Tato stránka je určena vedení IT oddělení, bezpečnostním operacům a vedením vysokých škol v ČR, které musí do roku 2026 splnit povinnosti zákona č. 181/2014 Sb. v souladu s NIS2. Naučíte se konkrétní kroky k zajištění bezpečnosti studentských dat, výzkumných sítí a kritické digitální infrastruktury vzdělávacích institucí.
Vysoké školy, univerzity a soukromé střední školy s více než 500 zaměstnanci provozující digitální infrastrukturu na území ČR spadají pod NIS2 jako subjekty důležitosti. Tato klasifikace platí zejména pro instituce poskytující online vzdělávání, spravující systémy řízení učení (LMS), centrální registry studentských dat nebo páteřní výzkumné sítě. Také kvalifikují se instituce s uzavřenými výzkumnými datovými sady nebo těmi s dopadem na infrastrukturu energetiky či zdravotnictví.
Vysoké školy musí zajistit, aby všechny studijní informační systémy (SIS), platformy e-learningu (Moodle, Teams, Canvas) a úložiště osobních údajů studentů podléhaly minimálnímu bezpečnostnímu standardu. Vyžaduje se šifrování dat v klidu i v přenosu, vícefaktorová autentizace pro administratory a pravidelné penetrační testy alespoň jedenkrát ročně. Musíte zdokumentovat veškeré přístupové práva a zavést audit přístupu ke kritickým systémům.
Porušení bezpečnosti studentských záznamů nebo výzkumných dat musí být hlášena Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB) do 72 hodin. Školy musí zavést interní proces pro detekci, klasifikaci a eskalaci incidentů. Pro závažné incidenty ovlivňující více než 1000 studentů nebo významné výzkumné údaje je nutné informovat dotčené osoby bez zbytečného prodlení a vést podrobné záznamy o všech krocích nápravy.
Vysoké školy musí před nákupem nebo integracích cloudových služeb (Microsoft 365, Google Workspace, AWS) a edtech nástrojů provést audit jejich bezpečnostní úrovně. Toto zahrnuje ověření certifikací (ISO 27001, SOC 2), umístění datových center v EU a podmínek smluv týkajících se ochrany dat studentů. Nutné je zavést monitorování kritických dodavatelů a mít vypracovaný plán pro případ narušení služby nebo změny bezpečnostních podmínek.
Všichni zaměstnanci vysoké školy včetně akademických pracovníků musí absolvovat povinné školení v oblasti bezpečnosti údajů minimálně jedenkrát ročně. Studenti s přístupem k výzkumným datům nebo správě campus sítí musí projít cíleným školením o ochraně hesel, sociálním inženýrství a bezpečné práci se senzitivními výzkumnými údaji. Dokumentujte všechna školení a udržujte evidence o účasti.
Výzkumné sítě s politikou otevřeného přístupu musí implementovat segmentaci sítě tak, aby veřejně dostupná data byla oddělena od interních nebo citlivých výzkumných systémů. Vyžaduje se monitorování neobvyklé aktivity, filtrování škodlivého obsahu a pravidelné aktualizace bezpečnostních prvků. Musíte mít definovány role a oprávnění pro externí výzkumné partnery a zajistit jejich soulad s bezpečnostními standardy školyv průběhu spolupráce.
Vysoké školy a soukromé střední školy s více než 500 zaměstnanci nebo s digitální infrastrukturou poskytující vzdělávání více než 10 000 studentům musí splňovat NIS2. Konkrétně instituce provozující vlastní cloudové systémy, centrálně spravované sítě nebo významné výzkumné datové sady spadají pod Přílohu II jako subjekty důležitosti. Pokud si nejste jisti, kontaktujte NÚKIB pro oficiální klasifikaci.
Sankcí za porušení NIS2 mohou být pokuty až do výše 4 % ročního obratu instituce nebo až 50 milionů korun, podle toho, která částka je vyšší. Kromě finančních sankcí může NÚKIB nařídit nápravná opatření, vyhlášku nekonkurenceschopnosti v získávání veřejných prostředků a v závažných případech trestní odpovědnost vedoucích pracovníků. Doporučujeme zahájit přípravu bezodkladně, aby byla infrastruktura připravena do 18. října 2024 nebo nejpozději do 18. dubna 2026 podle přechodných lhůt.
Vyžadujte od poskytovatelů (Microsoft, Google, Amazon AWS) kopii jejich certifikátu ISO 27001, SOC 2 Type II nebo ekvivalentu. Ověřte si, že data studentů jsou skladována na serverech v EU a že jejich smlouva obsahuje klauzule o ochraně osobních údajů v souladu s GDPR. Doporučujeme provést pravidelný (minimálně každoroční) audit těchto poskytovatelů a zdokumentovat jejich bezpečnostní posture pomocí nástrojů jako Reglyze.