NIS2 a kybernetická bezpečnost: na koho dopadá a co s tím

Proč NIS2 řešit teď a co riskujete

Kybernetické útoky už dávno nejsou problémem jen velkých bank a energetik. Ransomware, který zašifruje výrobní systémy nebo skladovou evidenci, dokáže zastavit i zavedenou středně velkou firmu na týdny — a způsobit škody, které se počítají v milionech. Evropský zákonodárce na to reagoval směrnicí NIS2 (směrnice EU 2022/2555), která zásadně rozšiřuje okruh povinných subjektů a poprvé v takovém měřítku přenáší odpovědnost na statutární orgány.

Pro firmy to znamená dvě věci. Za prvé: regulace, která dříve dopadala na stovky „kritických" provozovatelů, nově dopadá na tisíce podniků napříč ekonomikou. Za druhé: nejde o formální papírování, ale o reálné technické a organizační povinnosti, jejichž porušení je sankcionováno pokutami až v řádu procent z celosvětového ročního obratu — a u nejzávažnějších subjektů osobní odpovědností členů vedení.

Pokud zatím nevíte, zda vaše firma pod NIS2 spadá, jste přesně cílovou skupinou tohoto textu. Nejistota je totiž sama o sobě rizikem: lhůty na registraci a zavedení opatření běží od okamžiku, kdy se subjektem stanete, nikoli od chvíle, kdy si to uvědomíte.

Od směrnice k českému zákonu o kybernetické bezpečnosti

NIS2 je směrnice — sama o sobě firmy přímo nezavazuje. Musela být transponována do českého práva novým zákonem o kybernetické bezpečnosti, který nahrazuje dosavadní úpravu (zák. č. 181/2014 Sb.). Gestorem a dozorovým orgánem zůstává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který provozuje portál pro registraci, hlášení incidentů i metodickou podporu.

Je důležité oddělit dvě roviny ochrany dat, které se v praxi často zaměňují:

• GDPR a zákon o zpracování osobních údajů chrání osobní údaje a vyžadují přiměřená bezpečnostní opatření a hlášení porušení jejich zabezpečení (viz § 40§ 40 Izolovaný systém(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování. (2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby a) tyto osobní údaje zabezp…Oficiální znění ↗, § 41§ 41 Zabezpečení zpracování osobních údajů(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. (2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení. (3…Oficiální znění ↗, § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ zákona č. 110/2019 Sb.).
• NIS2 a zákon o kybernetické bezpečnosti chrání funkčnost informačních a komunikačních systémů a celé dodavatelské řetězce, bez ohledu na to, zda systém obsahuje osobní údaje.

Obě regulace se ale významně překrývají a doplňují. Firma, která už podle § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ zákona o zpracování osobních údajů přijala technická a organizační opatření proti neoprávněnému přístupu, změně či zničení dat a vede o nich dokumentaci (§ 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ odst. 2), má solidní základ i pro plnění povinností NIS2. Naopak kybernetický incident bude velmi často zároveň porušením zabezpečení osobních údajů s vlastní ohlašovací povinností vůči Úřadu pro ochranu osobních údajů (§ 41§ 41 Zabezpečení zpracování osobních údajů(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. (2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení. (3…Oficiální znění ↗, § 42§ 42 Ohlašování porušení zabezpečení osobních údajů Úřadu(1) Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké. (2) V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e). (3) Pokud by ozná…Oficiální znění ↗).

Na koho NIS2 dopadá: odvětví a prahy

NIS2 staví na dvojím testu — odvětvovém a velikostním.

1. Odvětvový test. Subjekt musí působit v jednom z vyjmenovaných odvětví. Směrnice je dělí do dvou skupin:

• Odvětví s vysokou kritičností: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, správa ICT služeb (B2B), veřejná správa, kosmický průmysl.
• Další kritická odvětví: poštovní a kurýrní služby, odpadové hospodářství, výroba a distribuce chemických látek, výroba a distribuce potravin, zpracovatelský průmysl (mj. zdravotnické prostředky, elektronika, strojírenství, automobilový průmysl), poskytovatelé digitálních služeb (online tržiště, vyhledávače, sociální sítě) a výzkum.

2. Velikostní test (pravidlo size-cap). Zjednodušeně regulace dopadá na podniky, které dosahují alespoň úrovně středního podniku, tedy zpravidla:

• 50 a více zaměstnanců, nebo
• roční obrat nad 10 mil. EUR a zároveň bilanční suma nad 10 mil. EUR.

Z těchto prahů existují výjimky: některé subjekty (např. poskytovatelé veřejných komunikačních sítí, poskytovatelé DNS, registrátoři domén nejvyšší úrovně, někteří poskytovatelé důvěryhodných služeb či prvky veřejné správy) spadají pod regulaci bez ohledu na velikost.

Základní vs. významné subjekty

NIS2 nově nahradila kategorie „provozovatel základní služby / poskytovatel digitální služby" dělením na:

• Významné (klíčové) subjekty — typicky velké podniky v nejkritičtějších odvětvích. Podléhají přísnějšímu, proaktivnímu dozoru (NÚKIB může kontrolovat i bez podnětu).
• Důležité (základní) subjekty — zbývající dotčené podniky. Dozor je spíše reaktivní, tedy nastupuje zpravidla až po incidentu nebo podezření.

Toto rozdělení rozhoduje o intenzitě kontrol i o horní hranici pokut. Český zákon navíc pracuje s režimy povinností odstupňovanými podle významu subjektu.

Klíčové povinnosti: řízení rizik

Jádrem NIS2 je povinnost zavést přiměřená a odpovídající technická, provozní a organizační opatření k řízení bezpečnostních rizik. Logika je shodná s § 40§ 40 Izolovaný systém(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování. (2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby a) tyto osobní údaje zabezp…Oficiální znění ↗ odst. 1 zákona o zpracování osobních údajů: úroveň zabezpečení musí odpovídat povaze, rozsahu, okolnostem a riziku. Mezi minimální okruhy opatření patří:

• analýza rizik a politika bezpečnosti informačních systémů;
• zvládání incidentů (detekce, reakce, obnova);
• kontinuita provozu — zálohování, obnova po havárii, krizové řízení (srov. povinnost zajistit obnovitelnost dat dle § 40§ 40 Izolovaný systém(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování. (2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby a) tyto osobní údaje zabezp…Oficiální znění ↗ odst. 2 písm. b);
• bezpečnost dodavatelského řetězce — prověřování dodavatelů a poskytovatelů ICT;
• bezpečnost při pořizování, vývoji a údržbě systémů, včetně řešení zranitelností;
• politiky a postupy hodnocení účinnosti opatření;
• základní kybernetická hygiena a školení zaměstnanců;
• kryptografie a šifrování;
• bezpečnost lidských zdrojů, řízení přístupů (srov. § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ odst. 4 — přístup pouze oprávněné osoby na základě individuálního oprávnění) a správa aktiv;
• vícefaktorové ověřování a zabezpečená komunikace.

Tato opatření nejsou „checklist na jeden den". Vyžadují dokumentaci, pravidelnou revizi a důkazní stopu — stejně jako § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ odst. 2 vyžaduje vést dokumentaci o přijatých opatřeních po celou dobu zpracování a § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗ odst. 4 písm. c) pořizovat záznamy o tom, kdy, kým a proč byla data zpracována.

Hlášení incidentů: třístupňový režim a krátké lhůty

NIS2 zavádí přísný a rychlý režim hlášení významných incidentů NÚKIB:

1. Včasné varování — do 24 hodin od zjištění významného incidentu (zejména je-li podezření na protiprávní jednání nebo přeshraniční dopad).
2. Oznámení incidentu — do 72 hodin s prvotním posouzením závažnosti a dopadů.
3. Závěrečná zpráva — do 1 měsíce s podrobným popisem, příčinami a přijatými opatřeními.

Tyto lhůty jsou výrazně tvrdší a vícefázové oproti hlášení porušení zabezpečení osobních údajů, kde platí pravidlo „bez zbytečného odkladu, nejpozději do 72 hodin" s povinností odůvodnit prodlení (§ 41§ 41 Zabezpečení zpracování osobních údajů(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. (2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení. (3…Oficiální znění ↗ odst. 1 a 2). V praxi proto firma po jednom incidentu může mít paralelně dvě ohlašovací povinnosti — vůči NÚKIB (kybernetická bezpečnost) i vůči Úřadu pro ochranu osobních údajů, a případně i vůči dotčeným osobám, je-li riziko vysoké (§ 42§ 42 Ohlašování porušení zabezpečení osobních údajů Úřadu(1) Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké. (2) V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e). (3) Pokud by ozná…Oficiální znění ↗ odst. 1).

Doporučujeme proto sjednotit interní incident response tak, aby jediný proces obsluhoval obě roviny. Stejně jako § 41§ 41 Zabezpečení zpracování osobních údajů(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. (2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení. (3…Oficiální znění ↗ odst. 6 ukládá vést dokumentaci o každém porušení nejméně 3 roky, i u NIS2 platí, že bez záznamů neprokážete, že jste reagovali správně a včas.

Odpovědnost vedení: nově osobní

Nejvýraznější změnou je posun odpovědnosti na statutární orgány. NIS2 ukládá, že vedení musí bezpečnostní opatření schvalovat, dohlížet na jejich plnění a absolvovat školení. Za porušení může nést osobní odpovědnost — u nejzávažnějších pochybení směrnice připouští i dočasný zákaz výkonu řídicí funkce.

Pokuty jsou nastaveny po vzoru GDPR:

• pro významné (klíčové) subjekty až do výše odpovídající 10 mil. EUR nebo 2 % celosvětového ročního obratu (vyšší z hodnot);
• pro důležité (základní) subjekty až do 7 mil. EUR nebo 1,4 % obratu.

Jednatelé a členové představenstva by si měli uvědomit, že delegování na IT oddělení je nezbavuje povinnosti dohledu. Z hlediska péče řádného hospodáře je dnes ignorování NIS2 samostatným rizikem osobní odpovědnosti za škodu.

Jak posoudit, zda firma spadá pod regulaci

Doporučujeme strukturovaný postup:

1. Odvětvový screening — zařaďte hlavní i vedlejší činnosti firmy podle příloh NIS2. Pozor na skryté zařazení (např. výrobce, který provozuje i ICT služby pro skupinu).
2. Velikostní test — ověřte počet zaměstnanců, obrat a bilanční sumu, včetně propojených a partnerských podniků (skupinová pravidla mohou malou dceru „povýšit").
3. Kategorizace — určete, zda byste byli významným, nebo důležitým subjektem.
4. Gap analýza — porovnejte stávající opatření (často už existující kvůli GDPR dle § 40§ 40 Izolovaný systém(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování. (2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby a) tyto osobní údaje zabezp…Oficiální znění ↗ a § 46§ 46 Povinnosti osob při zabezpečení osobních údajů(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů. (…Oficiální znění ↗) s požadavky NIS2.
5. Registrace u NÚKIB a nastavení procesů hlášení a řízení rizik ve stanovené lhůtě.

Šedá zóna je široká. Subjekty na hranici prahů, holdingové struktury, dodavatelé do regulovaných řetězců nebo firmy s nejednoznačným zařazením činnosti potřebují kvalifikované právní posouzení, aby zbytečně neregulovaly to, co nemusí — ani naopak nepřehlédly povinnost.

Jak vám pomůžeme / Další krok

V Legal Partners (systém řízení rizik QUADMOND™) propojujeme právní a procesní pohled tak, aby pro vás NIS2 nebyla „další papírová zátěž", ale skutečné snížení rizika. Provedeme posouzení dopadu regulace (spadáte / nespadáte a do jaké kategorie), gap analýzu vůči stávajícím opatřením podle GDPR i zákona o kybernetické bezpečnosti, nastavíme incident response sjednocující hlášení vůči NÚKIB i ÚOOÚ a připravíme rozhodovací a školicí rámec pro statutární orgán, aby vedení nečelilo osobní odpovědnosti.

Nečekejte, až lhůty doběhnou. Domluvte si nezávaznou konzultaci zdarma s advokátem Legal Partners — na konkrétní situaci vaší firmy vám řekneme, zda jste v hledáčku NIS2 a jaké první tři kroky doporučujeme.