Všechny články

9 červenec 2026 / 12 minut čtení

NIS2 není problém. Problém je, že většina organizací začíná na špatném místě

Když se dnes řekne NIS2, většina organizací začne řešit stejné otázky.


TL;DR

  • NIS2 není jednorázový projekt, ale dlouhodobý proces řízení kybernetických rizik.
  • Největší chybou je začít dokumentací místo identifikace rizik a kritických aktiv.
  • Kybernetická bezpečnost není pouze úkolem IT. Do implementace musí být zapojeno také vedení společnosti, HR, právní oddělení, nákup i vlastníci jednotlivých byznysových procesů.
  • Samotné technologie nestačí. Bez pravidelného testování nevíte, zda bezpečnostní opatření skutečně fungují.
  • Pozornost je potřeba věnovat také internímu prostředí, cloudovým službám a dodavatelskému řetězci, které patří mezi nejčastější cíle útočníků.
  • Úspěšný audit není cílem. Cílem je průběžně zvyšovat odolnost organizace vůči novým hrozbám.
  • Průběžné monitorování, identifikace zranitelností a ověřování účinnosti bezpečnostních opatření tvoří základ úspěšné implementace NIS2.

Implementace směrnice NIS2 představuje pro mnoho organizací první systematické setkání s řízením kybernetických rizik. Čím dříve začnou s přípravou, tím jednodušší bude zavádění jednotlivých opatření do každodenního provozu.

Kdy začít s implementací NIS2?

Pokud jste zjistili, že se na vaši organizaci vztahují požadavky nového zákona o kybernetické bezpečnosti, nečekejte na audit ani na kontrolu regulátora. Implementace bezpečnostního programu trvá měsíce, nikoliv týdny.

Nový zákon o kybernetické bezpečnosti, který do českého právního řádu přenáší požadavky směrnice NIS2, výrazně rozšiřuje okruh regulovaných organizací. Dotkne se nejen provozovatelů kritické infrastruktury, ale také řady středních a velkých podniků napříč ekonomicky, společensky a bezpečnostně významnými odvětvími.

Jednou z nejvýznamnějších změn je zavedení režimu vyšších a nižších povinností, který určuje rozsah bezpečnostních opatření, jež musí organizace zavést. Zařazení do režimu závisí především na poskytované regulované službě a velikosti organizace.

Čím dříve organizace začne s přípravou, tím jednodušší bude zavádění jednotlivých bezpečnostních opatření do každodenního provozu.

Doporučený postup implementace:

NIS2 Implementacni Postup (CZ).png

Přestože doporučený postup vypadá poměrně jednoduše, v praxi se mnoho organizací vydá opačným směrem. Místo identifikace rizik začnou řešit technologie, dokumentaci nebo audit.

Objevují se přitom otázky jako: Potřebujeme CISO? Musíme mít ISO 27001? Kolik nových směrnic bude potřeba připravit? Čeká nás audit? Jsou to pochopitelné otázky. Zároveň jsou to ale zpravidla špatné otázky na začátek.

Největší změnou, kterou NIS2 přináší, totiž není nová administrativa ani další dokumentace. Především mění způsob, jakým by organizace měly přistupovat ke kybernetické bezpečnosti.

Jinými slovy, NIS2 není projekt. Je to způsob řízení rizik.

Právě proto se při přípravě na NIS2 opakují stále stejné chyby.

Organizace investují do nových bezpečnostních nástrojů, ale často nevědí, které systémy jsou pro jejich fungování skutečně kritické. Připraví desítky interních směrnic, ale nikdy si neověří, zda dokážou obnovit provoz po ransomwarovém útoku. Absolvují audit, ale netuší, že by útočník mohl získat administrátorská oprávnění prostřednictvím jediného špatně nakonfigurovaného účtu. To není problém legislativy. To je problém špatně nastavených priorit.

ChatGPT Image 9. 7. 2026, 14_58_50.png

V tomto článku proto nebudeme rozebírat jednotlivé články směrnice ani citovat paragrafy národních zákonů. Takových materiálů už existuje dostatek. Místo toho se podíváme na to, jak by měla organizace postupovat, aby byla připravena nejen na splnění požadavků NIS2, ale především na reálné kybernetické hrozby.

Chyba č. 1: Začít dokumentací

Jednou z prvních reakcí bývá snaha připravit všechny potřebné politiky, směrnice a procesní dokumentaci. Bezpečnostní politika, plán reakce na incident nebo plán kontinuity provozu jsou bezpochyby důležité. Problém nastává ve chvíli, kdy se stanou cílem místo prostředkem.

Představte si dvě organizace. První má perfektně zpracovanou dokumentaci, ale nikdy netestovala obnovu ze záloh ani připravenost týmu na řešení bezpečnostního incidentu. Druhá má jednodušší procesy, ale pravidelně provádí penetrační testování, ověřuje konfiguraci kritických systémů a nacvičuje reakci na incidenty. Která z nich bude lépe připravena na skutečný útok?

Dokumentace je důležitá proto, aby podporovala fungování bezpečnostních procesů. Sama o sobě ale organizaci neochrání. NIS2 proto nestaví na kontrole existence dokumentů, ale na schopnosti organizace řídit rizika a prokázat, že přijatá opatření fungují i v praxi.

Chyba č. 2: Považovat kybernetickou bezpečnost za problém IT oddělení

Kybernetická bezpečnost už dávno není výhradně technickou disciplínou. Moderní útoky zneužívají slabiny v procesech, lidské chyby i vztahy s dodavateli. Proto se NIS2 nezaměřuje pouze na IT infrastrukturu, ale vyžaduje zapojení celé organizace.

Vedení společnosti rozhoduje o investicích, schvaluje rizika a nese odpovědnost za strategická rozhodnutí. Personální oddělení zajišťuje školení a procesy spojené s nástupem zaměstnanců. Nákup vybírá dodavatele, kteří mohou mít přístup ke kritickým systémům. Právní oddělení řeší smluvní požadavky a oznamovací povinnosti. Pokud některá z těchto částí nefunguje správně, samotná technická opatření nestačí.

Úspěšná implementace NIS2 proto není projektem IT oddělení. Je to projekt celé organizace.

Chyba č. 3: Investovat do technologií dříve, než poznáte svá rizika

Po oznámení nových povinností často následuje nákup bezpečnostních řešení. Organizace investují do EDR, SIEM, PAM nebo dalších nástrojů s přesvědčením, že tím výrazně zvýší svou úroveň zabezpečení.

Technologie jsou nezbytnou součástí obrany, samy o sobě však problém nevyřeší.

Nejprve je potřeba porozumět vlastnímu prostředí. Které systémy jsou pro fungování organizace kritické? Jaká data zpracováváte? Které služby musí zůstat dostupné i během bezpečnostního incidentu? Jaké dopady by měla kompromitace jednotlivých aktiv?

Bez odpovědí na tyto otázky nelze efektivně rozhodovat o investicích. Organizace může disponovat špičkovými bezpečnostními technologiemi, a přesto přehlížet slabé místo, které představuje největší riziko. Právě proto klade NIS2 důraz na analýzu a řízení rizik jako na základ všech dalších bezpečnostních opatření.

Chyba č. 4: Předpokládat, že zavedená opatření fungují

Mnoho organizací je přesvědčeno, že jejich bezpečnostní opatření jsou dostatečná jen proto, že je používají už několik let. Mají vícefaktorové ověřování, firewall, segmentaci sítě nebo pravidelné zálohování. To ale automaticky neznamená, že jsou tato opatření správně nastavena nebo odolná vůči aktuálním hrozbám.

Bezpečnost nelze posoudit pouze podle seznamu implementovaných technologií. Vyžaduje pravidelné ověřování.

Penetrační testování ukáže, jak by se do prostředí mohl dostat skutečný útočník. Security Assessment odhalí chybné konfigurace. Red Team cvičení prověří připravenost organizace čelit sofistikovanému útoku. Stejně důležité je pravidelně testovat obnovu ze záloh nebo připravenost Incident Response týmu.

Největším rizikem není chybějící technologie. Největším rizikem je přesvědčení, že vše funguje správně, přestože to nikdy nikdo neověřil.

Chyba č. 5: Zapomínat na dodavatelský řetězec

Útočníci dnes stále častěji nehledají cestu přímo do cílové organizace. Hledají její nejslabší článek. Tím může být externí poskytovatel IT služeb, cloudová platforma, dodavatel softwaru nebo obchodní partner s přístupem do interní sítě.

Právě proto věnuje NIS2 bezpečnosti dodavatelského řetězce mnohem větší pozornost než předchozí legislativa. Organizace by měla vědět, kteří dodavatelé mají přístup ke kritickým systémům, jaké bezpečnostní požadavky na ně klade a jak průběžně vyhodnocuje rizika spojená s jejich službami.

Neznamená to provádět audit každého dodavatele. Důležité je identifikovat partnery, jejichž kompromitace by mohla mít významný dopad na fungování organizace, a nastavit odpovídající úroveň kontroly.

Chyba č. 6: Soustředit se pouze na externí hrozby

Když se řekne kybernetický útok, většina lidí si představí hackera, který se snaží proniknout přes internet. V praxi však útočníci často využijí mnohem jednodušší cestu. Získají přihlašovací údaje běžného uživatele, kompromitují jeho pracovní stanici a následně se pohybují v interní síti.

Právě proto nestačí chránit pouze perimetr organizace. Stejně důležité je znát stav interního prostředí.

Jedním z nejčastějších cílů útočníků je Active Directory. Pokud se jim podaří získat administrátorská oprávnění, mohou ovládnout významnou část firemní infrastruktury. Důvodem přitom nebývají sofistikované zranitelnosti, ale chybně nastavená oprávnění, zastaralé konfigurace nebo účty s nadměrnými právy.

Pravidelná kontrola identit, přístupových oprávnění a konfigurace interního prostředí by proto měla být přirozenou součástí bezpečnostního programu každé organizace.

Chyba č. 7: Považovat cloud za odpovědnost poskytovatele

Přesun systémů do cloudu přináší vyšší flexibilitu i dostupnost služeb. Zároveň ale vytváří nový typ rizik. Mnoho organizací se mylně domnívá, že za bezpečnost cloudového prostředí odpovídá výhradně poskytovatel.

Ve skutečnosti funguje princip sdílené odpovědnosti. Poskytovatel zabezpečuje samotnou cloudovou infrastrukturu, zatímco organizace odpovídá za konfiguraci služeb, správu identit, přístupových oprávnění, ochranu dat i nastavení bezpečnostních politik.

Právě nesprávná konfigurace cloudových služeb patří mezi nejčastější příčiny úniků dat. Veřejně přístupná úložiště, příliš široká oprávnění nebo chybějící vícefaktorové ověřování představují rizika, která nevznikají vinou poskytovatele, ale nesprávným nastavením prostředí.

Bezpečnost cloudu proto nelze považovat za vyřešenou jen proto, že organizace využívá služby renomovaného poskytovatele.

Chyba č. 8: Řešit bezpečnost pouze před auditem

Řada organizací věnuje kybernetické bezpečnosti největší pozornost několik měsíců před auditem nebo kontrolou. Aktualizují dokumentaci, odstraní nejviditelnější nedostatky a po úspěšném dokončení auditu se bezpečnostní program opět dostane na vedlejší kolej.

Takový přístup byl problematický už v minulosti. S příchodem NIS2 ale přestává dávat smysl úplně.

Kybernetické prostředí se mění každý den. Objevují se nové zranitelnosti, přibývají zařízení, mění se konfigurace a organizace zavádějí nové aplikace i cloudové služby. Stav bezpečnosti proto nelze posuzovat podle výsledku jednoho auditu.

Úspěšné organizace dnes přistupují ke kybernetické bezpečnosti stejně jako ke kvalitě nebo řízení rizik. Průběžně monitorují své prostředí, pravidelně ověřují účinnost bezpečnostních opatření, vyhodnocují nové hrozby a odstraňují zjištěné nedostatky dříve, než je někdo dokáže zneužít.

Právě tento přístup je jednou ze základních myšlenek NIS2. Cílem není připravit organizaci na jeden konkrétní audit, ale vybudovat proces, který bude dlouhodobě zvyšovat její odolnost vůči kybernetickým hrozbám.

Chyba č. 9: Podcenit připravenost na bezpečnostní incident

Mnoho organizací má připravený Incident Response Plan. Jen málokterá ale ví, zda by podle něj dokázala v krizové situaci skutečně postupovat. Během incidentu totiž nestačí vědět, komu zavolat. Tým musí rozumět svým rolím, vedení musí umět rozhodovat pod tlakem a organizace musí mít jasno v tom, jak komunikovat se zákazníky, obchodními partnery, regulátorem i veřejností.

Ransomwarový útok, únik dat nebo kompromitace uživatelských účtů se zpravidla neodehrávají v klidném prostředí. Přichází časový tlak, nedostatek informací a rozhodnutí, která mají přímý dopad na provoz organizace. Pokud si organizace svůj postup nikdy nevyzkoušela, často až během skutečného incidentu zjistí, že plán obsahuje neaktuální kontakty, nejasně rozdělené odpovědnosti nebo kroky, které nelze v praxi provést.

Připravenost na incident proto nelze hodnotit pouze podle existence dokumentace. Vyžaduje pravidelná cvičení, technické scénáře, zapojení vedení i následné vyhodnocení. Dobrý Incident Response není ten, který dobře vypadá na papíře. Je to proces, který funguje ve chvíli, kdy není čas přemýšlet.

Chyba č. 10: Považovat audit za cíl

Audit je důležitým nástrojem pro ověření stavu bezpečnostního programu. Pomáhá identifikovat nedostatky, ověřit nastavené procesy a vytvořit tlak na jejich odstranění. Problém nastává ve chvíli, kdy se úspěšné absolvování auditu stane hlavním cílem celé přípravy.

Organizace pak často optimalizují své aktivity tak, aby úspěšně prošly kontrolou. Aktualizují dokumentaci, doplní chybějící procesy, odstraní nejviditelnější nedostatky a po auditu bezpečnostní program opět zpomalí. Útočníky ale nezajímá, zda organizace auditem prošla. Zajímá je, zda má zranitelnou aplikaci, špatně nakonfigurovaný cloud, slabá hesla, nadměrná oprávnění nebo netestované zálohy.

NIS2 by proto neměla být vnímána jako jednorázová povinnost, kterou je potřeba splnit před kontrolou. Je to rámec pro dlouhodobé řízení kybernetických rizik. Audit může potvrdit určitý stav v konkrétním okamžiku, ale nedokáže zaručit, že organizace bude stejně bezpečná i za několik měsíců.

Skutečným cílem proto není úspěšně projít auditem. Cílem je vybudovat bezpečnostní program, který průběžně identifikuje rizika, ověřuje účinnost přijatých opatření a dlouhodobě zvyšuje odolnost organizace.

Jak vypadá organizace připravená na NIS2?

Neexistuje univerzální seznam technologií ani jediná správná architektura, která zaručí soulad s požadavky NIS2. Každá organizace má jiné prostředí, jiná rizika i jinou úroveň vyspělosti. Přesto mají úspěšné organizace několik společných znaků.

NIS2 Readiness Infographic (CZ).pngPokud se při čtení tabulky poznáváte spíše v levém sloupci, není důvod k panice. Většina organizací se nachází někde mezi oběma extrémy. Důležité je vědět, kde se nacházíte dnes, a mít plán, jak svou úroveň kybernetické bezpečnosti postupně zvyšovat.

NIS2 nepřináší revoluci v technologiích

Přináší změnu přístupu. Organizace už nemohou stavět svou bezpečnost na jednorázových projektech, pravidelných auditech nebo domněnce, že jednou zavedená opatření budou fungovat navždy. Kybernetické hrozby se vyvíjejí každý den a stejným tempem se musí vyvíjet i schopnost organizace je identifikovat a řídit.

Právě proto je stále větší důraz kladen na průběžné monitorování rizik, pravidelné ověřování bezpečnostních opatření a jejich neustálé zlepšování. Penetrační testování, bezpečnostní assessmenty, kontrola konfigurací, řízení zranitelností nebo prověřování dodavatelského řetězce by neměly být jednorázovou aktivitou, ale přirozenou součástí bezpečnostního programu.

NIS2 není cílová stanice. Je to proces neustálého zlepšování. Organizace, které budou svou kybernetickou bezpečnost řídit průběžně, budou připraveny nejen na požadavky regulátorů, ale především na reálné kybernetické hrozby.

CTA_cz.png

logo

Přihlaste se k odběru našeho newsletteru a získejte všechny důležité novinky v oblasti kybernetické bezpečnosti a etického hackování.

© 2024 citadelo AG. Všechna práva vyhrazena.

facebooklinkedinxyoutube