Roky platilo, že kybernetická bezpečnost je „starost velkých korporací a státu". S příchodem směrnice NIS2 to ale dvojnásob neplatí. Regulace nově dopadá na desetitisíce firem napříč Evropou — a řada z nich vůbec netuší, že povinnosti už běží. V tomto článku si srozumitelně vysvětlíme, o co jde, koho se to týká, co konkrétně musíte mít zavedené a jak se na to připravit bez paniky.

Co je NIS2 a proč vůbec vznikla

NIS2 je evropská směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti. Navazuje na původní směrnici NIS z roku 2016, kterou ale realita posledních let dávno přerostla — počet i sofistikovanost útoků raketově vzrostly a ransomware se stal byznysem za miliardy. Cílem NIS2 je proto sjednotit laťku zabezpečení napříč EU a hlavně ji posunout výrazně výš.

V Českém prostředí se směrnice promítá do nového zákona o kybernetické bezpečnosti, který spravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Pro firmu to v praxi znamená jediné: bezpečnost přestává být dobrovolná „nadstavba" a stává se zákonnou povinností s jasnými pravidly a kontrolou.

ℹ️
V kostce: NIS2 nepřináší jen „papírování". Jejím smyslem je, aby vám firma nepřestala fungovat kvůli útoku, který šlo rozumnými opatřeními zastavit nebo aspoň přežít se zálohou.

Koho se NIS2 týká

Tohle je nejčastější otázka — a odpověď má dvě roviny: sektor a velikost. Zjednoduše řečeno: pokud podnikáte ve vyjmenovaném oboru a zároveň překračujete velikostní práh, regulace se vás pravděpodobně týká. Subjekty se navíc dělí na dvě kategorie s odlišnou mírou dohledu.

KategorieTypické sektoryMíra dohledu
Klíčové subjektyenergetika, doprava, bankovnictví, zdravotnictví, vodní hospodářství, digitální infrastruktura, veřejná správavyšší — proaktivní dozor
Důležité subjektypoštovní služby, odpady, výroba a distribuce, potravinářství, chemie, výzkum, poskytovatelé digitálních služebnižší — dozor zpravidla až po incidentu

Velikostní hranice obvykle odpovídá střední firmě (řádově od 50 zaměstnanců nebo od určitého ročního obratu), existují ale výjimky, kdy regulace dopadá i na menší subjekty — typicky tam, kde je organizace pro daný sektor kritická. Proto se nevyplatí spoléhat na „my jsme malí, nás se to netýká".

⚠️
Pozor na dodavatelský řetězec: i když sami pod NIS2 nespadáte, může to po vás chtít váš zákazník, který pod ni spadá. Bezpečnost dodavatelů je totiž jednou z explicitních povinností — a tak se požadavky šíří „po řetězci" i na menší firmy.

Jaké konkrétní povinnosti směrnice přináší

NIS2 nepředepisuje konkrétní technologii nebo značku, ale výsledek: firma musí umět rizika rozpoznat, snížit je a v případě incidentu správně zareagovat. V praxi se to opírá o několik pilířů.

  • Řízení rizik a bezpečnostní politika — víte, co chráníte, jaká jsou hlavní rizika a kdo za bezpečnost odpovídá.
  • Řízení přístupů a vícefaktorové ověření (MFA) — silná hesla nestačí; klíčové účty chrání druhý faktor.
  • Zálohování a plán obnovy — pravidelné, šifrované a hlavně otestované zálohy podle pravidla 3-2-1.
  • Správa zranitelností a aktualizací — záplaty se instalují řízeně, ne „až bude čas".
  • Detekce a reakce na incidenty — moderní ochrana koncových bodů (EDR) a jasný postup, co dělat, když se něco stane.
  • Hlášení incidentů — závažné incidenty se hlásí regulátorovi v daných lhůtách.
  • Bezpečnost dodavatelů — hlídáte i rizika plynoucí z vašich poskytovatelů a dodavatelů.
🔒
Důležitý detail: za kybernetickou bezpečnost podle NIS2 odpovídá vedení firmy. Není to už „věc ajťáka" — statutární orgán musí opatření schválit, dohlížet na ně a může za jejich zanedbání nést osobní odpovědnost.

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Kolik to může stát, když to podceníte

Motivace „udělat to pořádně" nestojí jen na pokutách, ale i ty umí být velmi citelné. K tomu připočtěte náklady na samotný incident — výpadek provozu, ztrátu dat, poškození reputace.

až 10 mil. €nebo 2 % obratu — horní hranice pokut u klíčových subjektů
hodinyv jakých se hlásí závažný incident regulátorovi
60 %menších firem zasažených vážným útokem mívá zásadní provozní problémy

Jak se připravit — krok za krokem

Dobrá zpráva: na NIS2 se nemusíte připravovat skokem ani sami. Smysl dává postupný, řízený přístup.

  1. Zjistěte, zda se vás týká. Posuďte sektor i velikost a roli ve svém dodavatelském řetězci.
  2. Udělejte si analýzu stavu (gap analýzu). Kde dnes stojíte oproti požadavkům — co máte, co chybí.
  3. Stanovte priority podle rizika. Nejdřív řešte to, co má největší dopad: zálohy, MFA, aktualizace, ochrana koncových bodů.
  4. Zaveďte opatření a zdokumentujte je. Politiky, postupy a důkazy, že věci skutečně fungují.
  5. Otestujte a udržujte. Bezpečnost není jednorázový projekt, ale průběžný proces — testy obnovy, revize přístupů, sledování zranitelností.
💡
Tip na začátek zdarma: spusťte si náš on-line audit bezpečnosti domény. Za pár minut a jen na základě veřejně dostupných údajů zjistíte, jak jste na tom se zabezpečením e-mailů (SPF, DKIM, DMARC), DNS a certifikáty — a co řešit jako první.

Tři mýty, kvůli kterým firmy zbytečně otálejí

„Jsme moc malí." Velikost je jen jedno z kritérií. Přes dodavatelský řetězec dopadá NIS2 i na malé firmy, které dělají pro regulované zákazníky.

„Máme antivirus, takže jsme v pohodě." Antivirus je základ, ne celé řešení. NIS2 chce řízení rizik, zálohy, MFA, aktualizace a postupy pro incidenty — dohromady.

„Vyřešíme to, až přijde kontrola." U závažného incidentu běží lhůty na hlášení v řádu hodin. Připravovat se až ve chvíli problému je pozdě.

Co si odnést

  • NIS2 výrazně rozšiřuje okruh povinných firem — rozhoduje sektor i velikost, ale i role v dodavatelském řetězci.
  • Za bezpečnost nově odpovídá vedení firmy, ne jen IT.
  • Jádrem jsou řízení rizik, zálohy 3-2-1, MFA, aktualizace, EDR a hlášení incidentů.
  • Připravujte se postupně podle rizika — a začněte tím, že zjistíte, kde dnes stojíte.

Jak vám pomůžeme

Většinu povinností podle NIS2 umíme nastavit a dlouhodobě hlídat za vás v rámci kybernetické bezpečnosti a IT outsourcingu. Provedeme analýzu stavu, navrhneme priority, zavedeme opatření a postaráme se o jejich provoz — od zálohování a MFA až po dohled a reakci na incidenty. Nezávazná IT kontrola vám přehledně ukáže, kde stojíte a co dává smysl řešit jako první.