Tato stránka vysvětluje konkrétní povinnosti NIS2 pro MSP a MSSP poskytující služby klientům v Česku. Dozvíte se, jak zajistit bezpečnost vzdáleného přístupu, správně hlásit incidenty a předat požadavky na bezpečnost svým subdodavatelům.
Povinnosti NIS2 se vztahují na poskytovatele spravovaných služeb (MSP) a spravovaných bezpečnostních služeb (MSSP), kteří poskytují služby právnickým osobám v ČR a splňují kritéria podstatné entity. Jedná se typicky o MSP s více než 50 zaměstnanci nebo s ročním obratem přesahujícím 10 milionů eur, které spravují kritické systémy klientů nebo mají přístup k citlivým datům.
Musíte zavést zero-trust model pro všechny nástroje RMM (Remote Monitoring and Management) a vzdálené podpory. Tento model znamená ověřování každé singulární relace bez sdílení pověření správce mezi různými klientskými prostředími. Implementujte vícefaktorovou autentizaci, logování všech přístupů a reálné monitorování aktivit v každém klientském prostředí.
Jestliže dojde k bezpečnostnímu incidentu v infrastruktuře MSP, který ovlivnil nebo mohl ovlivnit systémy vašich klientů, musíte jej hlásit NÚKIB bez zbytečného odkladu a nejpozději do 24 hodin. Incidenty musíte klasifikovat podle NIS2 prahů — například neoprávněný přístup, ztráta dostupnosti služby nebo kompromitace dat. Zároveň musíte informovat všechny dotčené klienty a poskytnout jim informace o rozsahu incidentu.
Každá smlouva se subkontraktorům a kritickými dodavateli software (zejména vývojáři RMM nástrojů) musí obsahovat explicitní povinnosti bezpečnosti, včetně auditování bezpečnosti, hlášení incidentů a compliance s NIS2. Tyto povinnosti se vztahují na všechny subjekty v řetězci dodávky, které mají přístup k systémům nebo datům vašich klientů. Provádějte pravidelné posouzení bezpečnosti dodavatelů pomocí formálních dotazníků.
Musíte provádět nejméně jednou ročně průniky testování (penetration testing) svých vlastních systémů, včetně RMM platforem, VPN brán a služeb přístupu. Testování musí zahrnovat sociální inženýrství a testování pověřovacích údajů. Na základě výsledků musíte zdokumentovat nápravné opatření a jeho implementaci do 30 dnů od testu.
Musíte mít zdokumentovaný inventář všech kritických software komponent a služeb třetích stran, které používáte pro správu klientských prostředí. Pro každou komponentu musíte provádět bezpečnostní posouzení a sledovat bezpečnostní aktualizace. Zaveďte proces kontroly kódu a bezpečnostní audit pro vlastní vyvíjené nástroje a skripty.
NIS2 se vztahuje na podstatné entity. Ačkoli počet zaměstnanců není prvotní kritérium, pokud poskytujete kritické služby právnickým osobám (např. správu serveru, zabezpečení sítě) nebo máte přístup k citlivým datům, obecně se považujete za podstatnou entitu. Kontaktujte NÚKIB pro konečné určení vaší klasifikace.
Incidenty, ke kterým dochází v klientských prostředích kvůli chybě nebo bezpečnostní slabině v infrastruktuře MSP, jsou považovány za incidenty MSP. Pokud je incident způsoben zneužitím vašich nástrojů správy, musíte jej hlásit NÚKIB bez zbytečného odkladu. Incidenty způsobené vlastním klientem (např. jeho slabé heslo) mohou klasifikovat klienti sami, ale musíte jej rychle informovat.
Pokud neplníte povinnosti NIS2 do 31. prosince 2025 (uvedeno v zákoně č. 181/2014 Sb. v aktuální verzi), NÚKIB může udélit pokutu až do výše 5 procent ročního obratu, maximálně 10 milionů korun. Zároveň lze nařídila okamžité odstranění nedostatků. Doporučujeme zahájit přípravy nyní.