Tato stránka je určena vedením a IT specialistům společností zabývajících se sběrem komunálního odpadu, zpracováním průmyslového odpadu a manipulací s nebezpečným odpadem. Naučíte se konkrétní bezpečnostní požadavky, které musíte splnit dle NIS2, a jak se vyhnout nejčastějším chybám při implementaci.
Povinnost na základě NIS2 platí pro operátory sběru komunálního odpadu a zpracovatele průmyslového nebo nebezpečného odpadu, jejichž činnost je kritická pro správu odpadů na území ČR a jejichž digitální infrastruktura (vozový park, dispečerské systémy, evidenční systémy) ovlivňuje bezpečnost a kontinuitu těchto služeb. Jedná se o společnosti, které spravují flovidálníku vozů s IoT zařízeními, provozují centralizované dispečinské střediska nebo vedou elektronickou evidenci nebezpečného odpadu.
Musíte implementovat kontrolu přístupu, šifrování komunikace a pravidelné audity všech dispečerských a GPS systémů používaných pro řízení vozů. Věnujte zvláštní pozornost výměně výchozích přihlašovacích údajů IoT zařízení namontovaných na vozech a zajistěte, aby byly všechny systémy zálohovány a odolné vůči výpadkům. Vyžadují se také bezpečnostní aktualizace minimálně jednou čtvrtletí.
Veškerá data o typech, množstvích a nálezech nebezpečného odpadu musí být uložena v systémech s přístupovými právy na principu minimálních oprávnění. Jednotlivé záznamy o přepravě a zpracování musí být chráněny proti neoprávněným změnám a trvale archivovány. Implementujte zásady uchovávání dat nejméně 7 let s možností rychlé reprodukce pro účely inspekčních kontrol.
Jakékoliv bezpečnostní incidenty, které vedou k výpadkům sběru, poruše dispečerských systémů nebo úniku dat o nebezpečném odpadu, musíte hlásit příslušným úřadům (NÚKIB pro bezpečnostní hrozby, příslušné inspektoráty pro operační narušení) nejpozději do 72 hodin. Musíte vést podrobný záznam všech incidentů včetně doby výpadku, rozsahu postiženého území a přijatých opatření.
Všichni dodavatelé IoT zařízení (senzory, GPS moduly, váhové systémy na vozech) musí být ověřeni z hlediska bezpečnosti a musíte si vyžádat potvrzení jejich bezpečnostních praktik. Vedlejší podmínkou je, aby všechna zařízení splňovala minimalní požadavky na šifrování a autentifikaci. Pravidelně kontrolujte, zda nejsou v systémech známé bezpečnostní chyby a zajistěte jejich opravu v souladu s poskytnutými bezpečnostními patchemi.
Musíte vytvořit a dokumentovat bezpečnostní politiku pro všechna vozidla se zabudovanými dispečerskými, navigačními a monitorovacími systémy. Politika musí zahrnovat postupy pro bezpečné spuštění systémů, použití silných hesel, fyzickou ochranu vozů a postupy v případě odcizení vozidla. Všichni řidiči a údržbaři musí projít školením o bezpečnostních hrozbách nejméně jedenkrát ročně.
Podle NIS2 patříte mezi důležité subjekty, pokud operujete jako sběrač komunálního odpadu, zpracovatel průmyslového nebo nebezpečného odpadu a vaše činnost je kritická pro správu odpadů v ČR. Minimální velikostní práh není stanoven, ale posouzení provádí NÚKIB individuálně. Pokud provozujete digitální dispečerský systém, spravujete vozový park s GPS a IoT zařízeními nebo vedete centralizovanou evidenci nebezpečného odpadu, je pravděpodobné, že budete klasifikováni jako důležitá entita.
Hlásit musíte jakýkoliv bezpečnostní incident, který vede k výpadku dispečerských systémů, ztrátě dostupnosti GPS dat, neoprávněnému přístupu k záznamům o nebezpečném odpadu, nebo narušení fyzické bezpečnosti vozů se zabudovanými IT systémy. Hlášení musí být zasláno do 72 hodin od zjištění incidentu na NÚKIB (pro bezpečnostní hrozby) a příslušným inspektoráům (pro operační dopady). Musíte uvést čas zjištění, popis incidentu, počet dotčených vozů nebo záznamů a přijatá nápravná opatření.
Pokud nesplníte povinnosti NIS2 do 30. dubna 2026 (lhůta implementace), hrozí vám pokuta až 10 milionů korun nebo až 2 % ročního obratu. Pro opakované porušení nebo vážné incidenty může NÚKIB uvalit dodatečné správní tresty. Nejzávažnější nedostatky (chybějící bezpečnostní politika, neschválená osoba odpovědná za bezpečnost, selhání hlášení incidentu) mohou vést k restrikci vaší činnosti na základě zákona č. 181/2014 Sb.