NIS2 a kybernetická bezpečnost

Firmy spadající konkrétněji primárně na vyšší stranu regulované úderky, ponesou plný mandát doloženého prokazatelného postupu certifikovanou funkčně nahlížící autoritou z venku formou státně zanesených auditorských procesů. Těm se dotyční podrobí ve svém zjištění z pravidla každé dva roční celistvě ustálené cykly s nutností zasílaného podkladové důkazu zajištění kontrol podle § 14, nebo i nepravidelně v silně propracovaných sankčních krocích úřadem v rámci postupu prověření nahlášené chybovosti organizace vůči bezodkladně hlášenému trhu.

Gap analýza je systematický proces porovnání současného stavu kybernetické bezpečnosti ve firmě s požadavky zákona č. 264/2025 Sb. Cílem je identifikovat konkrétní mezery mezi tím, co organizace již má zavedeno, a tím, co zákon vyžaduje v rámci příslušného režimu povinností. Prakticky postupujete tak, že vezmete seznam bezpečnostních opatření definovaných prováděcí vyhláškou pro váš režim (vyšší nebo nižší povinnosti) a ke každému bodu přiřadíte aktuální stav implementace ve vaší firmě. U organizací s existujícím ISO 27001 se provádí protnutí stávajícího Prohlášení o aplikovatelnosti (SoA) se sloupci 14 opatření podle § 14 zákona. Výstupem gap analýzy je prioritizovaný seznam chybějících opatření s odhadem náročnosti a nákladů na jejich zavedení. Doporučujeme provádět gap analýzu s externím odborníkem, který má zkušenosti s implementací ISMS i s požadavky nového zákona, aby nedošlo k přehlédnutí kritických oblastí jako je řízení dodavatelského řetězce nebo procesní nastavení hlášení incidentů.

Portál Úřadu poskytovaný ze záštity NÚKIB sestává ze sjednocené silně bezpečně ochraňované uživatelské státní online komunikační zóny provádějící postižený i běžný úsek provozovaný podle povinnosti ze směrnice zcela všeobecně skrze nahrávání certifikovaných oznámení firem k podřazování, k poskytování veškerého dokumentačně zajištěného podání incidentního ohrožení do definovaných 24 i 30 denních hlášení bez oklik se zamezováním chyb z jiného nechráněného dopisu nebo napadených e-mailů uživatelů.

Za regulovanou službu se podle definice ve vyhlášení zákona nepovažuje obvykle celá firma od vedení po čistírnu prádla. Je jí brána právě přesně nadefinovaná ta nosná komerční i nekomerční služba dodávaná navenek celému trhu z pohledu zákona definovaného v ustavení kritických sektorů z dané vyhlášky a ze samotného znění zákona 264/2025 Sb. Na tyto segmentované služby stát cílí celistvým uplatňováním režimů k zajištění tržní ekonomické plynulosti a integrity dodávek občanům i segmentu jiných provozů.

TISAX je platforma vyvinutá Evropskou asociací pro ochranu informací v automobilovém průmyslu a je určena firmám v dodavatelském řetězci tohoto odvětví. Stejně jako samotná základní norma ISO 27001 i TISAX staví na ucelené logice ISMS pro audit bezpečnosti dat zúčastněných stran, nicméně ho obohacuje například o silné fyzické definování ochrany specifických a vývojových prototypů automobilových aut a zamezení úniku klíčového výrobního průmyslového tajemství.

ISMS (Information Security Management System) neboli Systém řízení bezpečnosti informací je ucelený organizační rámec procesů, pravidel, politik a technologií, jejichž cílem je chránit firemní data a zjišťovat rizika z jejich neoprávněných úniků. Na rozdíl od pouhého nákupu antiviru tvoří logiku chodu instituce tak, abyste měli nad systémem systematickou kontrolu. Jeho zavedení je základním předpokladem k plnění bezpečnostních opatření plynoucích z transpozice NIS2.

Řízení dodavatelského řetězce patří mezi klíčová bezpečnostní opatření vyžadovaná zákonem č. 264/2025 Sb. v obou režimech povinností. Organizace musí systematicky identifikovat a hodnotit kybernetická rizika plynoucí z externích dodavatelů IT služeb, cloudových providerů, vývojářů software i poskytovatelů fyzické infrastruktury. V praxi to znamená zavést proces výběru a hodnocení dodavatelů z hlediska bezpečnosti informací, definovat smluvní požadavky na kybernetickou bezpečnost (bezpečnostní přílohy smluv, SLA pro reakci na incidenty) a provádět pravidelné přezkumy plnění těchto požadavků. Zákon klade důraz na to, aby organizace znala kompletní řetězec závislostí svých kritických systémů a měla přehled o tom, kdo má přístup k jejím datům a infrastruktuře. Firmy musí rovněž ošetřit rizika spojená s koncentrací dodavatelů – tedy situaci, kdy kritická část infrastruktury závisí na jediném externím poskytovateli. Norma ISO 27001 pokrývá tuto oblast v kontrole A.5.19 a následujících, což poskytuje solidní základ pro splnění zákonných požadavků.

Zatímco minulá transponovaná původní řada prvních povinností zákona (bývalá tzv. edice směrnice NIS1 platná např. z definice 181/2014 Sb.) padala dopadem spíše a cíleně jen na tu nejkritičtější strategickou síť prvků pod velením úřadů nebo velkých přenosových korporací čítajících napříč Českou republikou zhruba do necelých odhadovaných čtyř stovek subjektu, novinka člení propad a dohled hluboko na veškeré střední struktury soukromých dodavatelských i běžných provozů čítající celoplošně rázem přes odhadem minimálně hrubě nad sedm tisíc soukromopodnikatelských celků na trhu.

Monitoring kybernetických hrozeb je jedním z technických opatření vyžadovaných zákonem č. 264/2025 Sb. pro oba režimy povinností. Jde o nepřetržité sledování síťového provozu, systémových logů a bezpečnostních událostí s cílem včas odhalit podezřelé aktivity a potenciální útoky. Základem je nasazení SIEM systému (Security Information and Event Management), který centrálně sbírá a koreluje logy z různých zdrojů – firewallů, serverů, koncových stanic, aplikací a síťových zařízení. SIEM umožňuje definovat pravidla pro detekci anomálií a generování alertů, které bezpečnostní tým vyhodnocuje. Pro firmy v režimu vyšších povinností je vhodné zvážit i EDR (Endpoint Detection and Response) řešení pro pokročilou detekci na koncových stanicích a NDR (Network Detection and Response) pro analýzu síťového provozu. Menší firmy v nižším režimu mohou začít s centrálním logováním a základním monitoringem, případně využít outsourcované služby bezpečnostního dohledového centra (SOC). Klíčové je nastavit jasné eskalační procesy, aby detekované incidenty mohly být včas nahlášeny v zákonných lhůtách 24/72 hodin.

Tvorba hlášení spoléhá na tři zcela jasně vymezené intervaly běžící od chvíle zaregistrování podstaveného kompromitování sítě. Prvotní hrubé oznámení padá už do 24 hodin, na které navazuje obsáhle definované ohlašovací předložení obsahující stopy a základní formáty napadajících vlivů do pouhých 72 hodin. Posledním kamenem zajišťujícím proces je závěrečná (nebo cyklická měsíční monitorovací) zpráva s popisem dopadu i zvratu útoku dodávaná státem určeným analytikům zpravidla do 30 dní.

Firmy spadající pod nový regulovaný kybernetický zákon musí zvládnout primárně dva klíčové časové milníky. V naprostém základu jsou povinny informovat o poskytování služby (zavedení se registrovat u úřadu NÚKIB) a to bezodkladně – maximálně do 60 dnů. Následně po doručení osvědčení, do kterého režimu firma spadá formálně, startuje neúprosná lhůta přesně 1 roku pro plné zavedení veškerých technických a procesních změn.

Organizace spravující vůbec nejklíčovější kritické služby národa (od bankéřů a datových obřích providerů po páteř energetiky) padají do režimu vyšších povinností z pohledu striktní bytnosti certifikovaného prokazování dokumentů – obsahují zavedení 14 organizačních a naprosté části z 11 zmíněných IT opatření. Menší firmy poskytující například střední výrobu, dopravu spoléhají při zařazení do méně auditově zatížené nižší sekce pro zajištění ochrany podle definovaných 13 norem prevence minimální funkční kyberbezpečnosti.

Norma ISO 27001 je mezinárodní standard pro systémy řízení bezpečnosti informací (ISMS). Zákon č. 264/2025 Sb. na rozdíl od něj nestanovuje přímo metodiku logiky auditu, ale nařizuje konkrétní lhůty hlášení (do 24/72 hodin) či sankce vůči státu. Platí, že pokud má firma zavedené kvalitní ISO 27001, pokrývá již zhruba 70 až 80 % funkčních požadavků vyžadovaných NIS2. Normu je následně potřeba pouze navázat na ohlašovací procesy směrované na NÚKIB.

NÚKIB je zkratkou pro Národní úřad pro kybernetickou a informační bezpečnost ČR – z dikce státu tedy nejvyšší centrální instituci s rozpočtem plnícím správu pro oblast veškerou definici bezpečné kybernormativity v prostoru, provozující ochranu v digitálních i chráněných informačních spojovacích sférách České republiky a dohlíží u kritických regulovaných firem s vydáváním pokut z formátu plnění opatření nařízených vůči NIS2.

Vždy zásadně záleží na aktuálním technickém vybavení nebo byznysové velikosti daného subjektu. U běžné střední výrobní firmy bez předchozí historie budování kybernetických norem může implementační fáze, nákup vhodných SW a HW produktů, interní procesní restrukturalizace i úhrady prověřovací autoritě znamenat jednorázový finanční dopad v rozmezí stovek tisíc až nižších jednotek milionů korun doplněných o následné udržovací měsíční poplatky. Včasným zaškolením CISO se lze velkým nákupním chybám vyvarovat.

Český zákon plněním směrnice o kybernetické bezpečnosti nutně nepožaduje přímo provedení nákladné certifikace skrze ISO 27001 (využití auditu u mezinárodní soukromé asociace). K prokázání stačí reálná funkčnost zavedených a vyžadovaných bezpečnostních standardů. Vzhledem ke svému nastavení ovšem ISMS napojující se na rámce z Annex A dává ideální a funkční mapu, bez které firma složitým celistvým legislativním definicím na zelené louce zkrátka neporozumí.

Nová definice legislativy přenesla významné kompetence na samotný stát pro případ silně odmítavého postoje v nápravě. Výsledek podle ustanoveného paragrafu § 58 znamená teoreticky nejvyšší personální tresty obsažené přímo proti zúčastněným voleným představitelům, manažerům z CISO i zapsaným funkčním ředitelům a sice zavedením státního ošetřovacího zákazu funkce i osobních licencích do odstraněných pochybení i do doby nápravy ohrožení dodavatelské spolehlivě zapsané služby pro státní chod.

Působnost směrnice, respektive českého zákona č. 264/2025 Sb., se řídí primárně kritériem oboru a velikosti. Spadáte pod něj, jestliže působíte v některém z 15 regulovaných odvětví (např. výroba, potravinářství, energetika, doprava či digitální služby) a zároveň máte více než 50 zaměstnanců, NEBO váš obrat či bilanční suma přesahuje 10 milionů EUR ročně. V určitých výjimečných případech může regulace dopadnout i na menší firmy, pokud jsou pro stát kritickým dodavatelem.

Zákon č. 264/2025 Sb. v režimu vyšších povinností explicitně vyžaduje zajištění testování bezpečnosti informačních systémů jako součást technických opatření. V režimu nižších povinností je testování také součástí požadavků, byť s nižší hloubkou prokazování. Penetrační testování (pentest) je jednou z nejefektivnějších metod, jak ověřit reálnou odolnost systémů proti útokům. Spočívá v simulovaném útoku na infrastrukturu firmy prováděném certifikovanými odborníky, kteří hledají zranitelnosti v síťových službách, webových aplikacích, konfiguraci serverů a dalších komponentách. Výstupem je podrobná zpráva s nalezenými zranitelnostmi, jejich závažností a doporučeními pro nápravu. Pro splnění zákona doporučujeme provádět penetrační testy minimálně jednou ročně a vždy po významných změnách v IT infrastruktuře. Výsledky pentestů zároveň slouží jako podklad pro průběžné hodnocení rizik a jako důkaz pro případný audit ze strany NÚKIB o tom, že organizace aktivně pracuje na identifikaci a odstraňování bezpečnostních slabin.