Tato stránka je určena pro vedení realitních společností, správce nemovitostí a provozovatele chytrých budov v Česku, kteří musí do roku 2026 splnit povinnosti kategorie důležité entity podle zákona č. 181/2014 Sb. Dozvíte se konkrétní požadavky na ochranu dat nájemníků, bezpečnost přístupu do budov a hlášení incidentů.
Povinností NIS2 podléhají realitní kanceláře, správci nemovitostí a provozovatelé proptech platforem, které spravují nemovitosti v členění podle velikosti portfolia a rozsahu služeb. Konkrétně jsou určeny pro subjekty zajišťující správu domů s inteligentními systémy (BMS, kontrola přístupu, video), které shromažďují a zpracovávají údaje o nájemnících či vlastnících nemovitostí v rozsahu tvořícím součást kritické infrastruktury.
Realitní subjekty musí implementovat autentifikaci s víceúrovňovým ověřením (MFA) a šifrování pro všechny systémy obsahující osobní údaje nájemníků a vlastníků. Data nesmí být uložena v nešifrovaných tabulkách nebo místních souborech bez kontroly přístupu. Vyžaduje se pravidelný audit přístupu k datům a dekativace účtů bývalých zaměstnanců do 24 hodin.
Systémy kontroly přístupu, videotelefony a dveřní čidla nesmí být připojeny k běžným kancelářským sítím bez firewallů a segmentace. Každý kontrolní prvek (čtečka karet, PIN terminál, inteligentní zámek) vyžaduje autentifikovaný přístup s logováním všech vpisů. Poskytnout lze přístup pouze osobám s jasně definovanou rolí a čas omezit podle potřeby služby.
Pokud dojde k úniku dat nájemníků, neoprávněnému přístupu do systému správy budov nebo výpadku kontroly přístupu, musí být incident nahlášen NÚKIB bez zbytečného odkladu, nejpozději do 72 hodin. Požadavek platí i pro částečné či pokusné incidenty. Subjekt musí vést protokol o všech incidentech s jejich popisem, dopadem a návrhem nápravy.
Realitní subjekty nesmí nasazovat chytré zařízení (senzory, kamery, zámky, detektor plynu) od dodavatelů bez ověření jejich bezpečnostních praktik. Před kontraktací si vyžádejte bezpečnostní posudek, historii bezpečnostních patch a vyjádření o GDPR a NIS2 souladu. Aktualizace firmwaru na zařízení se musí provádět v dohodnutých oknech s testováním na testovacím prostředí.
Všichhlý zaměstnanci realitní kanceláře či správy musí absolvovat minimálně jednou ročně školení o ochraně dat, rozpoznávání phishingu a bezpečném zacházení s hesly. Konkrétní fokus na maklířský a správcovský personál: nesmí sdělovat přihlašovací údaje vlastníkům ani nájemníkům, musí hlásit podezřelé pokusy o přístup ke stávajícím klientským účtům.
Ano, pokud systém správy domů obsahuje chytré prvky (kontrola přístupu, video, detektor pohybu) a kancelář centrálně spravuje údaje o nájemnících, je považována za důležitou entitu. Velikost kanceláře není primárním kritériem — důležitá je kritičnost infrastruktury a počet zasažených osob.
NÚKIB může vydat příkaz k nápravě s lhůtou do 90 dnů. Pokud subjekt nesplní, hrozí pokuta až do 30 milionů korun nebo 6 % globálního obratu. Pro menší subjekty je sazba až 10 milionů korun. Audit je povinný minimálně jednou za 2 roky.
Neprodleně ukončit přístup, deaktivovat dotčené účty a pozastavit portál. Do 24 hodin zdokumentovat incident (kdy, jak, kdo byl postižen). Do 72 hodin nahlásit incidenty NÚKIB prostřednictvím formuláře na nukcib.cz. Nájemníci mají právo na oznámení porušení bezpečnosti do 30 dnů.