Evropská směrnice NIS2 přináší nové povinnosti v oblasti kybernetické bezpečnosti, které se dotknou tisíců českých firem. Pokud patříte mezi tzv. regulované subjekty, bude nutné přijmout technická a organizační opatření, vést evidenci dodavatelů, zajistit školení zaměstnanců nebo být připraveni na audit. A to vše v relativně krátkém čase.

Dobrou zprávou je, že k dosažení souladu s NIS2 nemusíte nutně budovat interní bezpečnostní tým. Klíčem je mít promyšlený plán, efektivně využívat dostupné nástroje a rozdělit implementaci do zvládnutelných kroků.

Krok č. 1: Sebeidentifikace: Týká se vás NIS2?

Prvním krokem je ověřit, zda na vás nová pravidla skutečně dopadají. Směrnice NIS2 se vztahuje na firmy z klíčových sektorů (např. IT, zdravotnictví, doprava, digitální infrastruktura), které mají více než 50 zaměstnanců nebo obrat nad 10 milionů EUR. Přesnou kategorizaci a rozsah povinností pak určuje český zákon o kybernetické bezpečnosti (ZoKB).

Pokud si nejste jistí, lze využít služeb odborného poradce nebo využít online dostupné nástroje , které provedou základní hodnocení online po zodpovězení několika otázek o podniku. K tomu můžete využít například formulář zde.

Krok č. 2: Proveďte GAP analýzu a zjistěte, kde jste a kam se potřebujete dostat

GAP analýza je základní kámen celé implementace. Porovná aktuální stav vašich opatření s požadavky NIS2 a odhalí tzv. mezery – tedy oblasti, kde je třeba přidat nebo upravit dokumentaci, procesy či technická opatření. O GAP analýze jsme již psali v jednom z předešlých článků.

Její zpracování v minulosti zabralo dlouhé týdny, či dokonce měsíce práce odborných konzultantů. Dnes je k dispozici vícero možností, jak analýzu zpracovat. Některé vám výsledky přinesou v řádů minut - a to za využití umělé inteligence. Výstupem je seznam opatření, která nejsou splněna a většinou také doplněna o konkrétní doporučení k nápravě.

Krok č. 3: Vytvořte realistický implementační plán

Na základě GAP analýzy a zmapování rizik vytvořte plán, který rozfázuje jednotlivé aktivity podle priorit a kapacit. Doporučujeme např. tento postup:

• 0–3 měsíce: Sebehodnocení, GAP analýza, definice rolí a odpovědností, příprava politik

• 3–6 měsíců: Školení zaměstnanců, řízení třetích stran, tvorba dokumentace a krizových scénářů

• 6–12 měsíců: Zavádění technických opatření, testování, interní audit, nastavení průběžné kontroly

S tímto plánem navíc prokážete úsilí o dosažení souladu při případné kontrole ze strany NÚKIB.

Krok č. 4: Zmapujte rizika a třetí strany

NIS2 neřeší jen vnitřní procesy – klade důraz i na řízení rizik napříč celým dodavatelským řetězcem. I menší firmy tak musí vědět, kdo pro ně zajišťuje kritické služby, jaká rizika to přináší, a jaký dopad by měl případný výpadek.

Součástí této fáze by mělo být mimo jiné:

• vytvoření registru dodavatelů a služeb třetích stran,

• zhodnocení jejich rizikovosti a závislostí,

• základní analýza dopadů na provoz (BIA),

• a úprava smluvních vztahů tak, aby reflektovaly nové požadavky.

Nástroj Auditmaster.ai umožňuje všechny tyto informace spravovat přehledně a na jednom místě – což výrazně usnadní vaši auditní připravenost i následnou údržbu souladu.

Krok č. 5: Nezapomeňte na dokumentaci a řízení odpovědností

Jedním z klíčových požadavků NIS2 je mít jasně stanovené odpovědnosti v oblasti kybernetické bezpečnosti. Připravte základní bezpečnostní směrnice, plán školení, politiku řízení přístupů i plán reakce na incidenty.

Whirr Crew poskytuje podporu v celé této oblasti – ať už formou konzultace, návrhu konkrétních dokumentů nebo outsourcingu klíčových rolí (např. CISO, bezpečnostní auditor). Připravené máme také šablony bezpečnostní dokumentaci.

Krok č. 6: Nastavte systém průběžné kontroly a udržování souladu

Zavedením opatření práce nekončí. Je potřeba:

• pravidelně vyhodnocovat stav souladu,

• vést záznamy o proškolení zaměstnanců a výstupech z kontrol,

• být připraven na hlášení incidentů a reakci na kybernetické útoky.

Auditmaster.ai v tomto pomáhá díky funkcím pro správu dokumentace, sledování plnění povinností i vedení důkazů pro audit.

Shrnutí: Soulad s NIS2 zvládnete i bez vlastního bezpečnostního týmu

Klíčem k úspěšné implementaci NIS2 je promyšlený plán, využití dostupných nástrojů a dobré vedení projektu. Nemusíte budovat robustní interní tým – stačí mít přístup ke správným lidem a technologiím.

Ve Whirr Crew se specializujeme na efektivní a udržitelnou implementaci požadavků NIS2. Od úvodní analýzy přes vytvoření bezpečnostních politik až po dlouhodobou podporu vám pomůžeme projít celým procesem s minimem nákladů a maximem jistoty.

Zajímá vás, jak by to mohlo fungovat ve vaší firmě?