Tato stránka je určena vedení bezpečnosti, compliance manažerům a vlastníkům IT outsourcingových firem, které spravují infrastrukturu svých klientů. Zjistíte konkrétní povinnosti dle NIS2, typické nedostatky v souladu a praktické kroky k jejich odstranění do roku 2026.
Podle NIS2 se kvalifikují IT outsourcingové společnosti, systémoví integrátoři a IT konzultanty, které: (1) poskytují služby spravované infrastruktury nebo bezpečnostní služby nejméně 30 klientům v EU, (2) mají ročný obrat přesahující 50 milionů EUR nebo jsou součástí skupiny s takovým obratem, (3) spravují kritické služby nebo data více než jednoho klienta. Menší firmy poskytující služby jedinému velkému klientovi se mohou kvalifikovat, pokud je tento klient považován za subjekt kritické infrastruktury.
Musíte zavést systém řízení privilegovaného přístupu (PAM), který eliminuje sdílení hesel mezi zaměstnanci a mezi klientskými prostředími. Každý přístup do klientské infrastruktury musí být individuálně autentifikován, auditován a zaznamenán. Vzdálený přístup musí být chráněn pomocí víceúrovňové autentifikace, šifrování a nepřetržitého monitorování anomálií.
Každá smlouva s klientem musí obsahovat explicitní povinnosti týkající se bezpečnosti, včetně požadavku na hlášení incidentů způsobených vaší činností, detailů o šifrování dat, práv pro audity bezpečnosti a procesů při porušení bezpečnosti. Smlouvy musí jasně definovat, že jste odpovědní za bezpečnost svých systémů a subdodavatelů, kteří mají přístup k infrastruktuře klienta.
Pokud je incident v jejichž systémech způsoben vaší činností nebo akcí vašeho subdodavatele a vede k narušení služby důležité entity, musíte jej hlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) bez zbytečného prodlení, nejpozději do 24 hodin od zjištění. Hlášení musí obsahovat popis incidentu, dopad na klienta a opatření k jeho řešení.
Musíte vést aktuální seznam všech subdodavatelů (včetně subdodavatelů subdodavatelů), kteří mají přístup k systémům nebo datům vašich klientů nebo kterých služby jsou kritické pro vaši operaci. Pro každého subdodavatele musíte provést a zdokumentovat bezpečnostní posouzení před jeho zařazením a minimálně jednou ročně. Posouzení musí ověřit, že subdodavatel splňuje bezpečnostní standardy srovnatelné s vašimi vlastními a posoudit rizika jejich činnosti.
Veškeré přenosy dat klientů, ať mezi vaším datovým centrem a klientem nebo mezi vašimi systémy a systémy subdodavatelů, musí být šifrován pomocí aktuálních kryptografických standardů (minimálně TLS 1.2+). Šifrovací klíče musí být spravovány odděleně pro každého klienta nebo skupinu klientů a musíte vést záznam o všech klíčích a jejich rotaci.
Hlásit musíte jen incidenty, které způsobí narušení služby (výpadek, nedostupnost nebo degradace) u subjektu, kterého infrastrukturu spravujete. Pokud je váš klient sám důležitá entita (elektrárna, nemocnice, banka) nebo poskytuje službu důležitou pro bezpečnost státu, hlásíte mu incident a on jej hlásí NÚKIB. Pokud je vaším klientem běžná firma, hlásíte NÚKIB přímo jen pokud incident způsobí vážné dopady (např. týdenní výpadek produkce).
Smlouva musí obsahovat: (1) definici typů dat a jejich klasifikaci, (2) bezpečnostní povinnosti (šifrování, přístupová práva, monitorování), (3) povinnost klienta notifikovat vás o incidentech a povinnost vás jej informovat, (4) právo klienta provádět bezpečnostní audity vaší infrastruktury, (5) seznam subdodavatelů s přístupem a podmínky jejich výměny, (6) povinnost informovat o narušení bezpečnosti do 24 hodin, (7) předávání dat po ukončení smlouvy a jejich bezpečnou likvidaci.
Porušení NIS2 povinností může vést k pokutám až do 10 milionů Kč nebo 2 % ročního obratu (je-li vyšší). NÚKIB může uložit opatření na nápravy a v případě závažného porušení může zakázat provoz kritické služby. Deadline pro úplný compliance je 17. październik 2026, ale NÚKIB očekává, že do konce 2025 budete mít klíčové opatření (PAM, subdodavateľské posudky, aktualizované smlouvy) již implementované.