Tato stránka je určena pro softwarové vendory a operátory digitálních platforem s EU klienty, kterých se NIS2 týká jako důležitých entit. Seznámíte se se specifickými povinnostmi bezpečnosti software developmentu, managementem zranitelností a bezpečností dodavatelského řetězce.
Povinnost splnit NIS2 se týká B2B SaaS poskytovatelů a softwarových vendorů, kteří poskytují služby podnikům v EU a jejichž výpadek by měl významný dopad na digitální ekonomiku či bezpečnost. Patří sem poskytovatelé cloudových služeb, datových center, správy IT bezpečnosti a operátoři kritických digitálních platforem s více než 250 zaměstnanci nebo ročními příjmy přesahujícími 50 milionů EUR.
Musíte mít formalizovaný, písemný proces bezpečného vývoje software, který zahrnuje security design review, bezpečné kódování, testování bezpečnosti a autorizaci vydání. Tento proces musí být zintegován do vaší CI/CD pipeline a musí být auditován minimálně jednou ročně. Dokumentace musí být dostupná NÚKIB na vyžádání a musí demonstrovat, jak je bezpečnost začleněna do každé fáze vývoje.
Zveřejněte formální politiku ohlašování bezpečnostních zranitelností, kterou mohou bezpečnostní výzkumníci a uživatelé využít k bezpečnému nahlášení problémů. Musíte definovat SLA pro opravu kritických zranitelností (max. 72 hodin), vysokých (max. 30 dní) a středních (max. 90 dní). Politika musí být veřejně přístupná a musí obsahovat bezpečný komunikační kanál (security.txt, PGP klíče) a timeline informování o opravách.
Implementujte automatizované skenování open-source závislostí v CI/CD pipeline (např. SBOM generování, dependency scanning). Musíte identifikovat a sledovat všechny třetí strany balíčky se známými zranitelnostmi a mít proces jejich opravy nebo mitigace. Audity supply chain musí proběhnout minimálně jedenkrát ročně s dokumentací o nalezených a opravených zranitelnostech.
Proveďte minimálně jedenkrát ročně nezávislé penetrační testování vaší produkční aplikace s pokrytím nových funkcí a kritických cest. Výstupy testů musí být zdokumentovány, zranitelnosti musí mít určeny prioritu a lhůty opravy. Audity kódu třetích stran musí být zahrnuty, pokud jsou součástí vaší aplikace. Findings musí být řešeny a uzavřeny dokumentovaně.
Implementujte šifrování dat v přenosu (TLS 1.2+) a v klidu (AES-256 nebo ekvivalent) pro všechna zákaznická data. Musíte mít incidentní plán s jasným procesem notifikace: odhalení bezpečnostního incidentu → vnitřní analýza (do 72 hodin) → notifikace NÚKIB a postižených zákazníků. Dokumentujte všechny bezpečnostní incidenty a zachovejte záznamy minimálně 3 roky.
Lhůta pro splnění NIS2 je 17. říjen 2024 dle nařízení, avšak NÚKIB poskytuje přechodné období. Doporučujeme mít základní opatření (SSDLC dokumentace, politika zranitelností, penetrační testy) hotová do konce roku 2024 a supply chain scanning do poloviny roku 2025.
ISO 27001 není povinná, ale může pomoci s demonstrací compliance. NIS2 povinnosti jsou konkrétní (SSDLC, SLA pro opravy, penetrační testy) a musí být splněny nezávisle na certifikaci. Kombinace ISO 27001 + NIS2 specifiky je nejlepší přístup pro audit připravenost.
Pokuty za porušení NIS2 mohou dosáhnout až 10 milionů EUR nebo 2 % globálního ročního obratu (podle toho, která hodnota je vyšší). NÚKIB má pravomoc provádět inspekce a vydávat pokyny k nápravě. Porušení zveřejňovací povinnosti má nejvyšší trestní sazby.