Tato stránka je určena provozovatelům elektrizačních soustav, distributorům plynu, operátorům sítí tepelné energie a dodavatelům paliv v ČR. Dozvíte se konkrétní povinnosti, které musíte splnit do roku 2026 dle zákona č. 181/2014 Sb. a směrnice NIS2.
Subjekty, které klasifikuje NÚKIB jako provozovatele kritické infrastruktury v sektoru energetiky, plynu a tepelného hospodářství. Jedná se o společnosti provozující nadřazené elektrizační soustavy, distribuční soustavy elektrické energie a plynu, operátory dopravních sítí plynu a sítí dálkového vytápění s roční produkcí nebo distribucí nad stanoveným prahem. Zahrnuty jsou i poskytovatelé paliv s vlivem na energetickou bezpečnost.
Všechny řídicí systémy technologických procesů (SCADA, PLC, DCS) musí být odděleny od kancelářní IT sítě fyzickou segmentací. Nemůžete mít přímou přístupnost SCADA z počítačové sítě bez kontrolovaného přechodu přes demarkační bod. Implementujte monitoring anomálií v OT prostředí s alespoň týdenním auditováním logů přístupu k řídícím prvkům.
Bezodkladně (do 24 hodin) hlašte NÚKIB kybernetické incidenty, které vedou nebo mohou vést k přerušení dodávky elektrické energie, plynu nebo tepla přesahující 15 minut v oblasti více než 50 tisíc zákazníků. Pokud incident ovlivňuje více než jednu členskou zemi EU, jste povinni hlásit jej komunitě přes EGC (European Grid Coordination Platform).
Dokumentujte zdroje všech komponent, které instalujete do SCADA a OT infrastruktury (transformátory, chytré měřiče, relé, moduly). Vyžadujte od výrobců a dodavatelů písemné záruky týkající se absence škodlivého kódu a zranitelností, a to zejména pro zařízení s přístupem k sítím. Proveďte audit kritických komponent minimálně jednou za dva roky.
Všechny transformační a rozvodné stanice, které ovládají průtok elektřiny nebo plynu, musí mít kombinovanou fyzickou ochranu (zámky, osvětlení, plotů) a 24/7 monitorování vstupu. Provozujte také senzory neobvyklé aktivity (teplota, vlhkost, vibraci) a detekci sabotáže. Fyzický přístup k zařízení musí být protokolován a vázán na silnou identifikaci osob.
Přístup poskytovatelů podpory (remote support, vendor access) k jakýmkoli OT systémům musí být vázán na schválení operátora v reálném čase, časově omezený (max. 4 hodiny bez opětovného schválení) a šifrován (min. TLS 1.2). Všechny vzdálené relace musí být zaznamenávány s tím, koho si nemigruje, kdy, jak dlouho a jaké příkazy provedl.
Fyzická segmentace znamená, že kabely sítě OT jsou vedeny odděleně, jsou napojeny do oddělených switchů a jejich připojení k IT síti je možné pouze přes brány (DMZ appliances) s hlubinnou inspekcí paketů. Tato brána musí vyžadovat alespoň dvoustupňovou autentizaci a loggovat všechny pokusy o přístup. Sítě nesmí sdílet žádné aktivní síťové prvky (routery, switche) na vrstvě 2/3.
Hlášení musí být zasláno do 24 hodin od zjištění incidentu, který způsobil nebo může způsobit přerušení dodávky elektřiny, plynu nebo tepla delší než 15 minut pro více než 50 tisíc zákazníků. Hlášení musí obsahovat: čas zjištění, popis incidentu, počet postižených zákazníků, dopad na ostatní sektory (pokud je znám), a původní příčinu (pokud je v tuto dobu identifikována). Následné hlášení o vyřešení incidentu se podává do 24 hodin po obnovení provozu.
Sankce za porušení zákona č. 181/2014 Sb. dosahují až do výše několika milionů korun pro právnické osoby a lze uložit správní trest, další i trestní odpovědnost podle trestního zákona. Termín plné implementace všech povinností NIS2 je 18. října 2026. Od tohoto data musí být všechny podstatné subjekty v sektoru energetiky připraveny na inspekci NÚKIB v oblasti kybernetické bezpečnosti.