Tato stránka je určena odpovědným pracovníkům v orgánech státní správy, municipálních úřadech a veřejných agenturách, které provozují digitální služby. Seznámíte se s konkrétními povinnostmi NIS2, kritickými prvky bezpečnosti a praktickými kroky k dosažení souladu s českými požadavky NÚKIB.
Compliance s NIS2 je povinná pro všechny centrální státní úřady, ministerstva, krajské úřady, obecní úřady s více než 10 000 obyvateli a státní agentury provozující kritické digitální služby včetně e-governmentových portálů, databází občanů nebo registrů. Neplatí žádný práh velikosti; povinnost se vztahuje na všechny státní instituce bez výjimky, pokud mají na starosti bezpečnost kritické informační infrastruktury nebo veřejné služby.
Všechny státní a obecní úřady musí implementovat robustní bezpečnostní opatření na svých webových portálech, registrech a informačních systémech, které zpracovávají data občanů. To zahrnuje šifrování datových toků, vícefaktorovou autentifikaci, pravidelné bezpečnostní audity a penetrační testy. Chybějící patche a zastaralé technologie v těchto systémech představují kritické riziko pro bezpečnost státu.
Organizace musí bez zbytečného odkladu (nejpozději do 24 hodin) hlásit NÚKIB jakýkoliv kybernetický incident, který vážně vychýlí nebo vychýlit může provoz veřejné služby, včetně výpadků e-governmentových služeb, DDoS útoků nebo úniků údajů. Hlášení musí obsahovat popis incidentu, dopad na službu a přijatá nápravná opatření. Nezveřejňování nebo opožděné hlášení je porušením zákona a může vést k pokutám.
Orgány státní správy musí zavést a vymáhat bezpečnostní požadavky vůči všem externím dodavatelům software, hardwaru a služeb IT, včetně systémových integrátorů a developerů. To znamená smluvní ustanovení o bezpečnostních standardech, právu na audity a vynucování podávání hlášení o incidentech. Nekontrolovaní dodavatelé bez bezpečnostních záruk představují hlavní vektor útoku na státní infrastrukturu.
Všichni státní zaměstnanci s přístupem k informačním systémům nebo interním datům musí absolvovat alespoň jednou ročně školení zaměřené na kybernetickou bezpečnost, bezpečné chování, rozpoznávání phishingu a správu hesel. Školení musí být evidence dokumentovány a musí odpovídat funkcím zaměstnance. Nedostatečné povědomí zaměstnanců je příčinou až 80 % úspěšných útoků na státní systémy.
Každý orgán musí vést aktuální soupis všech IT aktiv (servery, pracovní stanice, síťové prvky, cloudové služby), jejich vlastníka, operačního systému a nainstalovaného software. Tato inventura musí být udržována centralizovaně a pravidelně ověřována. Bez vědomí, jaké systémy vlastníte a co na nich běží, je nemožné zjistit zranitelnosti a aplikovat patche.
Povinnost se vztahuje na všechny místní úřady (ORP), obchodní rejstříky, sociální služby a služby v oblasti energetiky nebo dopravy. Podle § 18 zákona č. 181/2014 Sb. se NIS2 vztahuje na města a obce s více než 10 000 obyvateli. Nicméně všechny státní a regionální orgány musí splňovat základní bezpečnostní opatření; NÚKIB zveřejňuje seznam subjektů kritické důležitosti na své webové stránce.
Lhůta pro plné dosažení souladu je 2. říjen 2026. Nezpůsobení souladu může vést k pokutě až 10 milionů Kč nebo 2 % ročního rozpočtu orgánu (pokud je vyšší). Además, sankcemi se mohou čelit jednotliví rozhodující pracovníci. Zahájení implementace bez odkladu je tedy kritické, aby byla mít čas na testování a doladění.
Musíte hlásit jakýkoliv vážný kybernetický incident – to jest výpadek veřejné služby trvající déle než 4 hodiny, únik osobních údajů, pokus o neoprávněný přístup nebo ransomware – nejpozději do 24 hodin od zjištění. Hlášení se podává elektronicky prostřednictvím portálu NÚKIB a musí obsahovat popis, rozsah dopadu a navržená opatření. Nereportování nebo zpoždění hlášení je samo o sobě porušením zákona.