Tato stránka je určena MSSP operátorům, provozovatelům SOC center a firmám poskytujícím penetration testing v České republice, kterí musí naplňovat požadavky NIS2 jako důležité entity. Dozvíte se konkrétní povinnosti, typické nedostatky a praktické kroky k compliance.
Compliance NIS2 se vztahuje na poskytovatele správovaných bezpečnostních služeb (MSSP), operátory Security Operations Center (SOC) a firmy poskytující penetration testing, které zajišťují digitální služby alespoň jednomu kritickému operátorovi nebo důležité entitě v ČR. Pokud váš podnik zpracovává bezpečnostní data, incident response nebo sledování hrozeb pro jiné organizace, jste klasifikováni jako důležitá entita.
Musíte zajistit vícevrstevnou ochranu SIEM systémů, které obsahují citlivá data klientů včetně síťových logů a bezpečnostních incidentů. Implementujte šifrování dat v klidu i během přenosu, přísupové kontroly na základě principu nejmenších práv a pravidelný audit přístupu k datům vašich klientů. Všechny součásti vašeho SOC infrastruktury musí být pokryty vulnerability scanning a penetration testing minimálně jednou ročně.
Penetrační testovací zprávy a citlivé výstupy z testů musí být uloženy v zašifrovaném úložišti se striktní kontrolou přístupu. Implementujte jasné politiky uchovávání dat s definovanými lhůtami skartace — zprávy nesmí zůstat bez řízení neomezeně dlouho. Zajistěte, že pouze autorizovaný personál má přístup k těmto zprávám a všechny přístupy jsou protokolovány.
Jestliže dojde k bezpečnostnímu incidentu, který ovlivní bezpečnost vašich klientů (např. kompromitace vašeho SOC nebo infiltrace penetračního testovacího nástroje), musíte to oznámit NÚKIB bez zbytečného odkladu a nejpozději do 72 hodin. Paralelně musíte notifikovat přímo vaše klienty a poskytnout jim podrobné informace o rozsahu incidentu a jeho vlivu na jejich bezpečnost.
Vytvořte formální klasifikaci bezpečnostních incidentů s jasnou definicí, kdy jde o incident vašeho klienta versus incident ovlivňující vaši dodavatelskou řetězec. Implementujte proces pro zjištění, zda bezpečnostní ereignost v okamžiku detekce v SOC je skutečně incidentem vašeho klienta nebo vyvolává regulační povinnost u vás jako poskytovatele služeb. Udržujte aktuální inventář všech subdodavatelů a jejich přístupu k citlivým datům.
Zavedťe explicitní politiky pro dobu uchovávání všech typů bezpečnostních dat (SIEM logy, penetrační testy, incident response záznamy) s jasným odůvodněním každé retenční lhůty. Musíte demonstrovat, že tyto lhůty nejsou samovolně neomezené, ale vycházejí z právních požadavků nebo oprávněných obchodních účelů. Proveďte audit compliance minimálně jednou ročně a zdokumentujte jej pro NÚKIB.
Musíte oznámit NÚKIB bez zbytečného odkladu a nejpozději do 72 hodin od zjištění incidentu. Oznámení musí obsahovat popis incidentu, seznam klientů, jejichž data byla potenciálně ohrožena, odhad rozsahu a příslušné technické detaily. Paralelně musíte notifikovat každého ovlivněného klienta s konkrétními informacemi o dopadu na jeho bezpečnost.
Právní minimem je obvykle 3 roky pro účely auditního trail a evidence, ale měli byste definovat delší lhůtu pouze pokud ji můžete zdůvodnit právními nebo obchodními důvody. Doporučujeme rámec 5-7 let pro archivaci s šifrováním. Všechny retenční politiky musíte zdokumentovat a jsou součástí compliance auditu NÚKIB.
NÚKIB může uložit pokuty až do 2 % tržeb vaší společnosti za závažné porušení, např. nehlášení incidentu či nezajištění bezpečnosti klientských dat. Všechny důležité entity budou kontrolovány — nedostatek dokumentace o retenčních politikách a bezpečnosti SOC bude hodnocen jako systémové selhání.