Tato stránka je určena vedoucím bezpečnosti informačních systémů a compliance specialistům velkých obchodních řetězců a e-commerce platforem, kteří zpracovávají platby a data milionů zákazníků. Naučíte se konkrétní povinnosti podle NIS2 a praktické kroky k zajištění souladu do konce roku 2026.
Maloobchodní řetězce a e-commerce operátoři s počtem zaměstnanců přesahujícím 250 zaměstnanců nebo ročním obratem převyšujícím 50 milionů EUR, které provozují elektronické obchody, POS terminály, systémy plateb nebo zpracovávají osobní údaje více než 100 000 zákazníků v České republice. Rovněž se jedná o operátory lojálnostních programů a správce dodavatelských řetězců s kritickým vlivem na dostupnost prodeje.
Musíte zajistit bezpečnost všech POS terminálů, platebních bran a systémů zpracování plateb v souladu s PCI-DSS 4.0 a zároveň podle NIS2. Zahrnuje to šifrování komunikace, segmentaci sítě, monitoring v reálném čase a pravidelné penetrační testy. Starší POS terminály bez podpory moderních bezpečnostních protokolů musí být vyřazeny nebo izolován jejich přístup k cardholdingům.
Každý incident porušující bezpečnost osobních údajů zákazníků (včetně e-mailů, telefonních čísel, adres či platebních údajů) musí být oznámen Úřadu na ochranu osobních údajů a NÚKIB bez zbytečného odkladu, nejpozději do 72 hodin od zjištění. Rovněž musíte informovat dotčené zákazníky v případě, že incident představuje vysoké riziko. Udržujte evidenci všech incidentů a jejich řešení po dobu nejméně tří let.
Všichni třetí poskytovatelé (logistika, správa skladu, poskytovatelé cloudových služeb, vývojáři e-commerce platforem) musí mít kontraktuálně zajištěny minimální bezpečnostní standardy. Implementujte přístupy s nejnižšími právy (least privilege), aby měli dodavatelé přístup pouze k datům nezbytným pro jejich činnost. Audit přístupu dodavatelů musí probíhat minimálně čtvrtletně a všechny třetí strany musí být schváleny bezpečnostním týmem před připojením.
Pokud incident zabrání provozování e-commerce, zpracování plateb nebo dostupnosti fyzických obchodů po dobu delší než 30 minut a postihuje více než 10 % vaší distribuční sítě, musíte o tom bez zbytečného odkladu informovat NÚKIB. Připravte si plán pro případ takového incidentu včetně kontaktů, procedur eskalace a záznamu dopadů na vaše zákazníky a podnikání.
Lojálnostní programy často uchovávají nadměrné množství údajů déle než je nutné. Proveďte audit všech lojálnostních databází, definujte konkrétní doby uchovávání (obvykle 3–5 let po poslední interakci) a nastavte automatizované procesy pro smazání či anonymizaci dat. Dokumentujte právní základ pro uchování dat a implementujte technické opatření bránící neoprávněnému přístupu.
NÚKIB může uložit pokutu až do 50 milionů korun nebo do 2,5 % celosvětového ročního obratu za porušení hlavních povinností NIS2 (bezpečnost sítě, hlášení incidentů). Další pokuty za porušení GDPR mohou dosáhnout až 20 milionů EUR. Nejzávažnější je riziko ztraty licencí na provozování plateb a dlouhodobé reputační škody.
NIS2 explicitně nevyžaduje C-level pozici, ale vyžaduje jasné odpovědnosti za bezpečnost a incident response. U velkých obchodních řetězců je vhodné mít jednoho zaměstnance se 100 % přidělením pro bezpečnost (může být součástí IT týmu) a formální eskalační procedury vedoucímu či řediteli. Malé e-commerce firmy mohou svěřit compliance externímu konzultantovi s SLA na hlášení incidentů.
Pro subjekty již splňující kritéria NIS2 (velké řetězce, e-commerce) je lhůta na úplné splnění všech povinností 31. prosince 2026. Doporučujeme rozdělit implementaci na tři fáze: do 30. 6. 2025 - audit stavu a plán, do 31. 12. 2025 - implementace kritických opatření (bezpečnost POS, incident reporting), do 31. 12. 2026 - ověření compliance a certifikace.