Proč toto srovnání potřebujete
Zavádění normy ISO/IEC 27001 je standardně prokazovaným indikátorem toho, že myslíte kybernetickou bezpečnost ve svém provozu vážně. Častým fenoménem se v takovém případě stává argument od managamentu: „Vždyť u nás máme ISO 27001, tím pádem jsme pro nastupující NIS2 už dávno automaticky vyřešeni a splňujeme.“
Tato zkratka je sice nadějně mířena kupředu, z pohledu nové legislativy zákona č. 264/2025 Sb. je však zásadně zavádějící. Přestože ISMS vybudované na ISO 27001 prokazatelně pokrývá odhadem bezmála 70-80 % nutných požadavků regulovaných z pohledu zákona, existují naprosto kritické propasti. Certifikace zkrátka nerovná se stoprocentní „pass“, a proto přinášíme srovnání jak pro vlastníky mezinárodního certifikátu spoléhajícího na klid domova, tak pro podniky, které dosud systém bezpečnosti informací neznali a zvažují jím od základu odstartovat.
Co je ISO 27001 a co je ISMS
Pro zarámování: ISO/IEC 27001:2022 je všeobecně mezinárodní standard definující požadavky na vybudování, zavádění, udržování a neustálé zlepšování komplexního systému řízení bezpečnosti informací – zkráceně ISMS (Information Security Management System). Srdcem této normy jsou organizované manažerské politiky, interní firemní procesy, jasné role i definované technologické standardy.
Je budován na klíčovém PDCA cyklu (Plan-Do-Check-Act neboli neustálé plánování a vyhodnocování rizik oproti reálným auditovaným výsledkům). Obrovskou sílu podkládající reálnou prokazatelnost dává firmě Annex A – klíčová příloha obsahující 93 prověřovaných kontrol setříděných napříč organizačním, personálním, fyzickým a technologickým prostředím ve spojitosti s dokumentem Prohlášení o aplikovatelnosti (SoA).
Kde se ISO 27001 a NIS2 překrývají
Pokud vaše společnost v praxi naplňuje body ze zmíněného Annexu A a plní ISMS do důsledku celého standardu, potká se silně a hmatatelně téměř v celém balíku zmíněných technických a organizačních ochranných opatření, která od vás v obou režimech povinností vyžaduje zavedený § 14 zákona 264/2025 Sb.
Norma i čerstvá směrnice vyžadují stoprocentní a shodné řešení problematiky odhalování i souvislého hodnocení interních rizik. V ISO i NIS2 potřebujete silnou elementární podstatu bezpečností politiky (A.5.1 vs. § 14 a vyhláška) i pevné řízení firemních aktiv a veškerého přístupu zaměstnanců. Pokud aplikujete řízení dodavatelů (např. ISO A.5.19 a dále), velmi silně pomůžete své certifikaci vůči opatřením NIS2 týkajících se kontroly v dodavatelském řetězci. Dále lze v obou systémech spolehnout na nutnost bezpodmínečnosti kvalitní kryptografie i zajištění detekce a odezvy prostřednictvím business kontinuity.
Co ISO 27001 nepokrývá a NIS2 vyžaduje
Narazíte na tři silné domény, kde certifikace nestačí a nařízení podle nového zákona vám udává navázané striktní legislativní plnění:
- Sankční odpovědnost státního hlášení: ISO vám pomůže identifikovat interní defekty a postavit plány logiky. NIS2 naproti tomu podle § 15-19 ukládá nekompromisní povinné úkony a hlášení u NÚKIB s hraniční linií 24 a 72 hodin pod sankcí pokut, což vnitřní normou zcela samozřejmě nikdy nepodložíte a musíte řešit až navazujícím nařízením z legislativy.
- Reaktivní komunikace s autoritou: Jsou zde v rámci bezpečnostních povinností zakotvené prvky, u nichž musíte jednat přímo podle doporučení ústředního tělesa, například musíte uposlechnout NÚKIB o reaktivním opatření v napadené lince nebo ho komunikovat vůči regulovanému odvětví v „prostoru“. Zde ISO 27001 napomůže technicky, formálně se ale stáváte závislí na centrálních hrozbách celého trhu definovaných podle Portálu úřadu.
- Zvýšená role nejvyššího řízení a odpovědnosti: Vedení firmy musí podle normy sice dávat do věci zdroje, ale podle § 58 ho případné manažerské pochybení vůči nedodržování NIS2 může potrestat dokonce novou legislativní sankcí ve formě osobního pozastavení statutární funkce orgánu.
Co NIS2 nepožaduje, ale ISO 27001 ano
Z druhé strany zákon o kybernetické bezpečnosti nepřebírá na rozdíl od certifikace třetí autority detailní byrokracii z podstaty fungování formátu interních dokumentů. Ke splnění směrnic vám stát nenakáže udržovat oficiální dokument Prohlášení o aplikovatelnosti (SoA), bude pro obhajování a reportovací kontroly kontrolovat faktické pokrytí stanoveného rámce daného z provozních regulovaných služeb.
Úžasnou devizou formátu u uceleného řízení bezpečnosti přes mezinárodní auditorství (ISO certifikace) tak zůstává ten fakt, že ISO se dotkne prokazatelnosti postupů komplexní personální bezpečnosti, důvěrně řízenému HR nebo interních personálních politik do posledního bodu spíše než v čisté, avšak obří technicko-byrokratické spleti směrnice nařizující státní detekci dat nad kyberprostorem.
Praktický postup pro firmy s ISO 27001
Pokud firmou už proudí směrnice postavené podle certifikovaného ISO modelu, je váš postup k plné přípravě poměrně systematický:
- Proveďte detailní gap analýzu (zmapujte úseky neshody): Protněte stávající SoA model společně se sloupci 14 opatření podle daného režimu vaší služby definovaných prováděcí vyhláškou zákona č. 264.
- Zaškolte personál v rovině úředních směrnic hlášení incidentů: Vaše organizace už možná řeší reporty směrem k managementu a akcionářům, ale pro potřeby NIS2 teď musí oddělení okamžitě nadefinovat eskalovat na úroveň CSIRT, NÚKIB nebo dalších institucí v rigidním formátu 24/72 přes Portál úřadu.
- Definujte přesahy práv k exekutivě: Manažeři si musí uvědomit svou osobní dopadovou rovinu vzhledem k možným personálním hrozbám z pozice zanedbání kontrol podle zákona.
Praktický postup pro firmy bez ISMS
Nemáte prozatím systémový rámec bezpečnosti zakotven vůbec? Začít můžete ideálně skrze zmíněnou certifikační strukturu. Proč? Postavit si na zelené louce legislativní rámec splnění NIS2 je z podstaty bez ustavujících politik předpřipravené a dlouze testované normy v podstatě logický nesmysl plný obrovských rizik z neošetřených mezer. Odtlačte se proto skrze proces vytvoření ISO:
- Analýza současného firemního kontextu a definování rolí.
- Podstoupení analýzy a celkového zjišťování rizik pro všechny primární systémy.
- Odvození detailních kroků vnitřní certifikace k pokrytí vyhlášky a zahájení pravidel interního neustálého ověřování auditorem odhalených chyb napříč týmy celé organizace, které potrvá klidně i 12 navazujících měsíců reálné intenzivní práce.
Co si z článku odnést?
- Certifikace dle ISO 27001 je ideálním odrazovým můstkem plnícím až 80 % technických a organizačních opatření nutných podle NIS2.
- Obě formy sdílí silné průsečíky v oblasti důkladného vedení systémů rizik a řízení firemních aktiv v celých cyklech dodavatelských řetězců a sítě.
- Zákon přináší odlišné a velice striktní parametry především v legislativních lhůtách pro státní hlášení bezpečnostních incidentů u regulovaných služeb do 24/72 hodin.
- Naprosto stěžejním odstupem je vyšší forma absolutní a osobní zodpovědnosti pro nejvyšší statutární i výkonné orgány dané firmy za případná nedodržování směrnicového minima.
- Základním mechanismem k určení přípravné práce pro splnění státních prověrek je precizní provedení gap analýzy mezi vaší SoA a definovaným § 14 platného zákona č. 264/2025.
