Hledáte informace z oblasti kybernetické bezpečnosti?

Pak jste tady správně…

➡ OBLAST: NIS2 (kybernetická bezpečnost)

V zemích EU i v ČR poslední dobou začíná stále více rezonovat pojem „kybernetická bezpečnost“.

V souvislosti s tím jsou hodně zmiňované pojmy: NIS2 a zákon o kybernetické bezpečnosti.

Co to vlastně znamená? Týká se to právě Vás? Pojďme si to ve stručnosti vysvětlit:

1. Co je to NIS2 a zákon o kybernetické bezpečnosti?

Tyto pojmy mají souvislost s kybernetickou bezpečností.

NIS2 je nová směrnice EU, která se snaží posílit kybernetickou bezpečnost organizací poskytujících klíčové služby pro společnost.

NIS2 zavádí nové povinnosti v oblasti ochrany systémů, hlášení incidentů a řízení rizik, přičemž se zaměřuje na širší spektrum odvětví a podporuje spolupráci mezi státy EU.

Požadavky NIS2 se promítly do české legislativy prostřednictvím nového zákona o kybernetické bezpečnosti.

To znamená, že konkrétní povinnosti vyplývají přímo z našeho „národního“ zákona o kybernetické bezpečnosti a nikoliv z rámcové směrnice NIS2.

Rámcová směrnice EU definuje jen právní rámec a může být upřesněna zákonem na národní úrovni – podobně je to řešeno i v jiných oblastech.

2. Legislativa EU (výběr)

znění NIS2 můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

🦺 [text v přípravě, bude ještě upřesněno] 🦺

Proč EU vydala směrnici NIS2

EU zavedla novou směrnici NIS2, aby posílila kybernetickou bezpečnost států EU kvůli rostoucímu počtu závažných kybernetických hrozeb.

Původní směrnice NIS už neodrážela aktuální technologickou a bezpečnostní situaci, a proto NIS2 přináší:

  • rozšíření okruhu povinných subjektů – zahrnuje více odvětví a organizací, které jsou klíčové pro fungování společnosti a ekonomiky
  • zvýšení standardů bezpečnosti – zavádí přísnější pravidla pro ochranu sítí a informačních systémů
  • zlepšení koordinace mezi státy EU – posiluje spolupráci při řešení kybernetických incidentů a zajišťuje jednotný přístup k regulaci napříč EU

Cílem NIS2 je

  • posílit odolnost evropské infrastruktury
  • chránit občany i organizace
  • minimalizovat dopady kybernetických útoků na společnost a ekonomiku

3. Legislativa ČR (výběr)

znění zákona o kybernetické bezpečnosti můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

🦺 [text v přípravě, bude ještě upřesněno] 🦺

Režim povinností

Zákon a vyhláška o regulovaných službách nově zavádějí dvě úrovně regulace pro poskytovatele regulovaných služeb:

  • režim vyšších povinností
  • režim nižších povinností

Typ režimu stanovuje, jakými povinnosti se subjekt bude řídit. Tento model vychází z principu tzv. dvourychlostní kybernetické bezpečnosti, který má usnadnit menším a středním organizacím splnění požadovaných opatření.

Režim povinností konkrétního poskytovatele regulované služby je uveden v příloze vyhlášky o regulovaných službách.

znění vyhlášky o regulovaných službách můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

Základním kritériem je velikost podniku, ale u některých služeb se posuzují i další faktory.

Pokud organizace spadá do režimu vyšších povinností u alespoň jedné služby, tento režim se automaticky vztahuje na všechny regulované služby poskytované touto organizací.

Platí princip: jedna organizace = jeden režim

4. Základní povinnosti regulovaných organizací

Pokud bude organizace regulovaná, bude plnit následující povinnosti. Rozsah těchto povinností záleží na tom, zdali spadá do režimu vyšších či nižších povinností.

Řídí se přitom příslušnou vyhláškou podle svého režimu povinností:

znění vyhlášky o bezpečnostních opatřeních v režimu vyšších povinností můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

znění vyhlášky o bezpečnostních opatřeních v režimu nižších povinností můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

Ohlášení regulované služby

Organizace provádí ohlášení naplnění kritérií pro registraci regulované služby nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo.

Většině regulovaných organizací vznikne ohlašovací povinnost do 60 dní od účinnosti zákona, t.j.

od 01.11.2025 do 31.12.2025

Registrace poskytovatele regulované služby probíhá na základě jeho ohlášení. NÚKIB doručí organizaci rozhodnutí o registraci, a tímto okamžikem se organizace stává poskytovatelem regulované služby.

Lhůty pro plnění dalších povinností se pak počítají ode dne doručení rozhodnutí o registraci příslušnému poskytovateli regulované služby.

znění materiálu NÚKIB Jak ohlásit regulovanou službu můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

Hlášení kontaktních údajů

Nejpozději do 1 roku od doručení rozhodnutí o registraci je poskytovatel regulované služby povinen začít hlásit kybernetické bezpečnostní incidenty.

znění materiálu NÚKIB Hlášení kybernetických bezpečnostních incidentů můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

Postupné zavádění bezpečnostních opatření

Nejpozději do 1 roku od doručení rozhodnutí o registraci je poskytovatel regulované služby povinen zavádět bezpečnostní opatření.

Řídí se přitom příslušnou vyhláškou podle svého režimu povinností:

znění vyhlášky o bezpečnostních opatřeních v režimu vyšších povinností můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

znění vyhlášky o bezpečnostních opatřeních v režimu nižších povinností můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

Provádění protiopatření vydaných NÚKIB

Mezi protiopatření patří výstraha, varování a reaktivní protiopatření. Případně vydaná protiopatření musí poskytovatel regulované služby reflektovat ihned po obdržení rozhodnutí o registraci, tedy nemá žádnou přechodnou lhůtu, než začne na tato protiopatření reagovat.

Výstraha může sloužit k informování veřejnosti o kybernetickém bezpečnostním incidentu nebo o porušování povinností stanovených tímto zákonem.

Varování informuje především poskytovatele regulovaných služeb o závažné hrozbě nebo zranitelnosti v oblasti kybernetické bezpečnosti. Ti na tuto hrozbu či zranitelnost následně musí reagovat.

Reaktivní protiopatření ukládá poskytovateli regulované služby povinnost provést konkrétní kroky obecně směřující k zabezpečení aktiv před kybernetickým bezpečnostním incidentem, ať už hrozícím či probíhajícím.

5. Potřebujete více informací?

Pokud potřebujete více informací, doporučuji tento odkaz v češtině:

znění Portálu NÚKIB můžete najít: ZDE (odkaz otevře novou záložku, abyste mohli přepínat)

  • Portál NÚKIB je platformou Národního úřadu pro kybernetickou a informační bezpečnost, která je dle nového zákona o kybernetické bezpečnosti hlavní komunikační prostředek mezi NÚKIB a povinnými subjekty
  • jejich informační servis je velmi podrobně propracovaný a obsahuje řadu informačních materiálů
  • obsahuje také Kalkulačku, která Vám umožní ověřit si, zda vaše organizace poskytuje regulovanou službu podle nového zákona a jakému režimu povinností podléhá
  • obsahuje aktuálně platné předpisy v kybernetické bezpečnosti
  • obsahuje Průvodce novým zákonem o kybernetické bezpečnosti
  • obsahuje Často kladené otázky

Tyto podklady jsou zpracovány tak kvalitně, že to rozhodně nebude ztracený čas!

🦺 [text v přípravě, bude ještě upřesněno] 🦺

ℹ Máte tip na vylepšení / doplnění této stránky?

Něco, co Vám tady chybí a je reálně splnitelné to zpracovat? Takový tip uvítám!

Postupujte takto:

  • zašlete svůj tip na adresu: info@jirikvitek.cz nebo přímo kliknutím sem: info@jirikvitek.cz
  • pokud chcete, můžete přiložit komentář, který upřesní i způsob použití, jaký očekáváte
  • zkusím se nad tím zamyslet a uvidím, co se s tím dá udělat

Děkuji za Váš zájem a těším se na další spolupráci.

Mějte se hezky

Jiří Kvítek