Směrnice NIS2 zásadně mění pohled na kybernetickou bezpečnost v organizacích. Už nejde jen o IT problém, ale o řízení rizik na úrovni celé organizace, do kterého je přímo zapojeno vedení. Tento článek ukazuje, jak jednotlivé povinnosti NIS2 převést do praxe – konkrétně, srozumitelně a bez zbytečné teorie.
1. Řízení kybernetických rizik: základ všeho
Co NIS2 vyžaduje
Organizace musí mít systematický proces řízení rizik, který identifikuje, hodnotí a ošetřuje kybernetická rizika ohrožující poskytování regulované služby.
Jak to vypadá v praxi
Příklad implementace:
- firma si stanoví metodiku řízení rizik (např. vycházející z ISO/IEC 27005),
- identifikuje svá primární aktiva (služby, klíčová data),
- k nim určí podpůrná aktiva (IT systémy, zaměstnance, dodavatele),
- ke každému aktivu vyhodnotí rizika (např. ransomware, výpadek dodavatele, lidská chyba),
- výsledkem je plán zvládání rizik a prohlášení o aplikovatelnosti.
2. Bezpečnostní opatření: technická i organizační
Co NIS2 vyžaduje
NIS2 nestanovuje konkrétní technologie, ale požaduje přiměřená bezpečnostní opatření odpovídající rizikům.
Jak to vypadá v praxi
Technická opatření – příklady:
- vícefaktorové ověřování (MFA) pro administrátory,
- segmentace sítě,
- zálohování s pravidelným testem obnovy,
- monitoring bezpečnostních událostí.
Organizační opatření – příklady:
- bezpečnostní politiky (hesla, přístupy, práce s daty),
- řízení dodavatelů (bezpečnostní požadavky ve smlouvách),
- řízení změn a aktualizací.
3. Incident management a hlášení incidentů
Co NIS2 vyžaduje
Organizace musí:
- umět incident rozpoznat,
- řídit jeho řešení,
- a ohlásit ho ve stanovených lhůtách (časné varování, oznámení, závěrečná zpráva).
Jak to vypadá v praxi
Příklad implementace:
- vznikne incident response plán,
- jsou určeny role (kdo incident řeší, kdo komunikuje, kdo rozhoduje),
- zaměstnanci vědí, kam incident nahlásit,
- probíhají pravidelná cvičení (např. „co když přijde ransomware?“).
4. Role vedení: odpovědnost už nejde delegovat
Co NIS2 vyžaduje
Vrcholové vedení:
- schvaluje bezpečnostní opatření,
- dohlíží na jejich plnění,
- a nese odpovědnost za selhání (včetně sankcí).
Jak to vypadá v praxi
Příklad implementace:
- vedení jmenuje manažera kybernetické bezpečnosti,
- pravidelně dostává report o stavu KB (rizika, incidenty, plnění povinností),
- schvaluje strategická rozhodnutí (rozpočet, priority).
5. Školení a zvyšování povědomí zaměstnanců
Co NIS2 vyžaduje
Organizace musí zajistit pravidelné vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti – a to včetně vedení.
Jak to vypadá v praxi
Příklad implementace:
- povinné vstupní školení pro nové zaměstnance,
- pravidelná roční školení (online / prezenčně),
- specializované školení pro vedení a klíčové role,
- testování znalostí (např. phishingové kampaně).
6. Dokumentace a prokazatelnost
Co NIS2 vyžaduje
Nejen „dělat“, ale být schopen prokázat, že:
- opatření existují,
- jsou udržovaná,
- a fungují.
Jak to vypadá v praxi
Příklad implementace:
- evidence aktiv a rizik,
- zápisy z jednání výboru KB,
- dokumentace školení,
- záznamy o testování a auditech.
NIS2 není o tom „splnit checklist“. Je o tom pochopit vlastní rizika, nastavit odpovědnosti, zavést funkční procesy a dlouhodobě řídit kybernetickou bezpečnost. Organizace, které k NIS2 přistoupí systematicky, nezískají jen soulad se zákonem, ale i vyšší odolnost, důvěryhodnost a stabilitu podnikání.
Podívejte se na webinář "Rozbijme největší mýty o NIS2" s Jiřinou Novákovou, která se věnuje analýze informačních systémů, procesní analýze a kybernetické bezpečnosti. Je zapsána jako znalec oboru kybernetika a její pracovní zkušenosti zahrnují práci pro Ministerstvo vnitra, Úřad vlády ČR, Českou národní banku, Evropskou komisi a řadu soukromých firem.
