Tato stránka je určena výrobcům s propojenými výrobními linkami, řídícími systémy PLC a infrastrukturou Průmyslu 4.0 v ČR. Dozví se zde konkrétní požadavky NÚKIB na zabezpečení OT/ICS, řízení dodavatelského řetězce a hlášení incidentů s ekonomickým dopadem.
Povinnost zajišťovat NIS2 se týká průmyslových výrobců operujících v ČR, jejichž výrobní nebo logistické operace zahrnují připojené systémy řízení (PLC, SCADA, MES) a quorum je dosaženo prostřednictvím ekonomického vlivu či kritičnosti dodávek. Konkrétně jde o subjekty se značným tržním podílem, vysokou zaměstnaností nebo závislostí ostatních sektorů na jejich dodávkách.
Oddělte výrobní řídící systémy (PLC, SCADA, robotika) od korporátní IT sítě pomocí industrálních firewallů a gateway zařízení. Zavádějte monitoring v reálném čase pro detekci anomálií v OT komunikaci; používejte protokoly jako Modbus, Profibus a Profinet pouze v izolovaných sítích. Implementujte zero-trust architekturu pro přístup mezi segmenty.
Vytvořte procesní mapu všech OT součástí (včetně starších PLC a IoT senzorů) a stanovte cykly testování bezpečnostních záplat v izolovaném prostředí před nasazením. Udržujte kontakt s výrobci pro informace o CVE; u systémů, které nelze aktualizovat, implementujte kompenzační opatření (virtuální patching, monitoring). Dokumentujte veškeré odklady instalace záplat s odůvodněním.
Zavedete smluvní a technické kontroly pro všechny dodavatele OT komponent, firmware a služeb vzdálené údržby. Požadujte od nich prohlášení o NIS2 souladu, bezpečnostní audity a kontrolu vzniku softwaru. Omezte přístup třetích stran k výrobním systémům pouze na definovaná okna a vyžadujte autentizaci vícefaktorovou.
Incidenty s dopadem na dostupnost výroby po dobu přesahující 4 hodiny nebo způsobující ztrátu více než 5 % kapacity se hlašují NÚKIB bez zbytečného odkladu. Vytvořte incident response tým specialista na OT; zaznamenávejte všechny bezpečnostní porušení, pokusy o průnik a anomálie. Uchovávejte záznamy (logy) minimálně 12 měsíců.
Vedete úplný soupis všech připojených zařízení včetně PLC, čidel, kamer, dronů a IoT modulů; zaznamenejte IP adresy, MAC adresy, verze firmware a vlastníky. Používejte nmap, Shodan API nebo specializované OT skenery pro pravidelné skenování; identifikujte neznámá nebo stínová zařízení. Aktualizujte inventář minimálně čtvrtletně.
Ne — zákon požaduje bezpečnostní opatření proporcionální riziku a technické životnosti systému. U neaktualizovatelných systémů implementujte kompenzační kontroly: izolaci v síti, monitoring anomálií, omezení přístupu a povinné vzdělání operátorů. Dokumentujte odůvodnění ve svém risk assessment.
NÚKIB očekává aktuální inventář minimálně čtvrtletně; v prostředích s vysokou dynamikou (časta přidávání IoT senzorů) měsíčně. Automatizované skenování lze spouštět týdně. Inventář musí zahrnovat vendor, verzi firmware, poslední aktualizaci bezpečnosti a kritičnost zařízení.
NÚKIB může udělit správní pokuty až do 10 milionů Kč za závažné porušení (např. absence incident response plánu nebo neshody v OT segmentaci). V případě opakovaného porušení nebo když incident způsobí rozsáhlý dopad, může být pokuta vyšší. Deadline pro plnou implementaci je říjen 2026.