Určitě to taky znáte – každý ve firmě má své priority. Provoz, zákazníci, dodávky, finance. Někde mezi nimi a IT oddělením by své místo měla mít i kybernetická bezpečnost. Aktuálně čelíme vícero útokům než kdykoliv před tím. Zároveň se svět i business hýbe raketovou rychlostí a priorit je vždy spousta. Pokud cítíte, že příprava na NIS2 se prioritou ještě nějakou dobu nestane, věnujte alespoň pár minut tomu, že si přečtete, jaké to může mít důsledky.

Čekání na začátek přípravy na nová nařízení může být ta nejdražší chyba, jakou firma udělá. Implementace bezpečnostních opatření podle NIS2 totiž neprobíhá přes noc. Vyžaduje plán, kapacity a hlavně čas, který už teď neúprosně běží.

Implementace NIS2 není záležitost několika dnů

Z našich zkušeností dokáží firmy dosáhnout souladu s požadavky NIS2 obvykle v rámci 6 až 12 měsíců. Záleží však na velikosti organizace, úrovni řízení bezpečnosti a technické infrastruktuře. U větších či komplexnějších podniků může implementace zabrat mnohem déle.

Celý proces začíná zmapováním výchozí situace – bez ní nelze provést kvalitní GAP analýzu. Rozdílová analýza, jak se jí také říká, odhalí oblasti, kterým je potřeba se při implementaci věnovat. Kromě samotného zavádění technických bezpečnostních opatření je potřeba zajistit kvalitní dokumentaci všech procesů a mít řádně zachycena veškerá firemní aktiva, rizika, dodavatele, proběhlá zaměstnanecká školení a mnoho dalších.

A teď ruku na srdce - kolik z těchto kroků byste zvládli za tři měsíce?

Kdo dnes čeká, bude zítra shánět lidi

Stojí za to zmínit, že na trhu je zoufale málo kvalitních a zkušených specialistů na kybernetickou bezpečnost. Jestliže tedy nemáte dostatečně velké interní zdroje, můžete narazit. CISO (manažer kybernetické bezpečnosti), který rozumí jak byznysu, tak konkrétně NIS2, je dnes rarita. Čím později firma začne, tím menší šanci má najít potřebné kapacity.

Také z tohoto důvodu Whirr Crew nabízí outsourcing CISO. Firma tímto způsobem získá přístup k seniornímu bezpečnostnímu manažerovi, který nastaví strategii, zajistí řízení bezpečnostního systému a připraví vás na audit, aniž byste museli rozšiřovat interní tým.

Jaké povinnosti přichází už nyní?

Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) nabývá účinnosti 1. listopadu 2025.

Od tohoto data začínají plynout první zákonné lhůty, které se netýkají jen „potřebných změn později“, ale okamžitých povinností. Níže jsou klíčové kroky, které by měly být prioritou už na podzim.

1. Do 60 dnů od účinnosti – ohlášení regulované služby

Organizace, které poskytují regulovanou službu, musí nahlásit tuto skutečnost NÚKIBu. Na základě tohoto ohlášení proběhne automatická registrace poskytovatele služby.

2. Do 30 dnů od registrace – hlášení kontaktních údajů

Jakmile organizace obdrží rozhodnutí o registraci, musí během 30 dnů nahlásit kontaktní údaje pověřených osob (např. manažera kybernetické bezpečnosti, CISO, kontaktní osoby pro incidenty).

3. Do 1 roku od registrace – zavedení opatření a hlášení incidentů

Běží roční přechodné období, během kterého organizace musí:

• zavést bezpečnostní opatření podle požadavků NIS2 a národní legislativy,

• zprovoznit proces hlášení bezpečnostních incidentů,

• dokončit interní dokumentaci (analýza rizik, politiky, školení, evidence aktiv atd.).

Po uplynutí této lhůty musí být firma plně v souladu s novým zákonem a připravená na případnou kontrolu.

Je čas začít

NIS2 není další úřední formalita. Je to příležitost konečně nastavit kybernetickou bezpečnost tak, aby dávala smysl – byznysově, provozně i strategicky. A ti, kdo začnou teď, budou mít v příštím roce nejen splněnou povinnost, ale i klidný spánek.

Domluvte si konzultaci s Whirr Crew.
Pomůžeme vám nastavit realistický plán pro zabezpečení vaší firmy.