Checklist NIS2 pro firmy: Jak splnit požadavky nové kybernetické směrnice

NIS2 check list pro firmy

Evropská směrnice NIS2, která zásadně rozšiřuje povinnosti v oblasti kybernetické bezpečnosti, je v České republice na cestě k plné účinnosti. Návrh zákona o kybernetické bezpečnosti, který ji transponuje, byl na jaře 2025 schválen Poslaneckou sněmovnou a nyní čeká na projednání v Senátu a podpis prezidenta.

To firmám dává posledních několik měsíců na přípravu – a to včetně povinné registrace u NÚKIB do 60 dnů od účinnosti a zavedení všech požadovaných bezpečnostních opatření v průběhu následujícího roku.

Čas běží. A právě proto jsme připravili přehledný checklist, který vám pomůže udělat správné kroky včas a bez zbytečného stresu.

Checklist kroků pro splnění požadavků NIS2

1. Zjistěte, zda spadáte pod NIS2

Prvním a nejdůležitějším krokem je ověřit si, zda vaše firma patří mezi tzv. povinné subjekty. Obecně platí, že se NIS2vztahuje na firmy:

  • podnikající v regulovaných odvětvích (např. IT, zdravotnictví, energetika, bankovnictví, doprava, digitální služby...),
  • s více než 50 zaměstnanci nebo obratem nad 10 milionů EUR,
  • případně dodávající kritické služby větším subjektům.
2. Zmapujte aktuální stav bezpečnosti

Ještě předtím, než začnete vytvářet nové dokumenty, je důležité vědět, v jakém stavu je vaše současná úroveň kybernetické bezpečnosti:

  • Máte zavedenou politiku bezpečnosti informací?
  • Víte, jaké systémy jsou pro vás kritické?
  • Provádíte pravidelné penetrační testy?
  • Jsou zaměstnanci školeni v oblasti bezpečnosti?

Doporučujeme provést vstupní gap analýzu nebo bezpečnostní audit – ideálně podvedením zkušeného specialisty.

3. Vypracujte bezpečnostní politiku a postupy

NIS2 klade důraz na procesní řízení bezpečnosti – nestačí mít jen „nějaký firewall“. Je potřeba mít:

  • dokumentovanou bezpečnostní politiku,
  • plán obnovy po havárii (Disaster Recovery Plan),
  • incident response plan (IRP),
  • směrnice pro řízení přístupů a dodavatelů,
  • řízení rizik (včetně pravidelného přehodnocení).
4. Jmenujte odpovědnou osobu (např. CISO)

Zákon požaduje, aby měl každý povinný subjekt jasně stanovenou odpovědnou osobu za kybernetickou bezpečnost. Nemusí jít nutně o interního pracovníka. Čím dál více firem využívá službu externího CISO.
Tato osoba:

  • odpovídá za nastavení a udržení bezpečnostních opatření,
  • komunikuje s vedením a NÚKIB,
  • připravuje hlášení a bezpečnostní reporting.

Interně by tato role měla být ukotvena organizačně. Tedy s přístupem k vedení firmy a rozhodovacím procesům.

5. Nastavte procesy hlášení incidentů

NIS2 přináší přísné časové limity pro hlášení bezpečnostních incidentů:

  • prvotní hlášení do 24 hodin,
  • podrobné hlášení do 72 hodin,
  • závěrečná zpráva do 30 dnů.

Směrnice NIS2 představuje nejzásadnější změnu v oblasti kybernetické bezpečnosti za poslední dekádu. Její dopad pocítí i firmy, které dosud žádné legislativní povinnosti v této oblasti neměly. Přestože zákon v České republice teprve čeká na finální schválení v Senátu a podpis prezidenta, většina požadavků je již nyní známá a odklad přípravy může být pro firmy fatální.

Zkušenosti z jiných zemí i průzkumy českého trhu ukazují, že firmy, které přistoupí k implementaci systematicky, zvládnou přechod bez zbytečných nákladů, stresu nebo sankcí.

Zjistěte více o naší nabídce služeb k NIS2 a domluvte si nezávaznou konzultaci.

Zpět na přehled
Testimonial Left Arrow
NIS2 konzultace zdarma
Spadá vaše firma pod NIS2?

Úvodní konzultace zdarma

Nechte si nezávazně ověřit, zda spadáte pod novou kyberbezpečnostní legislativu.

Napište nám
Home One Arrow