NIS2 se blíží: Nová povinnost, nebo příležitost pro vaši firmu? Co to znamená pro české podnikatele a malé firmy

Možná jste o zkratce NIS2 už slyšeli, ale mávli jste nad ní rukou s tím, že kybernetická bezpečnost se týká jen bank a velkých korporací. Omyl. Nová evropská směrnice NIS2 a související český zákon o kybernetické bezpečnosti zásadně mění pravidla hry a dopadnou na tisíce českých firem, včetně těch menších a středních.

Nejde o strašení, ale o realitu. Ignorovat tuto změnu se může prodražit – a to nejen finančně. Na druhou stranu, pokud k ní přistoupíte správně, můžete svou firmu nejen ochránit, ale i posílit její důvěryhodnost a konkurenceschopnost.

Co to vlastně NIS2 je?

Zjednodušeně řečeno, NIS2 je celoevropský standard pro kybernetickou bezpečnost. Jejím cílem je zvýšit odolnost klíčových služeb v EU proti hackerským útokům a jiným hrozbám. Česká republika tuto směrnici zapracovává do nového zákona o kybernetické bezpečnosti, který má nabýt účinnosti na podzim 2025. Od té chvíle začnou platit nová pravidla.

Týká se mě to? Klíčová otázka pro každého podnikatele

To je to nejdůležitější. Zatímco původní pravidla se týkala jen pár stovek subjektů, NIS2 míří na více než 6 000 organizací v ČR. Jak poznáte, jestli jste mezi nimi?

Základní pravidlo: Regulace se primárně týká středních a velkých podniků (tedy firem s 50 a více zaměstnanci NEBO ročním obratem nad 10 milionů eur) působících ve vybraných sektorech.

Pozor na výjimky! I když jste menší firma nebo OSVČ, můžete do regulace spadat, pokud:

• Jste kritickým dodavatelem pro větší firmu, která pod NIS2 spadá (např. dodáváte software nemocnici, spravujete e-shop významnému výrobci potravin).
• Provozujete službu, která je v daném regionu nebo sektoru nenahraditelná.
• Jste poskytovatelem některých digitálních služeb (např. menší cloudové služby, online tržiště).

Subjekty se dělí do dvou kategorií s mírně odlišnými povinnostmi:

1. Zásadní (Essential): Energetika, doprava, bankovnictví, zdravotnictví, vodohospodářství, veřejná správa, digitální infrastruktura.
2. Důležité (Important): Poštovní a kurýrní služby, odpadové hospodářství, výroba (např. zdravotnických prostředků, počítačů), poskytovatelé digitálních služeb (online tržiště, vyhledávače), potravinářství.

Nejste si jistí? Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravuje nástroje, které vám pomohou s identifikací. Sledujte jeho web a buďte připravení.

Praktické důsledky: Co budu muset dělat?

Zapomeňte na vágní pojmy. NIS2 vyžaduje konkrétní a prokazatelné kroky. Nebojte se, nikdo po malé firmě nebude chtít bezpečnostní centrum jako v bance. Platí princip proporcionality – opatření musí odpovídat vaší velikosti a rizikům.

Zde je praktický návod v několika krocích:

1. Zjistěte, co je pro vás nejdůležitější (Analýza rizik)

• Sedněte si a sepište si, jaká data a systémy jsou pro chod vaší firmy klíčové. Jsou to data o zákaznících? Účetnictví? E-shop? Výrobní systém?
• Položte si otázku: Co by se stalo, kdybych o tato data přišel, byla zašifrována ransomwarem nebo se k nim dostal někdo cizí?

2. Zaveďte základní bezpečnostní opatření (Kybernetická hygiena)

Na základě analýzy zaveďte přiměřená opatření. Mezi ta základní patří:

• Řízení přístupů: Zajistěte, aby každý zaměstnanec měl přístup jen k tomu, co nezbytně potřebuje pro svou práci. Používejte silná hesla a ideálně vícefaktorové ověřování (MFA) alespoň u klíčových služeb (např. e-mail, firemní cloud).
• Zálohování: Pravidelně zálohujte všechna důležitá data. Klíčové je mít alespoň jednu zálohu uloženou offline (např. na externím disku odpojeném od sítě), aby ji nezničil případný ransomware.
• Zabezpečení sítě: Používejte firewall, zabezpečte svou Wi-Fi síť silným heslem a oddělte síť pro hosty od té firemní.
• Aktualizace: Pravidelně aktualizujte veškerý software – od operačního systému po antivirový program. Právě staré verze programů jsou nejčastější vstupní branou pro útočníky.
• Školení zaměstnanců: Vaši lidé jsou první linií obrany. Musí vědět, jak poznat podvodný e-mail (phishing), proč neklikat na podezřelé odkazy a jak bezpečně pracovat s firemními daty.
• Bezpečnost dodavatelů: Spravuje vám IT externí firma? Vede vám účetnictví externistka s přístupem do vašich systémů? Ujistěte se, že i vaši dodavatelé berou bezpečnost vážně. Nově budete za jejich pochybení odpovědní i vy.

3. Připravte se na hlášení incidentů

Pokud dojde k závažnému kybernetickému incidentu (např. únik dat, úspěšný ransomware útok), budete mít povinnost ho do 24 hodin nahlásit NÚKIBu. Měli byste mít proto jednoduchý plán, kdo ve firmě je za hlášení odpovědný a jak postupovat.

4. Určete odpovědnost

Za kybernetickou bezpečnost bude nově přímo odpovědné vedení firmy (jednatel, představenstvo). Tuto odpovědnost nelze delegovat na IT oddělení nebo externího dodavatele. Vedení musí opatření schválit a zajistit pro ně zdroje.

Kolik to bude stát a jaké hrozí sankce?

Implementace bude něco stát – minimálně váš čas, pravděpodobně i nějaké peníze za software či poradenství. Pamatujte ale na princip proporcionality.

Co je však motivací navíc, jsou sankce. Za nedodržení povinností hrozí pokuty až 10 milionů eur nebo 2 % z celosvětového ročního obratu (podle toho, co je vyšší). To může být pro menší firmu likvidační. NÚKIB sice deklaruje, že jeho cílem je pomáhat, nikoli hned trestat, ale na prokazatelné zanedbání povinností se spoléhat nelze.

Co dělat teď? První kroky

1. Zjistěte, zda se vás NIS2 týká. Podívejte se na seznamy sektorů a upřímně zhodnoťte svou činnost a vazby na dodavatele a odběratele.
2. Nepanikařte, ale začněte hned. Nečekejte, až zákon začne platit. Čím dříve začnete, tím lépe náklady a čas rozložíte.
3. Proveďte si základní audit. Projděte si výše zmíněná opatření a zjistěte, kde máte mezery.
4. Sledujte informace. Hlavním zdrojem pro vás bude web NÚKIB (nukib.gov.cz), kde najdete metodiky a doporučení.
5. Vnímejte to jako investici. Zabezpečená firma je odolnější firma. Pro vaše zákazníky a partnery budete důvěryhodnější partner, což je v dnešním digitálním světě obrovská výhoda.