentaci a zda jsou bezpečnostní opatření skutečně zavedena v praxi.
Kontroluje se také způsob hlášení incidentů a to, zda firma reaguje na bezpečnostní události v zákonem stanovených lhůtách.
Výsledkem kontroly může být uložení nápravných opatření, pokuta nebo v závažných případech i zákaz výkonu funkce jednatele.
NIS2 checklist: příprava na audit krok za krokem
Základní příprava na audit zahrnuje tyto kroky:
| Krok | Co je potřeba mít připraveno |
|---|---|
| Registrace | Doklad o registraci u NÚKIBu a splnění lhůt |
| Dokumentace | Kompletní dokumentace dle vyhlášky |
| Aktiva | Aktuální evidence primárních a technických aktiv |
| Přístupy | Dokumentované řízení přístupů a MFA |
| Školení | Záznamy o provedených školeních zaměstnanců |
| Incidenty | Nastavený a otestovaný proces hlášení incidentů |
| Dodavatelé | Smluvní ošetření bezpečnosti u klíčových dodavatelů |
Kolik stojí splnění NIS2 a jaká řešení existují
Náklady na splnění NIS2 požadavků se liší podle toho, jakou cestu firma zvolí. Rozdíly jsou přitom zásadní jak v ceně, tak v čase, který celý proces zabere.
Konzultant, šablony nebo compliance software
Externí konzultant je nejnákladnější variantou. Cena se pohybuje v rozmezí 80 000 až 200 000 korun a celý proces obvykle trvá několik měsíců. Pro menší firmy jde o výdaj, který výrazně zatíží rozpočet, přičemž výsledek závisí na kvalitě konkrétního dodavatele.
Volně dostupné šablony jsou sice levné, ale nesou vysoké riziko. Obecné dokumenty bez vazby na konkrétní firmu při kontrole NÚKIBu neobstojí a firma si ve skutečnosti žádnou bezpečnost nezajistí.
Compliance software nebo online průvodce, jako je Compligen, nabízí střední cestu. Firma je provedena celým procesem krok za krokem, výstupem jsou dokumenty odpovídajících vyhlášce 410/2025 Sb. a celý proces lze zvládnout za zlomek nákladů oproti konzultantovi. Průvodce nepředpokládá odborné znalosti legislativy a celý proces zvládnete online za jedno odpoledne.
Závěr
Splnit NIS2 požadavky znamená projít systematickým procesem, který začíná registrací u NÚKIBu, pokračuje mapováním aktiv a přípravou dokumentace a končí zavedením konkrétních bezpečnostních opatření. Zákon nestačí splnit formálně. Dokumentace musí odpovídat skutečnému stavu firmy a opatření musí být reálně zavedena. S tím vším pomůže Compligen, který celý proces zpřehlední a výrazně zkrátí čas i náklady.
Přečtěte si také
- Kdo musí splnit NIS2?Týká se zákon o kybernetické bezpečnosti vaší firmy? Zjistěte, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí při nesplnění.
- Kdy začne platit NIS2?NIS2 v Česku platí od listopadu 2025. Zjistěte, od kdy běží lhůty, co musí firma stihnout a jak se na povinnosti připravit včas.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.