Tato stránka je určena provozovatelům telekomunikační infrastruktury, ISP, operátorům mobilních sítí a poskytovatelům CDN, kteří spadají pod kritéria podstatného subjektu dle NIS2. Získáte konkrétní návod na implementaci bezpečnostních opatření, hlášení incidentů a správu dodavatelského řetězce.
Pod NIS2 spadají všichni operátoři s vlastní telekomunikační infrastrukturou v ČR, bez ohledu na velikost. Konkrétně to zahrnuje operátory poskytující veřejné komunikační služby, poskytovatele internetu (ISP), operátory mobilních sítí a poskytovatele CDN. Povinnost platí nezávisle na počtu zaměstnanců — rozhodující je charakter činnosti a přístup k kritické infrastruktuře.
Musíte implementovat technické kontroly zabraňující neoprávněnému přístupu k jádrovým routerům a BGP sesím. Zahrnuje to filtrování BGP tras podle RPKI (Resource Public Key Infrastructure), kontrolu přístupu k správcovským účtům pomocí vícefaktorové autentizace a kontinuální monitoring anomálií v BGP tabulkách. Bez těchto opatření hrozí zneužití infrastruktury k únosům tras (BGP hijacking) a vyřazení služby.
Při bezpečnostním incidentu nebo výpadku, který zasáhne významný podíl vašich uživatelů (NÚKIB přesně definuje prahové hodnoty), máte povinnost hlásit incident do 24 hodin NÚKIB. Hlášení musí obsahovat popis incidentu, počet postižených uživatelů, dobu výpadku a přijatá nápravná opatření. Včasné hlášení je kritické pro splnění zákonné povinnosti a vyvarování se pokut.
Všichni vaši dodavatelé síťového zařízení (routery, přepínače, basestanice, DNS servery) musí být podrobeni posouzení bezpečnosti. Vyžaduje se ověření, že zařízení neobsahuje záměrně zabudované zranitelnosti, že firmware je ze známého zdroje a že výrobce poskytuje bezpečnostní aktualizace. Musíte vést inventář hardware a monitorovat stav podpory jednotlivých verzí firmware.
Pokud poskytujete služby zahrnující přístup ke komunikačním datům (např. obsah hovorů, SMS, IP datagramy), musí být přístup ke snímání těchto dat striktně omezen na oprávněný personál a chráněn vícefaktorovou autentizací. Všechny přístupy do systémů pro zákonné odposlechy musí být auditovány a protokolovány. Porušení těchto kontrol představuje přímé ohrožení základních práv uživatelů.
Musíte provádět pravidelné zranitelnostní skeny všech veřejně přístupných služeb (DNS, webové portály, API) a prioritně opravovat kritické zranitelnosti v lhůtě určené NÚKIB. Zahrnuje to také monitoring DNS rezolucí a detekci podezřelých dotazů, které by mohly signalizovat DDoS útoky nebo DNS kešování podvržených dat.
NÚKIB definuje prahové hodnoty na základě procentního podílu předplatitelů v daném regionu nebo počtu postižených linií. Konkrétní prahy najdete v metodických pokynech NÚKIB pro telekomunikační sektor (přibližně 100 tisíc uživatelů nebo 5 % populace v kraji). Nejistotě předejděte konzultací přímo s NÚKIB nebo právníky specializovanými na NIS2.
Ano, všichni dodavatelé dodávající hardware nebo firmware do vaší kritické infrastruktury (jádro sítě, DNS, BGP routery) musí být posouzeni. Lze použít rámcový přístup — velcí výrobci jako Cisco, Nokia, Ericsson mají vlastní certifikace bezpečnosti, menší dodavatelé vyžadují detailnější audit. Bez ochrany dodavatelského řetězce hrozí implantace backdoorů.
Dle § 10 zákona č. 181/2014 Sb. mohou být uloženy pokuty do 10 milionů korun za porušení bezpečnostních povinností, či do 50 milionů korun za závažné porušení (např. selhání hlášení incidentu). Navíc hrozí přímá právní odpovědnost vedení organizace a soudní trestání osob odpovědných za vědomé porušení opatření.