1. Domů
  2. Blog
  3. Směrnice NIS2: Zásadní krok pro kybernetickou bezpečnost

Směrnice NIS2: Zásadní krok pro kybernetickou bezpečnost

Směrnice NIS2 se týká čím dál více firem a neřeší jen IT. V pár krocích vysvětlujeme, co NIS2 znamená, koho se týká a co udělat do 60 dnů od 1. 11. 2025. Jednoduše a srozumitelně – pro HR, management i provoz.

Tomáš Vrchota

15. dubna 2025

Co je NIS2 v jedné větě

Směrnice NIS2 je evropské pravidlo, které chce snížit dopady kyberútoků – proto firmám ukládá pár „zdravotních návyků“ pro IT i organizaci firmy (od školení po řízení dodavatelů). Nejde o jednorázový projekt, ale o způsob práce.

Týká se to i nás?

Pravděpodobně ano, pokud jste střední a větší firma nebo provozujete důležitou službu (třeba v dopravě, energii, zdravotnictví, digitálních službách apod.). NIS2 rozlišuje základní (essential) a důležité (important) subjekty. Povinnosti jsou podobné, liší se míra dohledu a sankcí. Základní sdílené minimum je pro všechny stejné.

Důležité datum a co z něj plyne

1. listopadu 2025 nabývá účinnosti nový český zákon o kybernetické bezpečnosti, který NIS2 zavádí do praxe. Do 60 dnů od účinnosti mají dotčené organizace povinnost ohlásit regulované služby vůči NÚKIB. Teprve potom se rozběhnou další lhůty. Jinými slovy: nejdřív se přihlásit, pak systematicky naplňovat.

Jak vypadá „základ kyberhygieny“ lidskou řečí

Směrnice popisuje 10 oblastí, které by každá dotčená firma měla mít přiměřeně zvládnuté. Pár příkladů ve srozumitelné podobě:

  • Řízení rizik a incidentů: vědět, co chráním, komu volám při průšvihu, a mít jednoduchý scénář „kdo-co-do kdy“.

  • Business continuity: umět obnovit provoz – zálohy, plán B, krizové role.

  • Dodavatelský řetězec: prověřit klíčové dodavatele (např. cloud, mzdový systém), nastavit minimální požadavky a reakci na zranitelnosti.

  • Zabezpečené přístupy: vícefaktorové přihlášení (MFA), správa zranitelností, aktualizace.

Nemusí to být „enterprise“ řešení – jde o přiměřenost velikosti a rizikům. ENISA k tomu vydala praktický návod s příklady důkazů, jak opatření zavádět a prokazovat.

Incident? Tři jednoduché kroky hlášení (24/72/30)

Když se stane významný incident, platí jednoduchá osa:

  1. Early warning do 24 hodin – krátká informace „co se děje“.

  2. Incident notification do 72 hodin – první odhad dopadu a závažnosti.

  3. Závěrečná zpráva do 1 měsíce – co bylo příčinou a jaké je nápravné opatření.
    Tento režim stanoví přímo směrnice NIS2 (čl. 23).

Co udělat do 60 dnů od 1. 11. 2025 (praktický checklist)

  1. Zmapujte služby a odpovědné osoby. Vyjasněte, zda jste povinný subjekt a které vaše služby spadají do regulace. Určete vlastníky služeb a kontaktní osoby pro NÚKIB.

  2. Připravte ohlášení regulovaných služeb. Stanovte, kdo a jak ohlášení podá (včetně kontroly povinných údajů).

  3. Ujasněte role: sponzor z vedení, „incident manager“, komunikační koordinátor (HR/PR), vlastníci opatření.

  4. Nastavte jednoduchý incidentní rámec: šablony pro 24/72/30, eskalační matice, kontakty na CSIRT/regulátora.

  5. Business continuity „na jednu stránku“: stupně závažnosti a kdo rozhoduje o obnově.

  6. Školení vedení + osvěta zaměstnanců: plán frekvencí, obsah, evidence o seznámení (pro audit).

  7. Dodavatelé: základní vendor risk – kritičnost, SLA, MFA/SSO, dohoda o zranitelnostech.

  8. Technická hygiena: zálohy, aktualizace, MFA, logování, správa zranitelností.

  9. Malé cvičení (60–90 min): „tabletop“ phishing/ransomware – prověří postupy i komunikaci.

HR + IT: jak si to rozdělit, aby to fungovalo

  • IT řeší techniku a procesy incidentů, zálohy, zranitelnosti, dohled.

  • HR zajišťuje školení managementu i zaměstnanců a důkazy o seznámení (evidence).

  • Management dává mandát (rozpočet, priority) a přebírá odpovědnost za opatření.
    Tohle není „IT projekt“ – bez HR a vedení auditní stopa a kultura bezpečnosti nevzniknou. (Požadavek na odpovědnost vedení vyplývá přímo z NIS2.)

Jak to ukotvit do každodenní praxe (bez chaosu)

  • Směrnice s potvrzením: publikujte aktuální kyber-směrnici, vyžádejte potvrzení přečtení – ideálně s auditní stopou

  • Krize bez zmatků: předpřipravené události a oznámení – kdo je na směně, kdo schvaluje, jak informujete terén

  • Ověření porozumění: krátké ankety po změnách (MFA, role, reporting) – vidíte, kdo potřebuje pomoc

  • Nápravná opatření: když anketa odhalí problém, otevřete žádost s termínem a odpovědnou osobou

  • Jedno místo pravdy: odpovědi „kdy hlásíme, komu a jaké info“ dejte do znalostní báze

  • Jedna brána: odkazy na SIEM, helpdesk či další nástroje sjednoťte do dlaždic

Mini-scénář z praxe

Výrobní firma (800 lidí) zavedla MFA (Multi-Factor Authentication), sjednotila směrnici „Kyberbezpečnost v praxi“ a natrénovala 24/72/30 hlášení na simulovaném útoku. HR vedlo evidenci školení a po každém kroku spustilo dvouotázkovou anketu. Výsledek? V interním cvičení firma zkrátila čas k „early warning“ pod 3 hodiny a omezila duplicitní zprávy díky předpřipraveným Událostem. Přechod na NIS2 tak nebyl sprint, ale série malých, měřitelných kroků.

Growy NET

Co si odnést:
Začněte registrací a mapou služeb, připravte šablony pro 24/72/30 a školte vedení i zaměstnance s evidencí. Zbytek už jsou iterace. A pokud chcete mít „papíry i praxi“ na jednom místě, vyzkoušejte si to v Growy NET – publikace směrnic, krizová oznámení a ankety zvládnete bez chaosu.

Novinky, tipy a inspirace
nejen pro HR

Sdílíme novinky z našeho vývoje a tipy, které se vám budou hodit v praxi.

HR strategie

Kolik opravdu stojí špatná interní komunikace?

Směrnice

Povinnost firemního ombudsmana od 50 zaměstnanců: Jednoduchý průvodce pro CEO a HR

HR strategie

Generace Z ve firmě: komunikace, onboarding a kultura