NIS2 v režimu nižších povinností. Co vše musíte splnit a kdo je „povinná osoba“? (velký přehled)

Co je to NIS2 a nový zákon o kybernetické bezpečnosti

Směrnici NIS2 jistě není třeba dlouze představovat – jde o evropský legislativní rámec s cílem posílit kybernetickou bezpečnost informačních systémů v EU (vše o NIS2 najdete zde). Do českého práva se dostává skrze nový zákon o kybernetické bezpečnosti, za jehož přípravou a administrací stojí Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Kybernetický zákon v praxi znamená, že se dosavadní regulace z několika desítek rozšíří na vyšší tisíce subjektů, povětšinou v nově zaváděném nižším režimu povinností. Ten NÚKIB definuje jako „absolutní minimum“ co se vznesených požadavků týče. „Je to opravdu ten absolutní minimální základ,“ říká ve speciální podcastové sérii Finmag.cz šéf NÚKIB Lukáš Kintr.

NÚKIB je i garantem celého návazného systému hlášení bezpečnostních incidentů. Jenže zákon samotný není ani zdaleka jediným závazným právním dokumentem. Detailní požadavky v režimu nižších povinností, které nás v kontextu nové regulace zajímají především, definuje až vyhláška 410/2025 Sb.

A proč nový zákon o kybernetické bezpečnosti vůbec potřebujeme? Odpovídá šéf NÚKIB Lukáš Kintr:

Koho se týká nižší režim povinností a jak to zjistit

Nový kybernetický zákon rozděluje regulované subjekty do dvou hlavních režimů: vyšších a nižších povinností. Pro nás je podstatný ten druhý, tedy režim nižších povinností, který se vztahuje zejména na malé a střední podniky. Podle zjednodušené definice byste měli zbystřit, jakmile máte firmu s víc než 50 zaměstnanci a nebo váš roční obrat přesahuje limit deset milionů eur (asi 241 milionů Kč dle aktuálního kurzu).

Jenže pozor, tak jednoduché to není. Zpozornět totiž musíte i tehdy, pokud vaše firma (bez ohledu na velikost či obrat) působí v některé z oblastí, které definuje příloha 1 vyhlášky 408/2025 Sb. Zní to možná složitě, ale NÚKIB se vám snaží situaci zjednodušit. Na svých stránkách proto přichystal „kalkulačku“, díky které si lze ověřit, zda pod novou regulaci v rámci NIS2 spadáte, či nikoli. Najdete ji pod tímto odkazem.

Pokud vám vyjde, že se vás regulace netýká, číst dále už nemusíte. Ti, kterých se týká, by si měli pospíšit a registrovat se na portále NÚKIB. Čas na to máte určený zákonem: 60 dní od nabytí jeho účinnosti. Tedy do 30. prosince 2025.

Registrace probíhá online a vedle základních informací o firmě, rozsahu její činnosti či kontaktní osoby obsahuje i celou řadu dalších položek. Co přesně tato registrace obnáší a co následuje, vysvětluje Marek Meisner, vedoucí pracovní skupiny registrace, evidence a podpory NÚKIB:

Jak zajistit odpovědnost vrcholného vedení

Asi nejdůležitější a první změnou, kterou nová legislativa v režimu nižších povinností zavádí, je zajištění přímé odpovědnosti vrcholného vedení firmy (tedy povětšinou vás samotných či vašich společníků). Bez ohledu na to, zda povinnosti popsané níže na někoho delegujete, či je ponecháte na sobě, z pohledu zákona jste za všechna opatření na poli kyberbezpečnosti zodpovědní právě vy.

Čím tedy začít? Jednoznačně určením osoby pověřené kybernetickou bezpečností. Opět to můžete být vy sami, ale vzhledem k objemu a ucelené agendě vyplývající z dále popsaných povinností jistě sami uznáte, že delegování je víc než na místě. Nezapomeňte podle toho náležitě upravit interní předpisy a směrnice, pokud nějaké takové máte. Jinak vaši odpovědnost řeší zákon sám.

Krom určení pověřené osoby dále musíte zajistit, že „bez zbytečného odkladu“ (takto časový rámec definuje sama vyhláška) absolvujete školení a prokážete odbornou znalost v kybernetické bezpečnosti. Platí to pro vás jako vedení (pokud je vás v čele firmy víc, tak pro všechny členy vedení) i případnou pověřenou osobu. Jste také povinni zajistit potřebné zdroje (čtěte „peníze“) pro následné systematické zajišťování kybernetické bezpečnosti uvnitř firmy.

Vedení firmy se podle vyhlášky také musí pravidelně seznamovat se stavem plnění bezpečnostních opatření, prosazovat jejich neustále zlepšování a za tímto účelem podporovat případnou pověřenou osobu. A v neposlední řadě vedení stanoví prioritu obnovy „primárních aktiv“, jak vyhláška obecně označuje veškeré IT vybavení firmy.

V praxi vás tedy nečeká nic jiného než nastavení nové (či revizi stávající) bezpečností agendy, která musí být průběžně revidována a prokazována. A jelikož jste za její funkčnost nově i zákonně odpovědní, je dobré si průběžné naplňování aktivně hlídat.

Složitost téhle agendy bude hodně závislá na velikosti a šíři působnosti firmy. Vzhledem k definici velikosti regulovaného subjektu ale tipujeme, že sami jako majitelé společnosti na to stačit nebudete. Ostatně, další bod vám o šíři povinností napoví víc.

Kdo je povinná osoba dle vyhlášky 410/2025 Sb.

Pamatujte, že povinná osoba z pohledu vyhlášky 410/2025 Sb., respektive nového zákona o kybernetické bezpečnosti, jste vy jakožto vrcholné vedení firmy (jedno- či vícečlenné). Z pohledu zákona jste tedy zodpovědní za naplnění (a průběžné naplňování) požadavků kyberzákona, byť část těchto povinností můžete samozřejmě delegovat na už zmíněnou pověřenou osobu.

Co tedy mezi základní povinnosti vaše (potažmo pověřené osoby) v systému zajišťování minimální kybernetické bezpečnosti patří? Především zavádění bezpečnostních opatření (a to přiměřeně k vašim potřebám), stanovení jejich časového rámce, průběžné evidování provedených (včetně popisu jejich zavedení) či naopak neprovedených opatření (včetně důvodů, proč jste je nezavedli), vytváření ročních přehledů o naplňování agendy a jejich uchovávání nejméně po dobu čtyř let.

Dále mezi základní povinnosti patří nastavení bezpečnostní politiky a formy a správy příslušné dokumentace, pravidelné přezkoumávání a aktualizace pravidel (i jejich následné vynucování), celkový přehled nad správou IT systémů firmy a také zajištění smluvních ustanovení s dodavateli, které „zohlední hrozby a zranitelnosti spojené s tímto dodavatelem“.

TIP: Nevíte, jak ošetřit požadavky na smluvní ujednání s dodavateli? Příloha 2 vyhlášky 410/2025 Sb. vás poměrně detailně navede, co by tato ujednání měla obsahovat

Zní to možná děsivě, ve skutečnosti je to ale jen detailní výčet v řadě firmách už běžně fungujících procesů. Nově se z nich ale stávají pro regulované subjekty procesy povinné s nutností jejich jasné a precizní dokumentace. Pokud tedy máte IT oddělení, jen mu přibude pár formulářů, pokud IT stále spravujete sami, čeká vás pravděpodobně systematizace úkonů, které už přirozeně děláte.

A nutno říci, že stát vám jde naproti. Součástí vyhlášky 410/2025 Sb., kterou doporučujeme bez ohledu na dnešní výčet detailně prostudovat, je i příloha s tabulkou, která vám v prvních krocích pomůže. A která je mimochodem i klíčem pro naplnění povinností v roční lhůtě, která začíná plynout doručením potvrzení o registraci od NÚKIB. Vzor tabulky vypadá takto:

Tab. č. 1: Přehled bezpečnostních opatření

Zdroj: NÚKIB (návod na vyplnění tabulky obsahují další přílohy vyhlášky)

TIP: Prakticky vzato je tato tabulka po svém vyplnění ona gap analýza, kterou šéf NÚKIB Lukáš Kintr zmiňuje v dalším díle podcastové série k problematice směrnice NIS2 v Česku: Extrémní pokuty a tuna povinností? Zatím stačí, když budete mít plán, mírní emoce k NIS2 Kintr

Co vše musíte v režimu nižších povinností zajistit

Detailnější pohled na vyhlášku 410/2025 Sb. prozradí, že zbylé paragrafy upřesňují už jen detaily k výše zmíněným povinnostem. Rozvádí například rozsah požadovaných školení, blíže definuje minimální požadavky na sílu používaných hesel či specifikuje, jakým způsobem budete hlásit případné bezpečnostní incidenty (to aby měl NÚKIB přehled o rizicích v kyberprostoru).

Jednotlivé paragrafy stručně shrnujeme:

§5 bezpečnost lidských zdrojů

Povinná osoba (tedy vy, nebo ten, koho sami určíte) musí definovat a zavést politiku bezpečného chování uživatelů s ohledem na témata, které vyhláška definuje v příloze 3. Dále musí stanovit pravidla pro rozvoj bezpečnostního povědomí vrcholného vedení, uživatelů, administrátorů a pověřené osoby pro kybernetickou bezpečnost.

V tomto bodě vyhláška také detailněji rozebírá rozsah požadovaného vzdělávání, a to včetně vedení firmy. A mimo jiné vyžaduje vést evidenci všech školení a seznam školených osob, což má zajistit zejména průkaznost plnění této povinnosti. Ona témata v příloze 3 vám pak mohou posloužit i k tomu, jak dané školení vést – pokud se tedy nerozhodnete tuto část svěřit externí firmě.

§6 řízení kontinuity činností

Zde vyhláška povinné osobě v režimu nižších povinností ukládá jasné a konkrétní povinnosti pro zachování provozuschopnosti regulované služby (čtěte vlastní firmy) i při kybernetickém bezpečnostním incidentu. Mimo jiné zmiňuje, že musíte stanovit prioritu jednotlivých IT systémů a přesně určit pořadí a postupy jejich obnovy.

Paragraf vám také klade za povinnost jasně definovat odpovědnosti a povinnosti konkrétních lidí ve firmě za zajištění kontinuity a obnovu činností. Součástí je i povinnost vytvářet pravidelné zálohy dat, konfigurací a nastavení IT vybavení firmy. Jinými slovy se po vás žádá jasný plán, jak postupovat v případě, kdy se vaše firmy stane obětí kybernetického útoku.

§7 řízení přístupu

Tento paragraf v režimu nižších povinností jasně definuje požadavky na přísné nastavení a správu přístupových práv k vašim IT systémům. Každý uživatel i administrátor musí mít přidělena pouze nezbytná přístupová práva, přičemž je nutné odlišit uživatelské a administrátorské účty i v rámci jedné osoby. Tato práva také musíte průběžně řídit a sledovat.

Dále je povinností zavést bezpečnostní opatření pro využívání mobilních a obdobných zařízení a zařízení, která organizace nespravuje (například soukromých notebooků a mobilů zaměstnanců), včetně pravidelných kontrol všech nastavených přístupových práv. Cílem je, aby nezabezpečené nebo málo zabezpečené cizí zařízení nemohlo ohrozit vaši firmu.

Při změně pozice zaměstnance či ukončení smluvního vztahu musíte také bezodkladně upravit přístupová práva nebo deaktivovat účet, aby nedocházelo k neautorizovanému přístupu. 

Druhá část paragrafu se pak soustředí na fyzickou bezpečnost vaší firmy. Důraz klade na zamezení neoprávněnému přístupu k IT vybavení a systémům a zmiňuje povinnost preventivních opatření proti jejich poškození, odcizení či zneužití. Lidskou řečí: své servery nevystavujte na odiv.

§8 řízení identit a jejich oprávnění

Tento paragraf ve zkratce říká, že jste povinni používat software umožňující správu identit a přístupových práv tak, abyste dokázali zajistit bezpečný a kontrolovaný přístup k vašim systémům. Mezi hlavní požadavky řadí omezení počtu neúspěšných pokusů o přihlášení, opakované ověření identity po předepsané délce nečinnosti, zabezpečení uložených a přenášených autentizačních údajů a komplexní řízení přístupových práv včetně čtení, zápisu a změny.

Mezi další povinnosti patří zavedení vícefaktorové autentizace pro ověření identity nejen uživatelů, ale zejména administrátorů. Do doby, než tohoto stavu docílíte, lze využít autentizaci pomocí kryptografických klíčů nebo certifikátů, minimálně však hesly podle jasně daných a poměrně přísných pravidel (12 znaků pro účty uživatelů, 17 znaků pro účty administrátorů…). Zajistit je třeba i pravidelnou obnovu hesel či zákaz použití jednoduchých či opakujících se hesel.

Zvláštní důraz paragraf klade na důvěrnost při vytváření a obnově autentizačních údajů, povinnost změny výchozího hesla při prvním použití, na rychlé zneplatnění obnovovacích hesel a na bezodkladnou změnu hesla, pokud je podezření na kompromitaci.

§9 detekce a zaznamenávání kybernetických incidentů

Paragraf vám ukládá hned několik povinností pro efektivní ochranu a monitorování bezpečnostního prostředí. Jde o asi nejtechničtější část vyhlášky, kde bude třeba najít vhodný síťový nástroj pro pravidelné ověřování a kontrolu dat přenášených ve firemní síti včetně blokování nevyhovující a škodlivé komunikace.

Mezi požadavky zde zaznívá i nutnost zavedení řízení automatického spouštění obsahu (zejména u vyměnitelných médií a datových nosičů – to aby se automaticky nenainstaloval škodlivý software pouhým vložením USB klíčenky do portu či CD do mechaniky), nutnost používání nástrojů pro nepřetržitou automatickou ochranu proti škodlivému kódu (čtěte „antiviru“), zejména pak na serverech a koncových stanicích – počítačích. Antivir musí být aktuální a průběžně aktualizovaný.

Součástí této části je i povinnost zaznamenávat bezpečnostní a provozní incidenty s podrobnými daty, jako jsou čas a datum události, typ činnosti, identifikace napadeného systému a účtu původce, a zda byla činnost úspěšná. Záznamy musíte po vámi zvolenou dobu (dle potřeb firmy) i uchovávat.

§10 řešení kybernetických incidentů

Tento paragraf povinné osobě ukládá komplexní povinnosti v rámci prevence, detekce, vyhodnocení, hlášení a následného řešení kybernetických bezpečnostních událostí a incidentů. Konkrétně povinná osoba musí:

• zajistit, aby uživatelé, administrátoři, osoby pověřené kybernetickou bezpečností a další zaměstnanci monitorovali a oznamovali neobvyklé chování technických aktiv a podezření na zranitelnosti;

• vypracovat metodiku pro posuzování událostí a incidentů včetně hodnocení významnosti jejich dopadu;

• poskytnout detekční mechanismy pro sledování kybernetických bezpečnostních událostí a podle vytvořené metodiky je vyhodnocovat

• a zajistit hlášení incidentů s významným dopadem na portále NÚKIB.

§11 bezpečnost komunikačních sítí

Vyhláška se týká i ochrany síťového prostředí, tedy firemní sítě jako takové. Povinni jste zajistit, aby bylo odděleno (segmentováno) provozní a zálohovací prostředí, čímž minimalizujete riziko narušení celého systému. Komunikační toky na hranicích sítě musíte také omezit jen na nezbytné minimum – tedy omezit veškerá ta „zadní vrátka“ v napojení na systémy dodavatelů a podobně.

Jako povinná osoba máte povinnost využívat „aktuálně bezpečné a odolné komunikační protokoly“ a v případě, kdy ve firmě využíváte vzdálené připojení do interní sítě nebo vzdálenou správu IT systémů, limitovat i tato připojení jen na nutný rozsah, zajistit důvěrnost spojení, a mít detailní přehled o všech uživatelích a administrátorech, kteří tato připojení využívají.

§12 aplikační bezpečnost

Neaktualizovaný počítač je jako nechat klíče v zámku. I proto vyhláška přichází s nařízením, že jako regulovaná firma máte povinnost využívat jen aktualizované systémy a software. Právě bezodkladné zajištění všech schválených bezpečnostních aktualizací, které výrobce či dodavatel vydá, považuje za zásadní podmínku pro minimalizaci rizika známých bezpečnostních děr.

Vyhláška také přímo zmiňuje IT systémy, která už přímou podporu výrobce nedisponují. Příkladem může být operační systém Windows 10, jehož podpora oficiálně skončila letos 14. října (Máte ve firmě Windows 10 a nevíte, co dál? I s tím poradíme). V takovém případě jste povinni zajistit, že daný počítač bude zabezpečen stejně nebo lépe, než by byl bez přímé podpory. Nařizuje také omezit zapojení takových počítačů do sítě na nezbytné minimum.

§13 kryptografické algoritmy

A nakonec je tu paragraf, který vám jako povinné osobě nařizuje používat aktuálně bezpečné a odolné kryptografické algoritmy nejen k zajištění bezpečnosti samotných IT systémů, ale i komunikace mezi nimi.

V podstatě vám tímto NÚKIB říká, že musíte ve firmě používat pouze takové šifrovací metody, které jsou v současnosti považovány za bezpečné a které odolávají známým útokům. A dbát při tom na jeho doporučení, protože kryptografické algoritmy nejsou statické, zastarávají a přestávají být spolehlivé.

Tento požadavek se navíc týká ochrany všech druhů komunikace (hlasové hovory, videokonference, e-maily) i případnou nouzovou komunikaci uvnitř firmy.

Praktické kroky k implementaci a dodržování povinností NIS2

Co z toho všeho tedy plyne? Asi to nejdůležitější, co je teď třeba udělat, je se nadechnout a vstřebat obavy, které do jistě plynou jen z míry detailu popisu nových povinností. Když se na ně podíváte s odstupem, zjistíte, že stačí celý přístup k IT ve firmě a jeho zabezpečení systematizovat, pravidelně školit své lidi i sebe a vše dokumentovat.

Jistě, je to další administrativa navíc. Nejedna zkušenost napadené firmy (jeden příklad za všechny jsme popsali zde) ale dokazuje, že tlak na vyšší odolnost firem dává v 21. století a při nástupu umělé inteligence velký smysl. Když tak odhodíte obavy a pokusíte se všechny povinnosti naplnit krok za krokem, jejich výčet se rychle minimalizuje.

Jak konkrétně na to? Už v minulosti jsme podobný návod přinesli (Jak naplnit požadavky směrnice NIS2? 10 kroků k úspěšnému cíli), po detailnějším prostudování vyhlášky bychom tento postup ještě lehce zestručnili – ona odpovědnost vedení je spíše legislativní definicí dílčích kroků a ony smluvní úpravy dodavatelských smluv klidně můžete řešit průběžně.

Jak tedy postupovat, abyste v prvním roce povinnosti vyplývající z NIS2 naplnili?

1. Proveďte samoidentifikaci a případně i registraci u NÚKIB (do 30. prosince 2025).

2. Zmapujte si informační systémy a identifikujte rizika (hesla, neaktuální software...).

3. Jmenujte odpovědnou osobu pro kybernetickou bezpečnost.

4. Nechte vypracovat (nebo sami vypracujte) a zaveďte interní bezpečnostní politiky a postupy.

5. Implementujte základní technická opatření včetně vícefaktorové autentizace, šifrování, zálohování a detekce incidentů.

6. Nastavte mechanismus pravidelného hlášení incidentů.

7. Pravidelně (a prokazatelně) školte zaměstnance a průběžně aktualizujte bezpečnostní procesy.

8. Kontinuálně sledujte novinky v legislativě a aktualizaci povinností.

A pamatujte: vývoj legislativy pro vás na Finmag.cz pravidelně sledujeme. Pokud nechcete, aby vám něco uniklo, přihlaste se k našemu pravidelnému newsletteru.

Našli jste v článku chybu? Dejte nám vědět, abychom ji mohli opravit. Děkujeme!

Zaujali jsme vás? Pokračujte...

• NIS2 je nutnost. Jsme zranitelnější, než si myslíme, varuje šéf NÚKIB

• Jak se ubránit hackerům? Žádná univerzální „krabička“ neexistuje, varuje expert

• PDCA cyklus. Objevte jednoduchý nástroj, který vám pomůže s růstem i směrnicí NIS2