Samoidentifikace NIS2: jak zjistíte, jestli se vás ZoKB týká
Víte, že odpovědnost za zjištění, zda vaše firma spadá pod zákon o kybernetické bezpečnosti, leží na vás, a ne na úřadu? Právě k tomu slouží samoidentifikace. Přečtěte si, co obnáší, koho se týká a jak ji zvládnete krok za krokem.
Stručné shrnutí
Samoidentifikace je proces, kterým firma sama zjistí a ohlásí, že spadá pod zákon o kybernetické bezpečnosti. Stát nečeká, až povinné subjekty osloví, ale přenáší zodpovědnost za posouzení přímo na firmy. Samoidentifikace se provádí přes Portál NÚKIB a vychází z velikosti firmy, odvětví a poskytované regulované služby. Firmy splňující podmínky musí samoidentifikaci provést ve stanovené lhůtě, jinak jim hrozí postih.
Co je samoidentifikace podle ZoKB
Samoidentifikace je jedním z prvních pojmů, se kterými se firma při řešení zákona o kybernetické bezpečnosti setká. Bez jejího pochopení nelze správně začít. Souvislost s režimy povinností jsme rozebrali v článku o režimech povinností podle NIS2.
Co samoidentifikace znamená a k čemu slouží
Samoidentifikace je proces, kterým firma sama posoudí a ohlásí státu, že spadá pod zákon o kybernetické bezpečnosti. Slouží k tomu, aby se povinné subjekty samy přihlásily, aniž by čekaly na výzvu úřadu.
Jde tedy o aktivní krok ze strany firmy. Stát předpokládá, že každá organizace nejlépe zná svou velikost, odvětví i charakter služeb, které poskytuje. Proto na ni přenáší odpovědnost za první posouzení.
Proč ji musíte udělat sami
Zákon o kybernetické bezpečnosti je postaven na principu samostatného posouzení. NÚKIB nezasílá firmám individuální oznámení, že pod zákon spadají. Naopak očekává, že si firmy tuto skutečnost ověří a ohlásí samy.
To znamená, že neznalost neomlouvá. Pokud firma splňuje podmínky a samoidentifikaci neprovede, vystavuje se riziku postihu. Odpovědnost nese vedení firmy, nikoli IT oddělení nebo externí dodavatel.
Kdy a koho se samoidentifikace týká
Ne každá firma má povinnost se samoidentifikovat. Týká se to jen těch, které splňují zákonná kritéria. Je proto důležité vědět, kdo do této skupiny patří a v jakém termínu musí jednat.
Které firmy mají povinnost se samoidentifikovat
Povinnost NIS2 se vztahuje na firmy, které splňují velikostní kritérium a zároveň působí v regulovaném odvětví. V praxi jde nejčastěji o organizace s 50 a více zaměstnanci poskytující regulovanou službu.
Mezi regulovaná odvětví patří zejména:
- výroba a průmysl
- informační technologie a digitální služby
- doprava a logistika
- zdravotnictví
- energetika
- potravinářství
- vodárenství a odpadové hospodářství
- veřejná správa
Pokud firma splňuje obě podmínky zároveň, má povinnost provést samoidentifikaci a ohlásit se.
Do kdy je potřeba samoidentifikaci provést
Zákon stanovuje konkrétní lhůty, které je nutné dodržet. Jejich nedodržení může být posouzeno jako porušení povinnosti.
| Lhůta | Co je potřeba udělat |
|---|---|
| Do 60 dnů od splnění podmínek | Provést samoidentifikaci a ohlásit službu přes Portál NÚKIB |
| Do 30 dnů od doručení rozhodnutí o registraci | Nahlásit kontaktní údaje a doplňující informace o službě |
| Do 12 měsíců od doručení rozhodnutí o registraci | Zavést opatření a mít hotovou dokumentaci dle vyhlášky |
Jak samoidentifikace NIS2 probíhá krok za krokem
Samotná samoidentifikace není složitá, pokud víte, na co se zaměřit. Probíhá v několika logických krocích, které firmu dovedou až k ohlášení.
Posouzení velikosti firmy a odvětví
Prvním krokem je posoudit velikost firmy, tedy počet zaměstnanců spolu s ročním obratem nebo bilanční sumou. Následně firma ověří, zda působí v některém z regulovaných odvětví.
Teprve kombinace obou kritérií napoví, zda firma pod zákon vůbec spadá. Pokud nesplňuje ani jedno z nich, povinnost se na ni zpravidla nevztahuje.
Určení regulované služby a režimu povinností
Pokud firma kritéria splňuje, určí, kterou regulovanou službu poskytuje. Právě k této službě se budou vázat všechny další povinnosti, takže její správné určení je zásadní.
Na základě velikosti firmy a významu služby se firma zařadí do nižšího, nebo vyššího režimu povinností. Nižší režim se týká firem s 50 až 249 zaměstnanci, vyšší režim organizací s 250 a více zaměstnanci.
Ohlášení přes Portál NÚKIB
Posledním krokem je samotné ohlášení přes Portál NÚKIB. Firma zde zadá údaje o sobě a o regulované službě a provede samoidentifikaci elektronicky.
Po ohlášení následuje registrace, na základě které NÚKIB vydá rozhodnutí o registraci. Od jeho doručení začínají běžet další zákonné lhůty.
Co následuje po samoidentifikaci
Samoidentifikace je teprve začátek. Po ní následuje samotné plnění povinností, které je dobré nepodcenit a zahájit včas.
Po samoidentifikaci a registraci obdrží firma rozhodnutí o registraci. Od okamžiku jeho doručení začíná plynout dvanáctiměsíční lhůta na splnění všech povinností, tedy zavedení bezpečnostních opatření a přípravu dokumentace.
Do 30 dnů od doručení rozhodnutí je navíc nutné nahlásit kontaktní údaje a doplňující informace o službě. Dvanáct měsíců se může zdát jako dostatek času, v praxi ale uteče rychle.
Závěr
Samoidentifikace NIS2 je proces, kterým firma sama zjistí a ohlásí, že spadá pod zákon o kybernetické bezpečnosti. Týká se firem, které splňují velikostní kritérium a působí v regulovaném odvětví, a provádí se přes Portál NÚKIB ve stanovených lhůtách. Odpovědnost za její provedení nese vedení firmy, nikoli úřad. Po samoidentifikaci následuje registrace a dvanáctiměsíční lhůta na přípravu dokumentace a zavedení opatření. S přípravou dokumentace pro nižší režim vám pomůže Compligen.
Přečtěte si také
- Co je regulovaná služba a proč rozhoduje o tom, jestli spadáte pod NIS2Zjistěte, co je regulovaná služba a zda kvůli ní vaše firma spadá pod směrnici NIS2. Poznejte klíčová odvětví a jednotlivé režimy povinností.
- Kdo musí splnit NIS2?Týká se zákon o kybernetické bezpečnosti vaší firmy? Zjistěte, kdo musí splnit NIS2, jaká kritéria rozhodují a co hrozí při nesplnění.
- Režimy povinností podle NIS2: do kterého spadá vaše firma?Spadá vaše firma pod nižší, nebo vyšší režim NIS2? Zjistěte, jaká kritéria rozhodují, co všechno musíte splnit a jak vám s dokumentací pomůže Compligen.