Kdy se musí směrnici NIS2 věnovat malé podniky?
Směrnice NIS2 představuje zásadní legislativní krok Evropské unie směrem k jednotné a důsledné ochraně digitálního prostoru napříč členskými státy, přičemž od roku 2024 postupně zavádí zpřísněná a komplexněji pojatá pravidla kyberbezpečnosti pro tisíce firem a organizací působících ve strategicky významných odvětvích, jako je průmysl, energetika, výroba nebo zdravotnictví, a její hlavní ambicí je aktualizovat a zásadně posílit stávající rámec ochrany digitálních dat a systémů tak, aby odpovídal dnešním rychle se vyvíjejícím kybernetickým hrozbám.
Začlenění do české legislativy a termíny
Do legislativního systému České republiky byla směrnice NIS2 začleněna prostřednictvím nově upraveného zákona o kybernetické bezpečnosti, který firmám a organizacím stanovil jasnou povinnost přijmout podle své velikosti a charakteru podnikání odpovídající bezpečnostní opatření, a to nejpozději k 1. listopadu 2025, přičemž navzdory tomuto relativně jasnému termínu a dostupnosti informací od příslušných úřadů mnoho podniků — ať už velkých korporací, nebo zejména menších rodinných a lokálních firem — v celém systému stále tápá, neví přesně, zda se jich nová pravidla vůbec týkají, co konkrétně musí podniknout, a jakým způsobem mají celý proces registrace a implementace správně uchopit a dokončit, aniž by se vystavily riziku sankcí nebo právní nejistoty.
Které malé firmy NIS2 skutečně zasahuje
Přestože je směrnice NIS2 primárně zacílena na střední a velké podniky disponující výraznějšími technologickými i personálními kapacitami, existuje specifická skupina malých firem s méně než padesáti zaměstnanci, které jsou povinny pravidla této směrnice implementovat a zároveň se zaregistrovat v systému Národního úřadu pro kybernetickou bezpečnost, tedy NÚKIB, a tato povinnost se jich týká výhradně v případě, že podnikají v odvětvích označených za kriticky důležité pro fungování státu a společnosti, přičemž klíčovým kritériem je skutečnost, že jejich případný výpadek způsobený kybernetickým útokem by mohl bezprostředně ohrozit kritickou infrastrukturu země, jako je například zásobování obyvatelstva pitnou vodou, dostupnost zdravotní péče, dodávky energie nebo fungování dalších zásadních služeb, bez nichž si každodenní chod moderní společnosti nelze představit.
Co implementace v praxi obnáší a jak na tom firmy jsou
Pro malé a střední podniky, které pod působnost směrnice NIS2 skutečně spadají, přitom implementace nových pravidel ve většině případů neznamená radikální přestavbu celé jejich IT infrastruktury, ale spíše zavedení nebo systematické zpevnění několika klíčových a přitom poměrně dostupných bezpečnostních opatření, mezi která patří především pravidelné a spolehlivé zálohování firemních dat na oddělená a chráněná úložiště, důsledné a pravidelně opakované školení zaměstnanců v oblasti rozpoznávání kybernetických hrozeb, jako jsou phishingové útoky nebo sociální inženýrství, a rovněž nasazení jednoduchých, avšak účinných detekčních nástrojů schopných v reálném čase upozornit na možné bezpečnostní incidenty dříve, než způsobí vážné škody, přičemž je důležité zmínit, že velká část strategicky důležitých podniků podobná opatření v nějaké základní podobě již zavedena má a jejich hlavním úkolem nyní není začínat zcela od nuly, ale spíše pravidelně aktualizovat a přizpůsobovat stávající bezpečnostní procesy mezinárodně platným standardům a požadavkům, které se s vývojem technologií a nových hrozeb průběžně proměňují.
