NIS2: Co to je, koho se týká a co musíte udělat — e-shopy, weby, e-maily, servery

Co je NIS2?

NIS2 (Network and Information Security Directive 2) je evropská směrnice č. 2022/2555, která nahrazuje původní NIS1 z roku 2016. Do českého práva ji promítá nový Zákon o kybernetické bezpečnosti (ZKB), který je účinný od roku 2025.

Cíl je jednoduchý: zvýšit odolnost evropské digitální ekonomiky vůči kybernetickým útokům. Ransomware, phishing a útoky na kritickou infrastrukturu způsobily v Evropě za poslední roky škody v řádech miliard eur. Odpovědí je právě NIS2 — přísnější pravidla, širší záběr a tvrdší pokuty.

Oproti NIS1 je klíčový rozdíl v rozsahu. Zatímco původní směrnice se týkala jen několika stovek subjektů v ČR (nemocnice, energetika, banky), NIS2 se vztahuje na tisíce středních a velkých podniků napříč odvětvími — včetně oblasti e-commerce, IT služeb a digitální infrastruktury.

Kdo pod NIS2 spadá?

Základní pravidlo: velikost firmy

Primárně platí, že NIS2 se dotýká:

• středních podniků — nad 50 zaměstnanců NEBO roční obrat/bilanční suma nad 10 milionů EUR
• velkých podniků — nad 250 zaměstnanců NEBO obrat nad 50 milionů EUR

Malé firmy pod 50 zaměstnanců mají obecně výjimku. Ale pozor — existují výjimky z výjimky. Pokud jste menší firma a provozujete kritickou infrastrukturu (například jste jediný poskytovatel internetu v regionu nebo spravujete systémy pro nemocnici), zákon se na vás vztahuje bez ohledu na velikost.

Dva typy regulovaných subjektů

Zákon rozlišuje dvě kategorie s odlišnou přísnností pravidel:

Základní subjekty (Essential Entities) — přísnější dohled, aktivní kontroly ze strany NÚKIB, pokuty až do 10 milionů EUR nebo 2 % celosvětového ročního obratu:

• Energetika (výroba, přenos, distribuce elektřiny, plynu, tepla)
• Zdravotnictví (nemocnice, výrobci léčiv, laboratoře)
• Doprava (letectví, železnice, lodní doprava, silniční doprava)
• Bankovnictví a finanční infrastruktura
• Digitální infrastruktura (DNS, cloud, datacentra, internetové uzly)
• Veřejná správa (státní a krajská úroveň)
• Vodárenství a odpadní hospodářství

Důležité subjekty (Important Entities) — reaktivní dohled (kontroly zpravidla až po incidentu), pokuty až 7 milionů EUR nebo 1,4 % obratu:

• Poštovní a kurýrní služby
• Zpracovatelský průmysl (výroba elektroniky, strojů, motorových vozidel)
• Výroba a distribuce chemikálií
• Výzkum a vývoj
• Vzdělávání (vysoké školy, velké soukromé instituce)
• Výroba potravin a nápojů
• Poskytovatelé digitálních služeb — a tady to začíná být zajímavé pro e-commerce

Co to znamená pro IT firmy a e-shopy?

Kategorie "digitální poskytovatelé" zahrnuje mimo jiné:

• Marketplace platformy (velké e-shopy, srovnávače, tržiště)
• Poskytovatele cloudových služeb
• Poskytovatele managed IT služeb (MSP)
• Sociální sítě a online platformy

Pokud tedy provozujete velký e-shop nebo platformu s desítkami tisíc uživatelů a obrat/velikost překračujete prahy, NIS2 se vás týká přímo. Menší e-shopy a weby pod prahem sice nespadají pod přímou regulaci, ale nepřímo jsou ovlivněny skrze své dodavatele a hostingové poskytovatele.

Proč se to týká i vás, i když nespadáte přímo pod zákon?

Tady je klíčový bod, který mnoho firem přehlíží.

NIS2 zavádí povinnost řídit bezpečnost dodavatelského řetězce. To znamená, že firmy, na které zákon dopadá, musí prověřit a smluvně zajistit kybernetickou bezpečnost svých dodavatelů. A dodavateli jsou mimo jiné:

• Firmy, které jim vytvořily e-shop nebo web
• Agentury, které spravují jejich servery nebo hosting
• Vývojáři modulů a rozšíření
• Provideři e-mailových služeb
• IT firmy zajišťující zálohy a monitoring

Pokud tedy programujete moduly nebo weby pro firmy spadající pod NIS2, váš zákazník od vás může a bude požadovat, abyste doložili vlastní bezpečnostní standardy, podepsali smluvní doložky o bezpečnosti (tzv. NIS2 klauzule) a případně prošli auditem nebo certifikací.

Jinak řečeno: i malá vývojářská firma, která přímé povinnosti ze zákona nemá, bude pod tlakem trhu nucena NIS2 standardy plnit — pokud chce pracovat pro regulované zákazníky.

Co NIS2 konkrétně vyžaduje?

1. Řízení kybernetických rizik

Firmy musí mít zavedený systém pro identifikaci, hodnocení a snižování bezpečnostních rizik. Nestačí říct „máme antivirus". Vyžaduje se:

• Pravidelné hodnocení rizik — písemná analýza, co může selhat a jaké by to mělo dopady
• Politika kybernetické bezpečnosti — interní dokument stanovující pravidla (kdo má přístup kam, jak se zachází s hesly, co dělat při incidentu)
• Bezpečnost při vývoji softwaru — pokud vyvíjíte software pro zákazníky, musíte mít definované postupy pro bezpečný vývoj (code review, testování zranitelností, dependency management)

2. Technická opatření

Konkrétní technické povinnosti zahrnují:

• Šifrování dat — jak při přenosu (HTTPS, TLS), tak v klidu (šifrované databáze, disky)
• Řízení přístupů (IAM) — princip nejmenších oprávnění, vícefaktorové ověřování (MFA) pro kritické systémy
• Zálohování — pravidelné zálohy s testováním obnovy, geografická separace záloh
• Patch management — systém pro sledování a aplikaci bezpečnostních záplat
• Monitoring a detekce — schopnost detekovat neobvyklou aktivitu (logy, SIEM, IDS/IPS)
• Plán kontinuity provozu — co se stane, když systém vypadne, a jak ho rychle obnovit

3. Hlášení incidentů

Toto je jedna z nejpřesnějších povinností a má přísné lhůty:

• Do 24 hodin od zjištění incidentu: první hlášení na NÚKIB — stručné, co víme
• Do 72 hodin: podrobné hlášení s popisem incidentu, dopadem a přijatými opatřeními
• Do 1 měsíce: závěrečná zpráva s analýzou příčin a přijatými nápravnými opatřeními

Co je incident pro účely NIS2? Například:

• Úspěšný ransomware útok
• Únik zákaznických dat
• DDoS útok s výpadkem služby delším než X hodin
• Kompromitace přístupových údajů k produkčním systémům

4. Odpovědnost vedení

Toto je novinkou, která mnohé vedoucí pracovníky překvapí. NIS2 výslovně říká, že:

• Bezpečnostní opatření musí být schválena vedením firmy (statutárním orgánem)
• Členové vedení musí absolvovat pravidelná školení v oblasti kybernetické bezpečnosti
• Vedení může být osobně pokutováno a v extrémních případech zakázána výkon funkce

Nestačí tedy přepsat odpovědnost na IT správce. Jednatel nebo ředitel musí tématu rozumět a aktivně ho řídit.

5. Bezpečnost dodavatelského řetězce

Jak bylo zmíněno výše, regulovaná firma musí:

• Mít přehled, kteří dodavatelé mají přístup k jejím systémům nebo datům
• Prověřit bezpečnostní úroveň klíčových dodavatelů
• Zapracovat bezpečnostní požadavky do smluv

NIS2 a e-shop: co to znamená v praxi?

Představte si střední e-shop s 80 zaměstnanci a obratem přes 10 milionů EUR ročně. Prodává elektroniku, má vlastní sklad, používá PrestaShop nebo Shoptet, a provozuje svůj e-mail na firemní doméně.

Webová platforma a e-shop

Co musí řešit:

• HTTPS je dnes samozřejmostí, ale NIS2 jde dál. Vyžaduje se aktivní správa TLS certifikátů, automatická obnova, sledování zranitelností použitých knihoven.
• Moduly a rozšíření třetích stran — každý nainstalovaný plugin nebo modul je potenciální bezpečnostní riziko. Musí existovat proces kontroly a aktualizace.
• Přístupy do administrace — administrace e-shopu musí být chráněna MFA. Přístupy pro vývojáře a agentury musí být časově omezeny a logovány.
• Zákaznická data — databáze zákazníků (jména, adresy, historii objednávek) musí být šifrovaná nebo přinejmenším přísně přístupově kontrolovaná.
• Pentesty a bezpečnostní audity — firmy by měly pravidelně testovat svůj e-shop na zranitelnosti (SQL injection, XSS, CSRF apod.)

Co to znamená pro vás jako vývojáře:

Zákazníci budou po vás chtít, abyste moduly psali s ohledem na bezpečnost — žádné přímé SQL dotazy bez sanitace vstupů, žádné ukládání citlivých dat v plaintextu, logování akcí do auditního logu, dokumentace API endpoints a oprávnění.

E-mail jako kritická infrastruktura

E-mail je překvapivě jednou z nejvíce podceňovaných oblastí kybernetické bezpečnosti. A NIS2 to mění.

Proč je e-mail problém?

• Přes 90 % kybernetických útoků začíná phishingovým e-mailem
• Firemní komunikace obsahuje citlivá data (faktury, smlouvy, zákaznické informace)
• Kompromitovaný e-mailový účet = přístup k celé firemní komunikaci

Co NIS2 de facto vyžaduje pro e-mail:

SPF, DKIM a DMARC — tři DNS záznamy, které dohromady zajišťují, že z vaší domény nemůže odesílat e-maily nikdo jiný. DMARC navíc umožňuje nastavit, co se má stát s e-maily, které ověřením neprojdou (odmítnutí, karanténa). Bez těchto záznamů jste otevřenou branou pro spoofing.

Šifrování e-mailů — přinejmenším TLS při přenosu (STARTTLS nebo SMTP over TLS). Pro citlivou komunikaci end-to-end šifrování (S/MIME nebo PGP).

MFA na e-mailové účty — platí to samé co pro administraci: přístup k firemnímu e-mailu musí být chráněn vícefaktorovým ověřením.

Archivace a logy — záznamy o odeslaných/přijatých e-mailech pro potřeby forenzní analýzy v případě incidentu.

Hosting e-mailu — pokud používáte sdílený hosting nebo levný mailhosting bez SLA a bez záruk bezpečnosti, je čas zvážit přechod na profesionální řešení (Microsoft 365, Google Workspace nebo lokální provider s certifikací).

Školení zaměstnanců — NIS2 explicitně zmiňuje phishing awareness jako součást bezpečnostního vzdělávání.

Hosting a servery

Tato oblast je pro IT firmy a vývojáře nejdůležitější — a zároveň nejčastěji podceňovaná.

Co řeší firmy spadající pod NIS2:

Pokud provozujete nebo spravujete servery pro zákazníka, který spadá pod regulaci, de facto se na vás přenášejí jeho povinnosti prostřednictvím smlouvy.

Klíčové oblasti:

Fyzická bezpečnost serverů — servery musí být v datovém centru s kontrolovaným přístupem. Nestačí server v kancláři nebo "doma v serverovně".

Zálohovací strategie (3-2-1 pravidlo) — 3 kopie dat, na 2 různých médiích, 1 mimo lokalitu. Zálohy musí být šifrované a pravidelně testované — nestačí zálohy jen pořizovat, musíte je i nacvičit obnovu.

Patch management — servery musí mít aktuální OS a aplikační záplaty. Neexistence systému pro sledování a aplikaci záplat je přímé porušení povinností.

Monitoring a alerting — systémy musí být monitorovány 24/7. Anomálie (neobvyklé přihlášení, přenos velkého množství dat) musí spustit alert.

Segmentace sítě — produkční servery musí být odděleny od vývojového prostředí a od kancelářské sítě. Firewall pravidla musí být dokumentována.

Penetrační testování — pravidelné testy odolnosti serverové infrastruktury.

Disaster recovery plán — dokumentovaný postup, jak obnovit provoz po výpadku nebo útoku. Musí být otestovaný (cvičný nácvik obnovy).

Specificky pro vývojáře modulů a integrací

Pokud vyvíjíte moduly, pluginy nebo vlastní integrační řešení (API propojení, connektory, importy/exporty dat), NIS2 má pro vás specifické dopady:

Secure development lifecycle (SDL):

• Bezpečnostní požadavky definovány na začátku projektu
• Code review se zaměřením na bezpečnostní zranitelnosti
• Testování na OWASP Top 10 (SQL injection, XSS, IDOR, atd.)
• Dependency scanning — sledování zranitelností v použitých knihovnách (npm audit, Composer audit)

Správa přístupů k produkci:

• Přístupy vývojářů k produkčním systémům zákazníka musí být dokumentovány
• Timeboxed přístupy — ne permanentní SSH klíče nebo FTP přihlašovací údaje v textovém souboru
• Logy o tom, kdo, kdy a co dělal na produkci

Odpovědnost za zranitelnosti:

• Smlouvy budou nově obsahovat SLA pro opravy bezpečnostních zranitelností
• Zákazníci budou chtít záruky, že vývíjíte bezpečně a rychle reagujete na CVE

Jak na to — praktické kroky

Krok 1: Zjistěte, zda se na vás zákon vztahuje

Navštivte portál NÚKIB (nukib.gov.cz) a využijte jejich self-assessment nástroj. Pokud jste firma s 50+ zaměstnanci a působíte v regulovaném odvětví, pravděpodobně ano.

Pokud jste pod prahem, přesto doporučujeme přečíst dál — vaši zákazníci pod zákon mohou spadat a budou od vás požadovat splnění bezpečnostních standardů.

Krok 2: Proveďte Gap analýzu

Porovnejte, co zákon vyžaduje, s tím, co aktuálně máte. Typické mezery v českých firmách:

• Chybí formální politika kybernetické bezpečnosti (dokument)
• Přístupy k systémům nejsou řízeny (sdílená hesla, žádné MFA)
• Zálohy existují, ale nikdy nebyly testovány na obnovu
• E-mail nemá nastaveny SPF/DKIM/DMARC
• Neexistuje plán pro případ incidentu
• Vedení neví nic o kybernetické bezpečnosti

Krok 3: Prioritizujte opatření

Nezačínejte tím nejdražším. Prioritní opatření s nejlepším poměrem cena/riziko:

1. MFA na všechny kritické systémy — admin e-shopu, e-mail, servery, VPN
2. SPF + DKIM + DMARC na firemní e-mail — nastavení za hodinu, ochrana obrovská
3. Zálohovací politika — dokumentujte, co zálohujete, jak často a kde
4. Přístupy k systémům — inventura kdo má přístup kam, zrušení nepoužívaných účtů
5. Bezpečnostní politika — byť jednoduchý dokument je lepší než žádný
6. Školení zaměstnanců — phishing test a školení v rozpoznávání útoků

Krok 4: Aktualizujte smlouvy

Pokud dodáváte IT služby regulovaným firmám, připravte se na to, že zákazníci budou chtít:

• Dodatek ke smlouvě s NIS2 klauzulemi (vaše bezpečnostní závazky)
• Přehled sub-dodavatelů a jejich bezpečnostní prověrky
• Potvrzení o pravidelných bezpečnostních školeních vašich zaměstnanců

Krok 5: Nastavte procesy, ne jen technologii

NIS2 není o nákupu nového softwaru. Je o procesech:

• Kdo je zodpovědný za kybernetickou bezpečnost ve firmě?
• Jak reagujete na bezpečnostní incident? (máte napsaný postup?)
• Jak a kdy aktualizujete systémy?
• Jak přijímáte a odebíráte přístupy zaměstnancům?

Sankce: kolik to stojí, když to nedodržíte?

Pokuty jsou navrženy tak, aby bolely i velké firmy:

Platí vždy vyšší z obou čísel.

Nad rámec pokut může NÚKIB:

• Nařídit okamžitá nápravná opatření
• Pozastavit certifikace nebo oprávnění
• Zakázat fyzické osobě výkon řídící funkce

Pokuty ale nejsou primárním cílem — zákon je nastaven tak, aby firmy motivoval ke skutečnému zlepšení bezpečnosti, nikoli k formálnímu plnění checklistů.

Časté mýty o NIS2

"Jsme malá firma, nás se to netýká." Přímo možná ne. Ale pokud děláte weby nebo moduly pro firmy, které pod zákon spadají, nepřímo vás to ovlivní skrze jejich požadavky na dodavatele.

"Máme GDPR, to stačí." GDPR a NIS2 se překrývají, ale nejsou totéž. GDPR řeší ochranu osobních dat, NIS2 řeší kybernetickou bezpečnost obecně — včetně operační kontinuity, hlášení incidentů a bezpečnosti celé infrastruktury.

"Zaplatíme certifikaci a je vyřešeno." NIS2 není o certifikátu. Vyžaduje živé, fungující procesy. Certifikace jako ISO 27001 může pomoci prokázat shodu, ale samotná certifikace bez reálného fungování procesů nestačí.

"NÚKIB nás nekontroluje, malé firmy jsou pod radarem." Kontroly NÚKIB jsou sice prioritně zaměřeny na základní subjekty, ale po incidentu (hacknutí, únik dat) přijde kontrola bez ohledu na velikost. A po incidentu je pozdě na přípravu.

Shrnutí: co udělat teď

NIS2 není další papírová povinnost, kterou splníte jedním dokumentem. Je to systémová změna přístupu k bezpečnosti.

Pro firmy a vývojáře v e-commerce a IT to znamená:

• Zkontrolujte, zda spadáte pod zákon — portál NÚKIB, self-assessment
• Audit přístupů — kdo má přístup k čemu, zrušte přístupy, které nikdo nepotřebuje
• MFA everywhere — e-mail, admin, servery, VPN
• E-mailová bezpečnost — SPF, DKIM, DMARC nastavte ještě dnes
• Zálohy — otestujte obnovu ze zálohy, ne jen jejich existenci
• Dokumentujte — procesy, přístupy, incidenty — co není napsáno, jako by nebylo
• Informujte vedení — NIS2 je věc managementu, ne jen IT

Pokud nevíte, kde začít, nebo potřebujete technickou pomoc s implementací bezpečnostních opatření do vašich systémů — moduly pro řízení přístupů, auditní logy pro e-shopy, bezpečné API integrace nebo konzultaci ke splnění NIS2 standardů — obraťte se na nás.

Tento článek slouží jako informační přehled. Pro vaši konkrétní situaci doporučujeme konzultaci s odborníkem na kybernetické právo nebo certifikovaným bezpečnostním auditorem.