Režim nižších povinností NIS2: co to znamená a co musíte splnit?
Spadá vaše firma do režimu nižších povinností podle NIS2 a nevíte přesně, co to pro vás znamená? Dobrá zpráva je, že povinnosti jsou zvládnutelnější, než se obvykle traduje. Přečtěte si, co přesně musíte splnit a jak na to jít bez zbytečných komplikací.
Stručné shrnutí
Režim nižších povinností je určen firmám s 50 až 249 zaměstnanci v regulovaných odvětvích. Tyto firmy musí zavést třináct bezpečnostních opatření podle vyhlášky 410/2025 Sb., z nichž pět je neopominutelných. K opatřením patří příprava dokumentace a nastavení hlášení incidentů Národnímu CERTu. Splnění povinností je v nižším režimu výrazně jednodušší než ve vyšším a s přípravou pomůže online průvodce Compligen.
Co je režim nižších povinností NIS2
Zákon o kybernetické bezpečnosti rozlišuje dvě úrovně povinností. Nižší režim je ten mírnější z nich a vztahuje se na většinu středních firem.
Pokud chcete pochopit souvislosti mezi oběma režimy, najdete je v našem článku o režimech povinností podle NIS2.
Pro koho je nižší režim určen
Nižší režim je primárně určen středním firmám, tedy organizacím s 50 až 249 zaměstnanci, které působí v některém z regulovaných odvětví. Jde o firmy, jejichž narušení by mělo dopad na chod společnosti, ale nikoli v takovém rozsahu jako u největších a nejkritičtějších subjektů.
Pro tyto firmy zákon nastavil přiměřený soubor povinností, který odpovídá jejich velikosti a významu. Cílem je zvýšit jejich odolnost, aniž by byly zatíženy stejně rozsáhlými požadavky jako velké korporace.
Čím se liší od vyššího režimu
Hlavní rozdíl spočívá v rozsahu povinností a intenzitě dozoru. Nižší režim znamená méně rozsáhlá opatření, mírnější dozor a hlášení incidentů Národnímu CERTu. Vyšší režim NIS2 naopak přináší rozšířené povinnosti, přísnější lhůty a aktivní kontrolu ze strany NÚKIBu.
Pro firmu v nižším režimu to v praxi znamená, že povinnosti jsou jasně vymezené a zvládnutelné i bez rozsáhlého bezpečnostního týmu.
Jaká kritéria rozhodují o zařazení
Zařazení do nižšího režimu se neurčuje odhadem, ale podle jasných kritérií daných zákonem. Stačí projít dvě základní otázky a ověřit si výsledek.
Velikost firmy a odvětví
První kritérium je velikost firmy, tedy počet zaměstnanců spolu s ročním obratem nebo bilanční sumou. Druhým je odvětví, ve kterém firma podniká.
Mezi regulovaná odvětví patří zejména:
- výroba a průmysl
- informační technologie a digitální služby
- doprava a logistika
- zdravotnictví
- energetika
- potravinářství
- vodárenství a odpadové hospodářství
- veřejná správa
Do nižšího režimu spadá firma, která splňuje velikostní kritérium pro střední podnik a zároveň působí v některém z regulovaných odvětví.
Jak si ověřit, že spadáte do nižšího režimu
Nejjednodušší cestou je projít samoidentifikaci na Portálu NÚKIBu. Tento nástroj firmě na základě několika otázek určí, zda je povinným subjektem a do jakého režimu patří.
Pro rychlou orientaci poslouží následující srovnání:
| Nižší režim | Vyšší režim | |
|---|---|---|
| Počet zaměstnanců | 50 až 249 | 250 a více |
| Bezpečnostní opatření | 13 dle vyhlášky 410/2025 Sb. | Rozšířený soubor |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
| Hlášení incidentů | Národní CERT | Přímo NÚKIBu |
Samoidentifikace je přitom pouze prvním krokem. Po něm následuje registrace a samotné plnění povinností.
Co musíte v nižším režimu splnit
Po zjištění, že firma spadá do nižšího režimu, přichází na řadu konkrétní povinnosti. Jejich rozsah je sice menší než ve vyšším režimu, přesto jde o jasně danou sadu opatření a dokumentů.
Třináct bezpečnostních opatření
Vyhláška 410/2025 Sb. definuje třináct bezpečnostních opatření, která musí firmy v nižším režimu zavést. Pokrývají oblasti jako řízení aktiv, řízení rizik, řízení přístupu, bezpečnost komunikačních sítí, aplikační bezpečnost nebo kryptografické algoritmy.
Každé opatření má svůj účel a společně tvoří ucelený systém ochrany. Firma je nezavádí náhodně, ale na základě posouzení vlastní situace.
Pět neopominutelných opatření
Z třinácti opatření je pět neopominutelných, což znamená, že musí být zavedeny vždy bez ohledu na situaci firmy. Jde o tato opatření:
- systém zajišťování minimální kybernetické bezpečnosti
- požadavky na vrcholné vedení
- bezpečnost lidských zdrojů
- řízení kontinuity činností
- řešení kybernetických bezpečnostních incidentů
Zbylých osm opatření firma zavádí podle vyhodnocení své relevance. Tomu se říká vyhodnotitelná opatření a firma u nich může odůvodnit, proč je případně nezavádí.
Dokumentace a hlášení incidentů
Ke každému opatření patří odpovídající dokumentace. Firmy v nižším režimu musí připravit dokumenty, mezi které spadá bezpečnostní politika, analýza rizik, evidence aktiv nebo plán reakce na incidenty.
Důležitou povinností je také hlášení kybernetických incidentů. V nižším režimu se incidenty hlásí Národnímu CERTu, nikoli přímo NÚKIBu. Klíčovým dokumentem je přehled bezpečnostních opatření, který je nutné uchovávat minimálně čtyři roky a aktualizovat alespoň jednou ročně.
Jak začít a kdo vám pomůže
Znalost povinností je první krok, samotné splnění je ten náročnější. Důležité je postupovat systematicky a nenechávat přípravu na poslední chvíli.
První kroky po zařazení do nižšího režimu
Po zjištění režimu je potřeba dokončit registraci u NÚKIBu. Po doručení rozhodnutí o registraci začíná plynout dvanáctiměsíční lhůta na splnění všech povinností.
Souběžně je vhodné zahájit mapování aktiv, tedy přehled systémů, dat a dodavatelů, na kterých firma závisí. Následuje posouzení aktuálního stavu bezpečnosti a příprava dokumentace podle vyhlášky.
Jak vám Compligen usnadní splnění povinností
Compligen je online průvodce navržený přímo pro firmy v nižším režimu. Provede vás přípravou dokumentace krok za krokem a zohledňuje konkrétní požadavky vyhlášky 410/2025 Sb.
Výsledkem je dvanáct hotových dokumentů, které slouží jako podklad pro IT oddělení i případný audit. Celý proces zvládnete online, bez konzultanta a bez měsíců čekání. Stačí odpovídat na otázky o vaší firmě a o zbytek se postará průvodce.
Závěr
Režim nižších povinností NIS2 znamená, že firma s 50 až 249 zaměstnanci v regulovaném odvětví musí zavést třináct bezpečnostních opatření podle vyhlášky 410/2025 Sb., z nichž pět je neopominutelných. K tomu patří příprava dokumentů a hlášení incidentů Národnímu CERT. Oproti vyššímu režimu jde o výrazně zvládnutelnější soubor povinností. Prvním krokem je ověřit si zařazení přes samoidentifikaci a poté zahájit přípravu dokumentace. S tou vám pomůže Compligen, který celý proces zpřehlední a zrychlí.
Přečtěte si také
- Režimy povinností podle NIS2: do kterého spadá vaše firma?Spadá vaše firma pod nižší, nebo vyšší režim NIS2? Zjistěte, jaká kritéria rozhodují, co všechno musíte splnit a jak vám s dokumentací pomůže Compligen.
- Kdo musí splnit NIS2?Týká se zákon o kybernetické bezpečnosti vaší firmy? Zjistěte, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí při nesplnění.
- Režim vyšších povinností NIS2: co to znamená a co musíte splnit?Spadá vaše firma do režimu vyšších povinností podle NIS2 a nevíte, co přesně vás čeká? Vyšší režim přináší nejrozsáhlejší soubor povinností, který zákon o kybernetické bezpečnosti zná. Přečtěte si, koho se týká, podle čeho se zařazuje a co konkrétně musíte splnit.