Tato stránka poskytuje sektorově specifické vedení pro velkých stavebních a inženýrských firem, které spravují BIM platformy, projektové systémy a IoT zařízení na stavbách. Dozvíte se konkrétní povinnosti dle zákona č. 181/2014 Sb. a jak se vyhnout typickým nedostatkům.
Pod NIS2 musí být registrovány stavební a inženýrské firmy s více než 250 zaměstnanci nebo obratem přesahujícím 50 milionů eur, které provozují BIM platformy, projektový management a IoT systémy na stavbách kritické infrastruktury (energetika, voda, doprava, komunikace). Povinnost se vztahuje také na firmy správující budovní automatizaci a stavební monitorovací systémy pro objekty s государственным významem.
Všechny BIM platformy (Autodesk Construction Cloud, Synchro, Touchplan apod.) a projektové management systémy musí mít implementovány kontroly přístupu, šifrování dat v přenosu a v klidu, a auditní protokoly. Firmy musí zajistit, aby návrhy kritické infrastruktury (stavby pro energetiku, vodohospodářství) byly chráněny před neoprávněným přístupem subkontraktorů a třetích stran. Minimálně jednou ročně proveďte penetrační testování těchto platforem.
Každý subkontraktor, který má přístup k vašim IT systémům (včetně BIM, projektového plánování a IoT), musí absolvovat bezpečnostní prověrku a podepsat smlouvu o bezpečnosti údajů. Musíte ověřit, že jejich IT infrastruktura splňuje minimální standardy (aktualizace OS, antivirus, firewall). Vedete seznam všech subdodavatelů s přístupem a povinnost kontroly jejich souladu s bezpečnostními normami.
IoT zařízení (senzory vlhkosti, teploty, bezpečnostní kamery, stavbyvedoucí tablety) nesmí být připojena na jednu plochá síť s kancelářskými systémy. Musíte implementovat VLAN nebo fyzickou segmentaci, pravidelné aktualizace firmware a监督bezdrátového přístupu pomocí VPN. Zvláště chráňte systémy stavbyvedení a monitorování staveb kritické infrastruktury.
Porušení bezpečnostiBIM platforem či projektových systémů obsahujících návrhy kritické infrastruktury musíte nahlásit NÚKIB do 72 hodin. Musíte mít vypracován plán reakce na bezpečnostní incidenty a proveďte alespoň dvě simulační cvičení ročně. Dokumentujte všechny bezpečnostní incidenty a jejich řešení po dobu minimálně tří let.
Pokud spravujete chytrá budovní systémy (HVAC, osvětlení, přístupové systémy), musí být chráněny autentizací, šifrováním a pravidelným monitorováním. Údaje z těchto systémů (zejména u kritické infrastruktury) musí být uchovávány na bezpečných serverech s právními opatřeními o jejich utajení. Zajistěte vzdělání zaměstnanců v oblasti bezpečnosti údajů minimálně jednou ročně.
Velké stavební a inženýrské firmy s více než 250 zaměstnanci nebo obratem přesahujícím 50 milionů eur jsou klasifikovány jako podstatné entity (Příloha II). Pokud spravujete BIM nebo IoT systémy na stavbách kritické infrastruktury (energetika, voda, doprava), spadáte bez ohledu na velikost pod zvýšené požadavky. Seznamte se s právem na stránkách NÚKIB.
Implementujte roli-based access control (RBAC) tak, aby každý subdodavatel viděl pouze části projektu relevantní pro jejich práci. Šifrujte data v přenosu (HTTPS/TLS 1.2+) a v klidu (AES-256). Veškerý přístup auditujte a vedete log všech změn. Subdodavatele vždy proveďte bezpečnostní přehlídkou jejich IT infrastruktury a podepište s nimi dodatek o bezpečnosti údajů.
Pokuta za porušení povinností dle zákona č. 181/2014 Sb. je až 10 milionů korun pro podstatné entity. V případě závažného porušení (např. neoznamování incidentů do 72 hodin NÚKIB) hrozí až 40 milionů korun. Compliance musí být dokončena do konce roku 2026 dle evropské směrnice NIS2.