Tato příručka je určena pro střední podniky v regulovaných sektorech, které dosahují prahové hodnoty NIS2 jako důležité subjekty. Seznámíte se s konkrétními povinnostmi, způsobem jejich implementace a typickými chybami, kterým se lze vyhnout.
Kvalifikují se podniky s počtem 50 až 249 zaměstnanců působící v regulovaných sektorech (energetika, doprava, bankovnictví, zdravotnictví, veřejná správa atd.), které podle Přílohy II zákona č. 181/2014 Sb. splňují kritéria důležitého subjektu. Zařazení do této kategorie znamená povinnost splnit všechny požadavky NIS2 do roku 2026. Podnik je povinen si sám ověřit, zda do této kategorie spadá na základě své velikosti, odvětví a importance pro hospodářství.
Podnik musí dokumentovat proces, kterým zjistil, zda splňuje kritéria důležitého subjektu podle Přílohy II. Toto vyhodnocení by mělo být zaznamenáno písemně a uchováváno jako důkaz pro NÚKIB. Podnik si musí být vědom, že nesprávné či ignorantské vyhodnocení může vést k sankcím.
Podnik je povinen mít dokumentovanou a schválenou kyberbezpečnostní politiku, která stanovuje cíle, odpovědnosti a procesy. Politika musí být dostupná všem zaměstnancům a pravidelně (minimálně ročně) revidována. Pro střední podniky postačí politika obsahující základní prvky: řízení přístupu, správu aktiv, incident management a školení zaměstnanců.
Povinné je zavedení vícefaktorové autentizace (MFA) na všech podnikových e-mailech a cloudových aplikacích, automatické aktualizace a opravy všech systémů, centralizované správy hesel (password manager) a důkladné testování zálohování alespoň čtvrtletně. Tyto prvky jsou proporcionálními a nejúčinnějšími kontrolami pro podniky této velikosti.
Podnik musí mít písemný plán reagování na bezpečnostní incidenty, který obsahuje definici závažného incidentu, postupy detekce, eskalace a notifikace. Incidenty, které vážně ovlivňují poskytování služeb, je třeba hlásit NÚKIB bez zbytečného odkladu, nejpozději do 72 hodin. Dokumentace všech incidentů musí být uchována minimálně po dobu 5 let.
Podnik musí implementovat systém identifikace, hodnocení a zmírňování bezpečnostních rizik proporcionálních k jeho velikosti a odvětví. Součástí je i dohled nad kritickými poskytovateli služeb (hostingy, cloudové služby, outsourcované IT) prostřednictvím bezpečnostních doložek v smlouvách a pravidelných kontrol. Pro střední podniky stačí základní scoring rizik a pojmenování odpovědné osoby za dodavatele.
Podnik spadá pod Přílohu II (důležitý subjekt), pokud má 50–249 zaměstnanců a aktivně působí v regulovaném sektoru (energetika, doprava, bankovnictví, zdravotnictví, voda, energie, veřejná správa atd.). Rozhodující je také kritérium důležitosti pro hospodářství dané členské státu. Nejistotě se vyhnete tak, že si vyžádáte stanovisko od NÚKIB nebo si důkladně prostudujete Přílohu II zákona č. 181/2014 Sb.
Podnikům zařazeným do kategorie důležitých subjektů dává zákon čas do 31. prosince 2026 na plnou implementaci všech opatření. Doporučuje se začít ihned, protože řada opatření (zejména školení zaměstnanců a implementace MFA) vyžaduje čas na přípravu a průběžné řešení.
NÚKIB může ukládat pokuty až do výše 2 % celkového obratu za porušení základních povinností (např. absence bezpečnostní politiky) a až do 5 % obratu za porušení povinností týkajících se incidentů a hlášení. Pro střední podniky se jedná obvykle o desítky až stovky tisíc korun. Nejlepší ochranou je promptní a vážené plnění povinností.