NIS2 aktuality 2025: Klíčové změny, které mohou ovlivnit vaši firmu – připravte se včas!
Lhůta pro transpozici směrnice NIS2 sice vypršela v říjnu 2024, ale nový zákon o kybernetické bezpečnosti stále čeká na schválení v Poslanecké sněmovně. Aktuální předpoklad účinnosti zákona je polovina roku 2025. Regulace výrazně rozšiřuje okruh společností, které budou povinné řídit kybernetickou bezpečnost. Cílem NIS2 je posílit ochranu kritických služeb pro stát a jeho občany a zvýšit odpovědnost organizací za kybernetickou odolnost.
Jaké změny přinese NIS2 v roce 2025?
Evropská komise zahájila řízení proti 23 členským státům, včetně České republiky, které dosud netransponovaly směrnici NIS2 do své národní legislativy. Tyto státy obdržely formální výzvu k dokončení transpozice pod hrozbou finanční sankce.
Nejasnost v legislativních požadavcích
Vzhledem k tomu, že Zákon o kybernetické bezpečnosti, který má implementovat NIS2 v ČR, stále není schválen, mají podniky částečně omezené informace o konkrétních požadavcích, které na ně budou kladeny.
Lhůty pro implementaci
Jakmile bude zákon schválen, regulované subjekty budou mít pouze dvouměsíční lhůtu na ohlášení svých regulovaných služeb Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). To znamená, že ještě před účinností zákona by firmy měly mít minimálně jasno, zda budou do působnosti zákona spadat a v jakém režimu.
Příprava na novou legislativu
Vědět, zda bude na podnik nový zákon dopadat, je skutečně jen minimem. Podniky by neměly čekat a měly by začít i s dalšími přípravami již nyní. GAP analýza, posouzení rizik, revize bezpečnostních opatření a školení zaměstnanců jsou klíčové kroky, které pomohou minimalizovat kybernetická rizika a vedou ke splnění legislativních povinností.
Povinnost hlásit kybernetické incidenty do 24 hodin
Jednou z klíčových změn, která vstoupí v platnost v roce 2025, je povinnost hlásit významné kybernetické bezpečnostní incidenty na NÚKIB do 24 hodin od jejich zjištění. To znamená, že firmy budou muset zlepšit detekční schopnosti a zajistit, že:
- Mají jasně stanovenou interní metodiku pro posuzování incidentů (včetně významnosti dopadu)
- Disponují bezpečnostním týmem, který bude schopen incidenty vyhodnotit a eskalovat
- Jsou schopny včas reportovat a doložit důkazy o incidentu.
Firmy by proto měly aktualizovat své incident response plány a pravidelně školit zaměstnance, aby věděli, jak správně reagovat v případě kybernetického útoku.
Odpovědnost vedení společností
Důležitou novinkou je rozhodně přímá odpovědnost vedení podniků za kybernetickou bezpečnost. Vrcholové vedení podniků tak bude mít větší odpovědnost za zajišťování kybernetické bezpečnosti než doposud. Odpovědnost nebude pouze na společnosti, ale i na samotném vrcholovém vedení.
Dodavatelský řetězec pod drobnohledem
NIS2 nově vyžaduje, aby společnosti přísněji kontrolovaly své dodavatele a partnery. To znamená:
- Provádění auditů a due diligence dodavatelů
- Uzavírání smluv s dodavateli s jasně definovanými bezpečnostními požadavky
- Monitoring třetích stran z hlediska kybernetické bezpečnosti.
Jak se na NIS2 připravit?
Mnoho firem stále nezačalo s přípravami na novou regulaci, přestože účinnost nového zákona se očekává v polovině roku 2025. Pokud se vás NIS2 týká, doporučujeme následující kroky:
- Identifikovat režim, v němž se vás nová regulace bude týkat
- Provést rozdílovou analýzu (GAP analýzu) mezi současným stavem a novými požadavky
- Vytvořit akční plán pro implementaci opatření a řízení kybernetických rizik
- Zajistit školení zaměstnanců v oblasti kybernetické bezpečnosti
- Zlepšit detekční a monitorovací nástroje, včetně SIEM a log managementu
- Outsourcovat kybernetickou bezpečnost na odborníky, pokud firma nemá vlastní interní tým
V RSM vám rádi pomůžeme s celým procesem přípravy – od GAP analýzy, přes návrh a implementaci bezpečnostních opatření až po nastavení interních politik a školení zaměstnanců.
Nečekejte na finální schválení zákona – připravte se včas a minimalizujte riziko!
