Tato stránka je určena provozovatelům vodárenské infrastruktury, projektům zvyšování bezpečnosti SCADA systémů a manažerům compliance v sektoru. Dozvíte se o konkrétních povinnostech, kterými jste vázáni jako essenciální entita, a jak řešit typické mezery v bezpečnosti operačních sítí.
Zařazení do NIS2 se týká dodavatelů pitné vody a provozovatelů čistíren odpadních vod, které jsou klasifikovány jako essenciální entity. Povinnosti platí pro provozovatele, u kterých by přerušení služby mohlo vážně ohrozit zdraví a bezpečnost veřejnosti nebo jde o operátory v síti vodárenské infrastruktury s dopadem na значitele části populace. Povinnosti se aplikují bez ohledu na velikost organizace, pokud splňují kritéria kategorizace NÚKIB.
Musíte implementovat technické a organizační opatření k ochraně řídících systémů (SCADA, HMI) používaných pro управление úpravou vody, čerpáním a distribucí. To znamená oddělení operačních sítí od firemní IT infrastruktury, zavedení firewall ochrany, monitorování neobvyklé aktivity a aktualizaci firmware zařízení. Nesmíte připojovat SCADA systémy přímo k internetu bez autentizace a šifrování.
Dávkovací kontroléry pro chlor, koagulaci a další chemické procesy musí být chráněny silnými ověřovacími mechanismy a nesmí obsahovat výchozí hesla. Implementujte fyzickou bezpečnost v místnostech s těmito zařízeními, monitorujte pokusy o несанкционированый přístup a zajistěte, aby byly příkazy ke změně dávkování ověřovány a auditovány.
V případě kybernetického incidentu nebo sabotáže, která by mohla přerušit dodávku pitné vody nebo kvalitu vody pro skupinu obyvatel, musíte incident nahlásit NÚKIB bezodkladně, nejpozději do 72 hodin od zjištění. Incidenty musí obsahovat popis hrozby, dopad na službu, přijatá nápravná opatření a počet postižených osob.
Čerpací stanice, filtry a technické místnosti musí mít fyzickou ochranu (zámky, monitoring, ostrahou) kombinovanou s kontrolou přístupu osob a auditováním změn v konfiguracích zařízení. Ověřujte identitu všech osob, které se dostávají k řídicím prvkům, a vede si záznam o všech manipulacích s kritickou infrastrukturou.
Provozní sítě (OT) a podnikové sítě (IT) musí být fyzicky a logicky odděleny. Zaměstnanci, kteří spravují SCADA, by neměli mít automatický přístup k firemnímu e-mailu nebo síti a naopak. Implementujte pravidla pro řízení přístupu (RBAC), multi-faktorovou autentizaci pro administrativní funkce a pravidelně testujte efektivitu oddělení sítí.
Lhůta pro splnění všech povinností NIS2 je do 31. prosince 2026. Od současného data musíte postupně zavádět technická a organizační opatření. Doporučujeme začít s auditem SCADA infrastruktury a segmentací sítí v následujících 6 měsících, aby vám zbyl čas na nápravy.
Porušení povinností NIS2 lze v rámci České republiky sankcionovat podle zákona č. 181/2014 Sb. a může jít až na pokuty v řádu milionů korun. Kromě toho vám NÚKIB může uložit nápravná opatření a dozoř nad plnění. Nejzávažnější je riziko přerušení služby v případě skutečného kybernetického útoku.
Ne nutně. Existující systémy lze zabezpečit vhodnou architekturou sítě (firewall, VPN, segmentace), kontrolou přístupu (2FA pro administratory), monitoringem a patching procesy. Upgrade nebo nákup nového systému má smysl, pokud je váš stávající systém velmi zastaralý a nejsou pro něj dostupné bezpečnostní záplaty od výrobce.