Tato stránka je určena pro vedení IT a compliance specialisty na poskytovatelích cloudových služeb s významným počtem zákazníků v EU. Dozvíte se konkrétní požadavky NIS2 na bezpečnost infrastruktury, incident response a dokumentaci dělené odpovědnosti.
Pod NIS2 spadají poskytovatelé IaaS, PaaS a SaaS služeb, kteří obsluhují významný počet zákazníků v EU nebo jsou kritičtí pro infrastrukturu členských států. Konkrétně jde o společnosti s více než 250 zaměstnanci nebo obratem přesahujícím 50 milionů EUR, jejichž cloudy jsou přístupné z EU.
Musíte implementovat izolaci tenant-to-tenant na úrovni sítě, úložiště a výpočetních prostředků. Požadavek NIS2 vyžaduje, aby bylo fyzicky nebo logicky nemožné pro jednoho zákazníka přistupovat k datům jiného. Dokumentujte architektonické opatření v matici RACI a proveďte ročně nezávislý penetration test infrastruktury.
Při detekci bezpečnostního incidentu, který by mohl ovlivnit vaše zákazníky nebo jejich data, musíte notifikovat NÚKIB a postižené zákazníky do 24 hodin. Incident musí být klasifikován jako NIS2-relevantní, pokud se týká dostupnosti, integrity nebo důvěrnosti služby. Zavedení automatizovaného incident tiering systému zajistí správné zařazení.
Přesně musíte specifikovat, jaké bezpečnostní povinnosti nese váš podnik a jaké jsou v rukou zákazníka. Při prodeji Enterprise tarifu musíte poskytnout v souladu s NIS2 detailní SRM dokument na českém a anglickém jazyku s jasnou naplánovanou security baseline.
Podpora ISO 27001 nebo ekvivalentní mezinárodní norma je povinná k prokázání řídícího rámce. Doporučuje se získat SOC 2 Type II certifikaci s auditem minimálně za posledních 6 měsíců, která je de facto očekávána zákazníky v EU. Údaje o certifikacích zveřejněte na bezpečnostní stránce vašeho webu.
Zajistěte technické a smluvní prostředky, aby se data EU zákazníků nemohla replikovat mimo EU bez jejich souhlasu. Metadata, backupy a logování musí zůstat v EU podle §7 zákona 181/2014 Sb. Implementujte geografické omezení v hypervisor konfiguraci a v nastaveních disaster recovery.
Ano, pokud obsluhujete zákazníky v EU a máte nějakou kritickou roli (např. sloužíte financím, zdravotnictví, energii) nebo překročíte prahové hodnoty (250+ zaměstnanců, 50M+ EUR obratu), jste podstatnou entitou dle Přílohy I. NÚKIB vás kontaktuje s konkrétní klasifikací. Připravte si proto ihned incident response tým a dokumentaci SRM.
Ne. Notifikace do 24 hodin se vztahuje pouze na incidenty klasifikované jako NIS2-relevantní — tedy ty, které mají vliv na dostupnost, integritu nebo důvěrnost vaší služby. Běžné bezpečnostní obavy bez vlivu na službu se nepodléhají tomuto SLA. Doporučujeme zavést jasný klasifikační процес s NÚKIB, aby nebyla pochybnost.
NÚKIB může uložit pokutu až do 10 milionů Kč za závažné porušení bezpečnostních povinností (např. nedostatečná notifikace incidentů, chybí audit trails). Penalizace se zvyšují, pokud jde o opakované porušení. Nejlepší ochrana je proaktivní compliance — zaměřit se na incident response plánování a průběžný monitoring do května 2026, kdy se NIS2 plně uplatňuje.