NIS2 po registraci do NÚKIB: co dál pro IT sektor?

Co se v praxi změnilo 

Nový zákon o kybernetické bezpečnosti je účinný, registrace už proběhly a pro řadu firem se hlavní otázka přesunula z „jestli spadáme do regulace“ na „co konkrétně máme dělat po registraci a podle jakých pravidel“.

Pro IT sektor je zásadní hlavně to, že u vybraných digitálních služeb nestačí sledovat jen český režim nižších nebo vyšších povinností, ale je potřeba vyhodnotit i dopad prováděcího nařízení Komise (EU) 2024/2690.

NIS2 už je tady

Původní debata kolem NIS2 se soustředila hlavně na to, kdy bude česká implementace konečně přijata a koho se bude týkat. To už dnes není hlavní problém. Nový zákon o kybernetické bezpečnosti i související prováděcí předpisy jsou účinné a řada organizací už provedla ohlášení regulované služby prostřednictvím Portálu NÚKIB.

Pro IT sektor se tak změnila optika celé problematiky. Firmy už neřeší jen otázku, zda zákon projde, ale především to, zda správně určily svou regulovanou službu, zda mají dobře nastavené odpovědnosti a jak rychle a rozumně zahájit implementaci požadavků.

💡 Právě v této fázi se nejčastěji ukazuje, že samotná registrace byla jen první krok.

Kdo by měl v IT sektoru zbystřit

V oblasti digitální infrastruktury a služeb mohou do regulace spadat například poskytovatelé veřejně dostupných služeb elektronických komunikací, DNS služeb, registrace doménových jmen, registrů domén nejvyšší úrovně, cloud computingu, datových center, CDN, řízených služeb, řízených bezpečnostních služeb, on-line tržišť, internetových vyhledávačů nebo platforem sociálních sítí.

💡 Praktický problém nebývá v tom, že by firma o regulaci vůbec nevěděla.

Častěji si není jistá, jak přesně zařadit svou konkrétní službu. To platí hlavně u cloudových a managed modelů, kde označení používané v byznysu ne vždy odpovídá tomu, jak službu vykládá NÚKIB pro účely regulace.

Co se vyjasnilo u cloud computingu

Jednou z nejcitlivějších oblastí pro IT trh byl pojem cloud computingu. NÚKIB k digitální infrastruktuře a službám zveřejnil podpůrné materiály, ze kterých dnes plyne podstatně praktičtější vodítko než dříve.

Podle aktuálního výkladu jsou předmětem regulace pouze takové služby cloud computingu, které uživatel může samostatně spravovat bez zásahu poskytovatele, například měnit výkon nebo rozšiřovat úložiště. Důležité tedy je, nakolik má zákazník nad prostředím skutečnou provozní kontrolu.

To v praxi znamená, že ne každý SaaS nástroj automaticky představuje cloud computing pro účely regulace. U řady firem tak dává smysl nepřebírat intuitivní označení služby, ale vyhodnotit konkrétní funkcionalitu a míru samostatné správy na straně uživatele.

🧠 Stále si s NIS2 nevím rady. Chci si sjednat bezplatnou konzultaci.

Co řešit bezprostředně po registraci

Po registraci nekončí administrativní část povinností. Poskytovatel regulované služby musí hlásit kontaktní údaje nejpozději do 30 dní od doručení rozhodnutí o registraci, přičemž část údajů lze nahlásit už při samotném ohlášení.

Současně je vhodné co nejdřív určit interní odpovědnosti. V režimu nižších povinností organizace nemusí mít formálně manažera kybernetické bezpečnosti, musí však určit osobu odpovědnou za řízení a rozvoj kybernetické bezpečnosti a dohled nad jejím stavem.

Z pohledu harmonogramu je klíčové, že po doručení rozhodnutí o registraci běží roční lhůta pro zavedení bezpečnostních opatření. Pro řadu společností proto dává smysl nezačínat implementaci rovnou psaním dokumentace, ale nejprve si udělat přehlednou gap analýzu a určit priority.

Prováděcí nařízení Komise: pravidlo, které firmy často přehlédnou

Pro IT sektor je zásadní ještě jedna věc: u vybraných digitálních služeb nestačí sledovat jen to, zda organizace spadá do režimu nižších nebo vyšších povinností podle českého zákona. NÚKIB výslovně upozorňuje, že na některé poskytovatele digitálních služeb dopadá také prováděcí nařízení Komise (EU) 2024/2690.

To se týká zejména poskytovatelů DNS služeb, registrů domén nejvyšší úrovně, cloud computingu, datových center, CDN, on-line tržišť, internetových vyhledávačů, platforem sociálních sítí, řízených služeb a řízených bezpečnostních služeb.

V praxi je důležité hlavně to, že u těchto služeb se při hlášení incidentů postupuje podle prováděcího nařízení nezávisle na tom, zda je poskytovatel zařazen do nižšího nebo vyššího režimu povinností. Nejde tedy o detail navíc, ale o pravidlo, které může zásadně ovlivnit nastavení vnitřních procesů.

Co podle NÚKIB prováděcí nařízení skutečně mění

NÚKIB současně vysvětluje, že prováděcí nařízení nemění kanál ani základní termíny hlášení. Hlášení probíhá přes Portál NÚKIB a ve stejných lhůtách, jaké platí podle českého rámce.

Mění se ale pravidla pro určení, který incident je natolik významný, že musí být hlášen. Poskytovatelé vybraných digitálních služeb proto nemají vycházet jen z obecných českých pravidel, ale musí zkontrolovat i kritéria významnosti stanovená přímo evropským prováděcím nařízením.

NÚKIB k tomu upozorňuje, že nařízení obsahuje obecná kritéria významnosti a zároveň zvláštní kritéria pro jednotlivé typy digitálních služeb. Jinými slovy: cloudový poskytovatel, MSP, MSSP nebo datové centrum musí při vyhodnocení incidentu pracovat s rámcem, který odpovídá právě jeho typu služby.

Incidenty a první nastavení interních procesů

Prakticky je užitečné myslet i na to, že hlášení incidentů podle nového zákona navazuje na registraci regulované služby. Jakmile organizace projde touto fází, měla by mít nastavené nejen kontaktní osoby, ale i proces, kdo incident vyhodnocuje, kdo rozhoduje o jeho významnosti a kdo podává hlášení.

U firem v digitálních službách se tady nejčastěji láme rozdíl mezi formální compliance a skutečně fungujícím nastavením. Nestačí vědět, že existuje povinnost hlásit incident; je potřeba mít interně jasno, podle jakých kritérií se incident posoudí a kdo je odpovědný za finální rozhodnutí.

Právě zde se vyplatí přeložit si regulaci do jednoduchého provozního postupu. Čím dříve firma propojí právní rámec, bezpečnostní tým a management, tím menší je riziko, že v rozhodující chvíli zůstane u improvizace.

Na co si dát v IT sektoru největší pozor

První častou chybou je, že firma správně vyhodnotí, že spadá do regulace, ale nesprávně si určí, podle jakého rámce má fakticky plnit část povinností. U vybraných digitálních služeb totiž český režim neříká vše a bez prováděcího nařízení Komise zůstane obraz neúplný.

Druhou chybou je příliš volné používání pojmů jako cloud, managed service nebo security service. To, jak službu označuje obchod nebo produktový tým, ještě neznamená, že bude stejně zařazena i pro účely regulace.

Třetí chybou je odkládání implementace. Roční lhůta po registraci může na první pohled působit komfortně, ale ve chvíli, kdy je potřeba vyhodnotit rozsah regulované služby, rozdělit role, projít dodavatele, nastavit proces incidentů a začít zavádět opatření, mizí velmi rychle.

Shrnutí pro praxi

Pro IT sektor dnes platí jednoduché pravidlo: registrací povinnosti nezačínají ani nekončí, ale teprve se zpřesňují. Po registraci je potřeba doplnit kontaktní údaje, určit odpovědnou osobu, správně vyhodnotit službu, nastavit proces hlášení incidentů a rozjet implementaci bezpečnostních opatření.

U digitálních služeb je navíc zásadní ověřit, zda se na organizaci nevztahuje i prováděcí nařízení Komise (EU) 2024/2690. Právě to bývá v praxi bod, kde firmy udělají chybu ne proto, že by o regulaci nevěděly, ale proto, že pokračují podle neúplného pravidelného rámce.

Jestli už máte registraci za sebou a nejste si jistí, co řešit nejdřív, největší hodnotu obvykle přinese rychlá gap analýza. Ta ukáže, kde máte skutečné mezery, co je priorita a jak nastavit další kroky tak, aby roční lhůta nebyla zbytečně stresující

Praktický závěr

Nejčastější problém firem po registraci není nedostatek informací, ale nedostatek priorit. Proto dává největší smysl udělat si hned na začátku realistický přehled: co je regulovaná služba, podle jakého rámce se postupuje, kdo je odpovědný a které kroky je potřeba řešit nejdřív.

Doporučení: navázat na registraci krátkou gap analýzou a až podle jejích výsledků rozepisovat detailní implementační plán.

Chci GAP analýzu