Režimy povinností podle NIS2: do kterého spadá vaše firma?
Víte, jestli vaše firma spadá do nižšího, nebo vyššího režimu povinností podle NIS2? Na odpovědi záleží víc, než se zdá, protože určuje, kolik práce a jaké povinnosti vás čekají. Přečtěte si, podle čeho se režimy rozlišují a jak snadno zjistíte, kam patříte.
Stručné shrnutí
Zákon o kybernetické bezpečnosti rozlišuje dva režimy povinností, nižší a vyšší. Rozhodují o tom velikost firmy a odvětví, ve kterém působí. Firmy v nižším režimu mají méně rozsáhlé povinnosti než firmy ve vyšším režimu, ale i tak musí splnit konkrétní bezpečnostní opatření podle vyhlášky 410/2025 Sb. Zjistit svůj režim je prvním krokem k tomu, abyste věděli, co přesně vás čeká.
Co jsou režimy povinností podle NIS2
Zákon 264/2025 Sb. nezachází se všemi firmami stejně. Rozlišuje dvě úrovně povinností podle toho, jak velký dopad by mělo narušení jejich služeb. Tomuto rozdělení se říká režim nižších povinností a režim vyšších povinností.
Proč zákon rozlišuje dva režimy
Logika je jednoduchá. Čím větší a důležitější organizace je, tím závažnější následky by mělo narušení jejího provozu. Proto zákon klade na velké a kritické subjekty přísnější požadavky.
Rozdělení do dvou režimů zároveň zajišťuje, že menší firmy nejsou zatíženy stejně rozsáhlými povinnostmi jako velké korporace. Cílem je, aby požadavky byly přiměřené velikosti a významu organizace.
Nižší a vyšší režim NIS2
V praxi platí jednoduché pravidlo. Firmy s 50 až 249 zaměstnanci obvykle spadají do nižšího režimu, zatímco organizace s 250 a více zaměstnanci patří do vyššího režimu.
Nižší režim znamená méně rozsáhlé povinnosti a mírnější dozor ze strany NÚKIBu. Vyšší režim přináší širší okruh povinností, přísnější lhůty a aktivnější kontrolu. Konkrétní bezpečnostní opatření pro nižší režim přitom detailně popisuje vyhláška 410/2025 Sb.
Do kterého režimu spadá vaše firma
Zařazení do režimu NIS2 není věc názoru, ale jasných kritérií daných zákonem. Přesto řada firem tápe, protože nezná přesná pravidla. Stačí ale projít dvě základní otázky.
Rozhodující kritéria: velikost a odvětví
První kritérium je velikost firmy, tedy počet zaměstnanců v kombinaci s ročním obratem nebo bilanční sumou. Druhým kritériem je odvětví, ve kterém firma působí.
Mezi regulovaná odvětví patří zejména:
- výroba a průmysl
- informační technologie a digitální služby
- doprava a logistika
- zdravotnictví
- energetika
- potravinářství
- vodárenství a odpadové hospodářství
- veřejná správa
Teprve kombinace obou kritérií rozhodne, zda firma pod zákon spadá a do kterého režimu je zařazena.
Jak si snadno ověřit, kam patříte
Nejjednodušší cestou je projít samoidentifikaci na Portálu NÚKIBu. Jde o nástroj, který firmě na základě několika otázek pomůže určit, zda je povinným subjektem a do jakého režimu spadá.
Pro rychlou orientaci poslouží i následující srovnání:
| Nižší režim | Vyšší režim | |
|---|---|---|
| Počet zaměstnanců | 50 až 249 | 250 a více |
| Rozsah povinností | Základní opatření dle vyhlášky | Rozšířené povinnosti |
| Dozor NÚKIBu | Reaktivní | Aktivní a pravidelný |
| Hlášení incidentů | Národní CERT | Přímo NÚKIBu |
Důležité je nezaměňovat samotnou samoidentifikaci s plněním povinností. Samoidentifikace je pouze prvním krokem, kterým firma zjistí své zařazení.
Jaké povinnosti přináší každý režim
Po zjištění režimu přichází na řadu otázka, co konkrétně musí firma splnit. Rozsah povinností se mezi režimy liší, základní logika je ale stejná. Firma musí zavést bezpečnostní opatření a vést k nim dokumentaci.
Povinnosti v nižším režimu
Firmy v nižším režimu musí zavést třináct bezpečnostních opatření, která definuje vyhláška 410/2025 Sb. Pět z nich je takzvaně neopomenutelných a musí být zavedeno vždy.
Jde o systém zajišťování minimální kybernetické bezpečnosti, požadavky na vrcholné vedení, bezpečnost lidských zdrojů, řízení kontinuity činností a řešení bezpečnostních incidentů.
Zbylých osm opatření firma zavádí podle vyhodnocení své situace. K opatřením patří příprava dokumentů, mezi které spadá bezpečnostní politika, řízení rizik, evidence aktiv nebo plán reakce na incidenty. Incidenty firmy v nižším režimu hlásí Národnímu CERTu.
Povinnosti ve vyšším režimu
Vyšší režim přebírá vše z nižšího režimu a přidává další povinnosti. Organizace musí zavést rozšířený soubor bezpečnostních opatření, počítat s přísnějšími lhůtami pro hlášení incidentů a podléhají aktivnímu dozoru NÚKIBu.
Incidenty se ve vyšším režimu hlásí přímo NÚKIBu. Dokumentace i opatření jsou rozsáhlejší a kontroly probíhají častěji. Pro většinu středních firem je proto klíčové vědět, že pokud spadají do nižšího režimu, jejich povinnosti jsou výrazně zvládnutelnější.
Co dělat, když znáte svůj režim
Zjištění režimu je teprve začátek. Skutečná práce spočívá v tom, co následuje. Důležité je jednat systematicky a nenechávat přípravu na poslední chvíli.
První kroky po zařazení
Po zjištění režimu je potřeba dokončit registraci u NÚKIBu. Po přijetí rozhodnutí o registraci pak začíná plynout dvanáctiměsíční lhůta na splnění všech povinností.
Souběžně je vhodné zahájit mapování aktiv, tedy přehled systémů, dat a dodavatelů, na kterých firma závisí.
Následuje posouzení aktuálního stavu kybernetické bezpečnosti a příprava dokumentace podle požadavků vyhlášky. Čím dříve firma začne, tím klidněji celý proces zvládne.
Jak vám Compligen pomůže splnit povinnosti
Compligen je online průvodce, který firmu provede přípravou dokumentace krok za krokem. Je navržen přímo pro firmy v nižším režimu a zohledňuje konkrétní požadavky vyhlášky 410/2025 Sb.
Na konci máte připravených dvanáct dokumentů, které slouží jako podklad pro IT oddělení i případný audit. Celý proces zvládnete online, bez nutnosti najímat konzultanta a bez měsíců čekání. Průvodce nepředpokládá znalost legislativy, stačí odpovídat na otázky o vaší firmě.
Závěr
Režimy povinností podle NIS2 jsou dva, nižší a vyšší, a o zařazení rozhoduje velikost firmy a odvětví, ve kterém působí. Většina středních firem s 50 až 249 zaměstnanci spadá do nižšího režimu, který přináší zvládnutelný soubor povinností daný vyhláškou 410/2025 Sb. Prvním krokem je ověřit si svůj režim přes samoidentifikaci na Portálu NÚKIBu a poté zahájit přípravu dokumentace. S nižším režimem vám pomůže Compligen, který celý proces zpřehlední a zrychlí.
Přečtěte si také
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
- Jak splnit NIS2 požadavky?Jak splnit požadavky NIS2 bez chaosu? Přečtěte si návod krok za krokem, jak připravit dokumentaci podle vyhlášky 410/2025 Sb.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.