Kdy se musí směrnici NIS2 věnovat malé podniky?

• 
  Směrnice se dotýká klíčových odvětví, jako je průmysl, energetika, výroba, zdravotnictví, doprava, vodohospodářství či digitální infrastruktura, tedy oblastí, jejichž narušení by mohlo mít dalekosáhlé a velmi závažné dopady na fungování celé společnosti
• Do českého právního řádu byla směrnice NIS2 začleněna prostřednictvím nově upraveného zákona o kybernetické bezpečnosti, přičemž firmám byl stanoven závazný termín pro implementaci nových pravidel k 1. listopadu 2025

Koho se NIS2 týká?

• Primárně je směrnice NIS2 zaměřena na střední a velké podniky, tedy na organizace s více než 50 zaměstnanci nebo s ročním obratem přesahujícím 10 milionů eur, které působí ve vymezených strategických odvětvích
• Malé podniky s méně než 50 zaměstnanci nejsou ze směrnice automaticky vyloučeny — povinnost implementovat pravidla NIS2 se na ně vztahuje tehdy, pokud podnikají ve specifických a citlivých odvětvích, kde by jejich případný výpadek způsobený kybernetickým útokem mohl přímo ohrozit kritickou infrastrukturu státu
• Konkrétními příklady takového ohrožení mohou být narušení dodávek pitné vody, výpadky v zásobování energií, ochromení nemocnic a zdravotnických zařízení nebo narušení bezpečnosti klíčových digitálních služeb, na nichž závisí každodenní život obyvatel
• Pokud malá firma splňuje výše uvedená kritéria, má povinnost se zaregistrovat v systému NÚKIB — tedy u Národního úřadu pro kybernetickou a informační bezpečnost — a přijmout příslušná bezpečnostní opatření v souladu se zákonem

Co musí malé podniky konkrétně udělat?

• Provést sebehodnocení — firma musí nejprve sama posoudit, zda spadá do působnosti směrnice NIS2, a to na základě svého odvětví, velikosti a míry dopadu případného kybernetického incidentu na kritickou infrastrukturu
• Registrovat se u NÚKIB — pokud firma zjistí, že pod regulaci spadá, je povinna se zaregistrovat v příslušném systému NÚKIB a pravidelně aktualizovat své kontaktní a organizační údaje
• Zavést pravidelné zálohování dat — jedním ze základních a zároveň nejdůležitějších opatření je systematické a pravidelné zálohování veškerých klíčových firemních dat tak, aby bylo možné v případě útoku rychle obnovit provoz
• Školení zaměstnanců — lidský faktor zůstává jednou z největších slabin v oblasti kybernetické bezpečnosti, proto je pravidelné vzdělávání pracovníků v oblasti rozpoznávání hrozeb, phishingových útoků a bezpečného chování v digitálním prostředí naprosto nezbytné
• Zavedení detekčních nástrojů — firmy jsou povinny implementovat základní nástroje pro včasné odhalení kybernetických hrozeb, jako jsou systémy pro monitorování sítě, antivirová řešení nové generace nebo nástroje pro detekci anomálií v síťovém provozu
• Nastavení procesů pro hlášení incidentů — v případě závažného kybernetického incidentu musí mít firma jasně definovaný postup, jak a kdy incident nahlásit příslušným orgánům, přičemž NIS2 stanovuje velmi přísné lhůty pro tato hlášení

Jak jsou na tom malé podniky v praxi?

• Přestože termín pro implementaci pravidel NIS2 byl stanoven na 1. listopadu 2025, mnoho malých i velkých podniků v systému stále tápá a není si jisto, zda a jak přesně se jich nová pravidla týkají
• Velká část strategických malých podniků přitom již mnohá z požadovaných opatření v nějaké podobě zavedena má — ať už z vlastní iniciativy, nebo na základě požadavků obchodních partnerů či pojišťoven — a jejich úkolem je tato opatření pravidelně aktualizovat a formálně zdokumentovat v souladu s aktuálními mezinárodními standardy
• Hlavní výzva pro malé podniky tak nespočívá vždy v samotné technické implementaci, ale spíše v administrativní a procesní stránce věci — tedy ve správném zdokumentování bezpečnostních opatření, nastavení interních politik a zajištění průkaznosti přijatých kroků pro případ kontroly ze strany NÚKIB
• Firmy, které povinnosti směrnice NIS2 ignorují nebo je vědomě neplní, se vystavují značným finančním sankcím, které mohou v závislosti na závažnosti pochybení dosáhnout velmi vysokých částek, přičemž odpovědnost může být vyvozena i vůči konkrétním členům vedení společnosti

Mohlo by vás také zajímat: Jaké pokuty ohledně kyberbezpečnosti hrozí nově vedení firem? Co znamená režim nižších nebo vyšších povinností kybernetické bezpečnosti firmy?