Na koho se vztahuje

NIS2 se vztahuje na organizace, které zároveň naplňují tyto dvě uvedená kritéria:

  1. Organizace poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice a zároveň
  2. je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK) případně je podnik důležitým dodavatelem služeb pro organizaci spadající do NIS2.

V případě mateřských či propojených podniků se pak postupuje dle příručky posouzení velikosti podniku.

Ověřte si, zda spadáte pod NIS2!

Ověřte si, zda vaše organizace spadá pod NIS2!

Náš ověřovací systém z veřejných zdrojů zjistí, zda vaše organizace spadá pod novou směrnici NIS2.

K ověření

Regulované služby s vyšším režimem jsou organizace z těchto odvětví

  • veřejná správa
  • energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
  • doprava (letecká, železniční, vodní a silniční)
  • bankovnictví a infrastruktury finančních trhů
  • zdravotnictví a výroba farmaceutických a zdravotnických prostředků
  • pitná voda a odpadní vody
  • digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
  • poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center a sítě pro doručování obsahu
  • poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
  • vesmír

Regulované služby s nižším režimem jsou organizace z těchto odvětví

  • výroba strojního zařízení
  • výroba počítačů a elektroniky
  • výroba motorových vozidel
  • výroba jiných zdravotnických prostředků
  • výroba potravin
  • digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
  • poštovní a kurýrní služby
  • nakládání s odpady, chemické látky

Grafický náhled služeb uvedených v přílohách směrnice od NÚKIB:

Kdy začne platit NIS2

V rámci úprav v národní legislativě by Česká republika měla mít zaveden nový rámec povinností (formou novelizace zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů) nejpozději do 16. října 2024.

Připravíme vás na novou směrnici NIS2

Zvládněte NIS2 s Blue Partners!

Spadáte pod novou směrnici NIS2 nebo si nejste jistí? Pomůžeme vám zajistit správné dokumentace i opatření. Využijte také naši 30 minutovou konzultaci zdarma.

Číst více

Význam NIS2 pro firmy a organizace: Efektivní a přiměřená ochrana dat

NIS2 přináší do oblasti kybernetické bezpečnosti nové požadavky, které jsou klíčové pro firmy a organizace. Tento předpis vyžaduje, aby se podniky a instituce zaměřily na zavedení efektivních a přiměřených opatření zahrnujících technické, procesní, manažerské a organizační aspekty. Klíčovým prvkem je přiměřenost – to znamená, že ne každá firma musí investovat do špičkového šifrování nebo nejdražšího vybavení. Opatření by měla být přizpůsobena finančním možnostem firmy a cennosti jejích dat. Konkrétní požadavky se liší podle toho, zda se jedná o organizaci s vyšším či nižším stupněm zabezpečení, ale hlavním cílem je snížení rizik spojených s napadením, odcizením, ztrátou či narušením informací a dat.

NIS2 se zabývá následujícími 10 okruhy:

  • Analýza rizik a politiky bezpečnosti informací
  • Zvládání incidentů
  • Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení
  • Bezpečnost v rámci dodavatelského řetězce
  • Bezpečnost v rámci pořízení, vývoje a údržby systémů
  • Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit)
  • Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti
  • Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování
  • Bezpečnost lidských zdrojů, řízení přístupů a aktiv
  • Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci

Otázky a odpovědi ohledně NIS2


Otázka: Jak se firma dozví, že pod NIS2 spadá?
Identifikace povinných osob se bude provádět tzv. samo-identifikací. Společnost si sama musí analyzovat, zda naplňuje kritéria pro určení (tzn. působení v regulovaném odvětví a velikost podniku), a pokud ano, pak se NÚKIBu nahlásit (formou registrace v nově zřízeném informačním systému).

Otázka: Jak se počítá počet zaměstnanců u dceřiných společností?
Do počtu zaměstnanců se počítá i velikost zbylých koncernových entit. Tzn. pokud má celý koncern více jak 250 zaměstnanců, tak je splněna podmínka pro počet zaměstnanců.

Otázka: Bude se NIS2 vztahovat i na menší obce a městská části?
Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy. Regionální a lokální autority (tzn. obce a kraje) zatím dle návrhu regulovány nebudou. Tzn. „trojkové“ obce budou pod regulaci náležet a malé obce („jedničkové“ a „dvojkové“) v tuto chvíli nebudou padat pod NIS2.

Otázka: Jak je to s infrastrukturou finančních trhů? Padají pod NIS2?
Do sektoru infrastruktury finančních trhů spadají především obchodní systémy podle zákona o podnikání na kapitálovém trhu (především burzy) a ústřední protistrany podle nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů.
Tento finanční sektor je však regulován sektorovou legislativou nařízením DORA, kde dozorovým orgánem je ČNB.

Otázka: Bude se NIS2 vztahovat i na školy
Do regulace NIS2 budou spadat vysoké školy. Zbylé úrovně školství by neměly být prozatím do regulace zahrnuty.

Otázka: Spadají pod NIS2 pivovary?
Pokud naplňují parametr velikosti podniku pak ano. Pivo je dle Evropské sběrnice S 178/2002 čl.2 potravina a definice výroby potravin dle ES 178/2002, čl. 3 bod 2 „potravinářským podnikem“ veřejný nebo soukromý podnik, ziskový nebo neziskový, který vykonává činnost související s jakoukoli fází výroby, zpracování a distribuce potravin.

Otázka: Pokud naše společnost vlastní certifikaci ISO 27001 nebo TISAX, musíme zavádět NIS2?
Žádná certifikace v současné době nenahrazuje povinnost plnit požadavky NIS2/ZKB (zákona o kybernetické bezpečnosti).

Otázka: Pokud poskytuji služby subjektu, na kterého dopadne NIS2, bude tento subjekt po mě muset NIS2 vyžadovat také?
Zde opravdu záleží na konkrétním uspořádání vztahů a především zdali služby, které jsou outsourcovány mají přímý vztah na regulovanou službu (uvedenou v příloze směrnice). Pokud tomu tak je, odběratel v rámci smluvních vztahů bude požadovat minimálně zajištění relevantních bezpečnostních opatření.