Co to je Size Test v povinnostech firem k NIS2?
„Size Test", neboli test velikosti, představuje jeden z nejdůležitějších nástrojů, pomocí nichž se v České republice od 1. listopadu 2025 určuje, zda konkrétní firma nebo organizace spadá do působnosti povinností vyplývajících ze směrnice NIS2 a z navazující české legislativy v oblasti kybernetické bezpečnosti. Tento test vychází z jasně definovaných kritérií týkajících se velikosti daného subjektu, přičemž zohledňuje zejména počet zaměstnanců a ekonomické ukazatele, jako jsou roční obrat a bilanční suma aktiv. Smyslem tohoto testu je oddělit malé podniky, u nichž se předpokládá nižší míra systémového rizika, od středních a velkých podniků, které svou velikostí, provozním dosahem a digitální závislostí představují potenciálně kritická místa celého hospodářského i společenského systému státu. Firmy, které tímto testem projdou a splňují stanovená kritéria, jsou automaticky považovány za subjekty s povinností přijmout odpovídající bezpečnostní opatření.
Kdo musí Size Test absolvovat a co z něj vyplývá?
Povinnost podrobit se Size Testu se vztahuje na všechny firmy a organizace působící v České republice, které zaměstnávají více než 50 zaměstnanců, nebo jejichž roční obrat a zároveň bilanční aktiva přesahují hranici 10 milionů eur, přičemž splnění alespoň jednoho z těchto kritérií zpravidla zakládá povinnost bližšího prověření. Pokud firma tímto testem projde a je identifikována jako střední nebo velký podnik působící v některém z regulovaných odvětví, vznikají jí ze zákona konkrétní a závazné povinnosti, které musí splňovat pod hrozbou sankcí ze strany příslušných orgánů. Mezi tyto povinnosti patří zejména zavedení komplexních technických a organizačních opatření na ochranu informačních a komunikačních systémů, pravidelné hodnocení kybernetických rizik, školení zaměstnanců a vedení dokumentace bezpečnostních postupů. Dále jsou takové firmy povinně registrovány v systému Národního úřadu pro kybernetickou bezpečnost, zkráceně NÚKIB, který v České republice plní roli hlavního dohledového orgánu v oblasti kybernetické bezpečnosti a který vede centrální evidenci regulovaných subjektů.
Která odvětví jsou regulací nejvíce dotčena?
Směrnice NIS2 a navazující česká legislativa se primárně zaměřují na odvětví, jejichž výpadek nebo narušení by mělo závažné důsledky pro fungování státu, ekonomiky nebo každodenního života obyvatelstva, a proto jsou na tato odvětví kladeny nejvyšší nároky z hlediska kybernetické odolnosti. Mezi nejvýznamnější regulované sektory patří energetika zahrnující výrobu, přenos a distribuci elektřiny, plynu a tepla, dále zdravotnictví včetně nemocnic, lékáren a výrobců zdravotnických prostředků, dopravní infrastruktura zahrnující leteckou, železniční, silniční i vodní dopravu, bankovnictví a finanční trhy, zásobování pitnou vodou a odpadní hospodářství, digitální infrastruktura jako jsou poskytovatelé cloudových služeb, datová centra nebo registrátoři doménových jmen, a v neposlední řadě také veřejná správa na různých úrovních. Všechny tyto organizace, pokud splňují kritéria Size Testu, jsou povinny nejen přijmout preventivní bezpečnostní opatření, ale také aktivně a bez zbytečného odkladu hlásit veškeré kybernetické incidenty a bezpečnostní hrozby, které by mohly ohrozit jejich provoz nebo mít přeshraniční dopad, přičemž tato hlášení musí být předávána příslušným orgánům v zákonem stanovených lhůtách a v předepsané formě.
