NIS2 se týká více firem, než čekáte. Jste mezi nimi?

Změny v legislativě zní jako věc, kterou si rádi odložíte na později. Jenže směrnice NIS2 se vás možná bude týkat dřív, než stihnete říct „audit“. Evropská unie totiž rozšiřuje pravidla pro kybernetickou bezpečnost – a tentokrát necílí jen na elektrárny nebo vodárny. Na seznam přibyla výroba, řízené IT služby a třeba i firmy, co posílají satelity do vesmíru.

Podívejme se na firmu, která dlouhodobě roste. Pár let zpět šlo o menší tým nadšenců, dnes má desítky zaměstnanců, vlastní výrobu, partnery napříč Evropou a stabilní příjmy. Zní to dobře – až do chvíle, kdy přijde e-mail s předmětem „Žádost o doložení bezpečnostních opatření“. Firmu čeká audit. A podnik musí vědět, jak jsou chráněná data, systémy, přístupy, procesy.

Původní NIS už nestačí

Původní směrnice NIS (Network and Information Security), schválená v roce 2016, byla prvním unijním pokusem o systematickou ochranu kritické infrastruktury v digitálním prostoru. Týkala se například nemocnic, vodáren, bank, energetických sítí nebo dopravců – tedy sektorů, jejichž výpadek by měl vážný dopad na celou společnost. Zaváděla základní bezpečnostní standardy a systém hlášení incidentů.

Ukázalo se ale, že digitální hrozby se netýkají jen těchto odvětví. Stále víc útoků mířilo na střední firmy, na dodavatele softwaru nebo na organizace, které nejsou strategické, ale propojené s těmi strategickými. Proto přišel čas na NIS2.

Změna přináší nové povinnosti

Firmy budou muset:

• chránit své informační systémy před útoky,

• do 24 hodin nahlásit bezpečnostní incidenty,

• řídit rizika napříč celou organizací, včetně dodavatelů,

• zodpovědnost přenést i na nejvyšší vedení,

• pravidelně školit manažery v oblasti bezpečnosti.

Každá firma přitom sama posoudí, zda do regulace spadá. Pokud ano, musí se nahlásit do registru NÚKIB. A když to neudělá, může být později vyzvána k nápravě.

Zákon rozlišuje dva režimy – vyšší a nižší. Velké firmy, které provozují strategicky důležité služby, spadnou do přísnějšího režimu. Ale ani ten mírnější neznamená výjimku, i zde platí povinnost hlásit incidenty, řídit rizika, zavádět kontrolní mechanismy a mít přehled o přístupech a datech.

Otázky, na které musíte mít odpovědi

Ať už jste digitální agentura s rozsáhlým cloudovým řešením, nebo výrobní podnik s vlastní sítí, jedno mají všechny firmy společné – pokud NIS2 v druhé polovině roku 2025 dopadne i na vás, nebude prostor na otálení. Auditoři se nebudou ptát, jestli jste slyšeli o nové směrnici, ale budou chtít vidět konkrétní důkazy, že pravidla dodržujete.

Například se připravte na tyto dotazy:

• Jak přesně probíhá odchod zaměstnance? Jsou deaktivovány přístupy, zrušeny účty, dokumentovány změny?

• Kdo všechno má přístup do hlavního systému? Kdy naposledy proběhla kontrola oprávnění?

• Jak často zálohujete a kde zálohy uchováváte? A jak snadno je možné systém obnovit?

A teď dobrá zpráva

Pokud už pracujete v systému, který kybernetickou bezpečnost bere vážně, máte z velké části vyhráno. Například řešení jako ERP systém Microsoft Business Central počítají s požadavky auditů i bezpečnostních směrnic už od začátku. Díky tomu máte pod kontrolou přístupy, identity, historii přihlášení i napojení na další systémy. To vše jsou informace, které od vás v rámci auditu mohou chtít – a pokud je dokážete rychle doložit, vyhnete se zbytečnému stresu i zdržování.

A právě tady přichází ke slovu dobrý partner. Třeba On Point. Pomůžeme vám projít procesem bezpečnostního auditu jednoduše a bez stresu. Když přijde dotazník, vyřídíme ho a bez nutnosti dohledávat všechno ručně. Když se něco změní, jsme připraveni to řešit. A vy se mezitím můžete dál soustředěně věnovat svému byznysu.

Ještě ERP systém nemáte? Prozkoumejte jeho výhody.

Chcete se dozvědět víc? Kontaktujte nás, rádi s vámi téma probereme.

Autorka článku: Kristina Sverkunová