Režim vyšších povinností NIS2: co to znamená a co musíte splnit?
Spadá vaše firma do režimu vyšších povinností podle NIS2 a nevíte, co přesně vás čeká? Vyšší režim přináší nejrozsáhlejší soubor povinností, který zákon o kybernetické bezpečnosti zná. Přečtěte si, koho se týká, podle čeho se zařazuje a co konkrétně musíte splnit.
Stručné shrnutí
Režim vyšších povinností je určen velkým a kriticky důležitým organizacím, typicky s 250 a více zaměstnanci. Oproti nižšímu režimu přináší rozšířený soubor bezpečnostních opatření, přísnější lhůty pro hlášení incidentů a aktivní dozor ze strany NÚKIBu. Incidenty se hlásí přímo NÚKIBu, nikoli Národnímu CERTu. Zařazení do vyššího režimu znamená náročnější přípravu, kterou je vhodné zahájit co nejdříve.
Co je režim vyšších povinností NIS2
Zákon o kybernetické bezpečnosti rozlišuje dvě úrovně povinností. Vyšší režim je ten náročnější z nich a dopadá na organizace, jejichž narušení by mělo nejzávažnější následky. Souvislosti mezi oběma úrovněmi jsme rozebrali v článku o režimech povinností podle NIS2.
Pro koho je vyšší režim určen
Vyšší režim NIS2 se vztahuje na velké organizace a subjekty kritického významu. Typicky jde o firmy s 250 a více zaměstnanci, ale také o poskytovatele služeb, jejichž výpadek by zásadně zasáhl chod státu, ekonomiky nebo bezpečnosti.
Patří sem například provozovatelé kritické infrastruktury, velcí poskytovatelé digitálních a komunikačních služeb nebo organizace ve strategických odvětvích. U těchto subjektů zákon předpokládá, že dopady případného incidentu by byly rozsáhlé, a proto na ně klade vyšší nároky.
Čím se liší od nižšího režimu
Hlavní rozdíl spočívá v rozsahu a hloubce povinností. Zatímco nižší režim NIS2 stanovuje základní soubor opatření, vyšší režim vyžaduje propracovanější a rozsáhlejší systém řízení kybernetické bezpečnosti.
K tomu se přidává intenzivnější dozor. NÚKIB u subjektů ve vyšším režimu vykonává aktivní a pravidelnou kontrolu, zatímco u nižšího režimu jde spíše o dozor reaktivní. Liší se i hlášení incidentů, které ve vyšším režimu směřuje přímo NÚKIBu.
Jaká kritéria rozhodují o zařazení
Zařazení do vyššího režimu se neurčuje odhadem, ale podle jasných kritérií daných zákonem. Rozhodují především velikost organizace a význam jejích služeb.
Velikost firmy a odvětví
Prvním kritériem je velikost organizace, tedy počet zaměstnanců v kombinaci s ročním obratem nebo bilanční sumou. Druhým je odvětví a typ poskytované služby.
Mezi odvětví, kde organizace nejčastěji spadají do vyššího režimu, patří:
- energetika a její přenosové soustavy
- telekomunikace a poskytování internetu
- bankovnictví a finanční infrastruktura
- zdravotnictví ve větším rozsahu
- doprava a logistika strategického významu
- veřejná správa s rozsáhlým dopadem
- výroba a průmysl kritického významu
Teprve kombinace velikosti a charakteru služby rozhodne o tom, zda organizace patří do vyššího režimu.
Jak si ověřit, že spadáte do vyššího režimu
Nejjednodušší cestou je projít samoidentifikaci na Portálu NÚKIBu. Nástroj na základě několika otázek určí, zda je organizace povinným subjektem a do jakého režimu spadá.
Pro rychlou orientaci poslouží následující srovnání:
| Nižší režim | Vyšší režim | |
|---|---|---|
| Počet zaměstnanců | 50 až 249 | 250 a více |
| Rozsah opatření | Základní | Rozšířený |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
| Hlášení incidentů | Národní CERT | Přímo NÚKIBu |
Samoidentifikace je přitom pouze prvním krokem. Po něm následuje registrace a samotné plnění povinností.
Co musíte ve vyšším režimu splnit
Po zjištění zařazení přichází na řadu konkrétní povinnosti. Ve vyšším režimu jsou rozsáhlejší než v nižším a kladou důraz na systematické a doložitelné řízení bezpečnosti.
Bezpečnostní opatření ve vyšším režimu
Organizace ve vyšším režimu musí zavést rozšířený soubor bezpečnostních opatření, který jde nad rámec základních požadavků nižšího režimu. Tato opatření upravuje samostatný prováděcí předpis, který je obsáhlejší než vyhláška 410/2025 Sb. platná pro nižší režim.
Opatření pokrývají organizační i technickou oblast, od řízení rizik a aktiv přes řízení přístupů až po detekci a zvládání incidentů. Důraz je kladen na to, aby bezpečnost byla řízena jako trvalý proces, nikoli jednorázová akce.
Dokumentace a řízení rizik
Stejně jako v nižším režimu je i zde nutná kompletní dokumentace ke všem zavedeným opatřením. Jejím jádrem je systematické řízení rizik, tedy identifikace hrozeb, posouzení jejich dopadu a nastavení odpovídajících opatření.
Dokumentace ve vyšším režimu bývá rozsáhlejší a podléhá pravidelné aktualizaci. Organizace musí být schopna kdykoli doložit, že opatření nejen zavedla, ale že je i skutečně udržuje a kontroluje.
Hlášení incidentů a dozor NÚKIBu
Subjekty ve vyšším režimu mají povinnost hlásit kybernetické incidenty přímo NÚKIBu a v přísnějších lhůtách než firmy v nižším režimu. K tomu se váže aktivní dozor, kdy NÚKIB pravidelně ověřuje plnění povinností.
Tato kontrola je důslednější a organizace musí být na ni trvale připravena. Nedodržení povinností může vést k uložení nápravných opatření i citelným sankcím.
Jak začít a kdo vám pomůže
Znalost povinností je první krok, jejich splnění je ten náročnější. Vzhledem k rozsahu vyššího režimu je systematický přístup naprostou nutností.
První kroky po zařazení do vyššího režimu
Po zjištění režimu je nutné dokončit registraci u NÚKIBu. Po doručení rozhodnutí o registraci začíná plynout lhůta na splnění všech povinností.
Souběžně je vhodné zahájit mapování aktiv a posouzení aktuálního stavu kybernetické bezpečnosti.
Jak se na splnění povinností připravit
Vzhledem k rozsahu povinností se organizace ve vyšším režimu obvykle neobejdou bez komplexního přístupu a odborné kapacity, ať už interní, nebo externí. Klíčové je začít včas, postupovat systematicky a vést průběžnou dokumentaci.
Firmy v nižším režimu to mají jednodušší. Pokud vaše firma spadá do nižšího režimu, přípravu dokumentace vám výrazně usnadní online průvodce Compligen, který vás celým procesem provede krok za krokem.
Závěr
Režim vyšších povinností NIS2 dopadá na velké a kriticky významné organizace, typicky s 250 a více zaměstnanci, a přináší nejrozsáhlejší soubor povinností, který zákon zná. Oproti nižšímu režimu jde o rozšířená bezpečnostní opatření, přísnější lhůty a aktivní dozor s hlášením incidentů přímo NÚKIBu. Prvním krokem je ověřit si zařazení přes samoidentifikaci a poté zahájit registraci a přípravu. Vzhledem k náročnosti je vhodné začít co nejdříve a postupovat systematicky. Firmy v nižším režimu přitom mohou pro přípravu dokumentace využít Compligen.
Přečtěte si také
- Režimy povinností podle NIS2: do kterého spadá vaše firma?Spadá vaše firma pod nižší, nebo vyšší režim NIS2? Zjistěte, jaká kritéria rozhodují, co všechno musíte splnit a jak vám s dokumentací pomůže Compligen.
- Režim nižších povinností NIS2: co to znamená a co musíte splnit?Spadá vaše firma do režimu nižších povinností podle NIS2? Zjistěte, jakých 13 bezpečnostních opatření musíte splnit a jak vám online průvodce Compligen usnadní celou přípravu.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.