NIS2 a malé firmy — týká se vás?

NIS2 je evropská směrnice o kybernetické bezpečnosti, která vstoupila v platnost v říjnu 2024. Většina malých firem ji ignoruje — „to je přece pro velké korporáty". Jenže realita je jiná. Pokud dodáváte výrobky nebo služby firmám, které pod NIS2 spadají, můžete se stát článkem v řetězci, na který se regulace vztahuje.

Tento článek vysvětluje, co NIS2 znamená pro firmy do 50 zaměstnanců, jak zjistit jestli se vás týká, a co konkrétně musíte udělat — bez právnického žargonu, s praktickými kroky.

Co je NIS2 ve zkratce

NIS2 (Network and Information Security Directive 2) je aktualizovaná evropská směrnice, která rozšiřuje okruh firem povinných zajistit základní úroveň kyberbezpečnosti. V Česku ji implementuje novela zákona o kybernetické bezpečnosti pod dohledem NÚKIB.

Oproti původní směrnici NIS1 se zásadně mění dvě věci: dramaticky se rozšiřuje seznam regulovaných sektorů a nově se zavádí odpovědnost dodavatelského řetězce. Právě toto je klíčové pro malé firmy.

Proč se to týká i malých firem

⚠️ Klíčový bod I když vaše firma přímo nespadá pod NIS2, vaši odběratelé ano — a budou od vás vyžadovat prokázání bezpečnostních opatření. Bez toho můžete přijít o zakázky.

Představte si typický scénář: Jste strojírenská firma, 35 zaměstnanců, dodáváte komponenty pro automotive. Váš odběratel spadá pod NIS2 jako „důležitý subjekt". V rámci svých povinností musí zmapovat rizika v dodavatelském řetězci. Pošle vám dotazník: Máte MFA? Testujete zálohy? Máte politiku přístupových práv? Šifrujete data?

Pokud odpovíte „ne" nebo „nevím" — máte problém. Ne regulační, ale obchodní. Odběratel si buď najde jiného dodavatele, nebo vám nastaví podmínky, které budete muset splnit.

Které sektory NIS2 pokrývá

Směrnice rozlišuje „základní" a „důležité" subjekty napříč 18 sektory. Pro malé firmy jsou nejrelevantnější tyto — protože v nich nejčastěji působí jako dodavatelé:

⚡

Energetika
& utility

🏭

Výroba
& průmysl

🚗

Doprava
& automotive

Dále: digitální infrastruktura, zdravotnictví, potravinářství, vodohospodářství, odpadové hospodářství, poštovní služby, veřejná správa a ICT služby. Kompletní seznam najdete v příloze směrnice nebo na webu NÚKIB.

Jak zjistit, jestli se vás NIS2 týká

Položte si tyto otázky:

Dodávám výrobky/služby firmám v regulovaných sektorech (energetika, výroba, doprava, zdravotnictví)?
Mám přístup do IT systémů svých odběratelů (VPN, vzdálená správa, API)?
Zpracovávám data svých odběratelů (výkresy, objednávky, osobní údaje)?
Dostal jsem od odběratele bezpečnostní dotazník nebo požadavek na audit?
Používám cloudové služby (M365, Google) bez jasných bezpečnostních pravidel?

Pokud jste na 2 a více otázek odpověděli „ano" — NIS2 se vás s vysokou pravděpodobností dotkne, minimálně nepřímo přes požadavky odběratelů.

Co konkrétně musíte splnit

NIS2 nestanovuje přesný technický checklist — definuje oblasti, které musíte mít pokryté. Pro malou firmu to v praxi znamená:

1. Řízení přístupů

Každý uživatel má vlastní účet. Administrátorské účty jsou oddělené od běžných. MFA (dvoufaktor) je zapnutý pro všechny, zvláště pro adminy a vzdálený přístup. Žádná sdílená hesla.

2. Zálohy a obnova

Zálohy existují, jsou oddělené od produkčních dat a pravidelně se testuje obnova. Nestačí, že „to jede na RAID" nebo „máme OneDrive" — potřebujete prokázat, že jste schopni obnovit provoz v definovaném čase.

3. Správa aktiv a rizik

Víte, jaké IT systémy používáte, kde jsou data, kdo k nim má přístup. Máte základní přehled o rizicích — co se stane, když vám vypadne server, zašifruje ransomware data, nebo odejde klíčový člověk.

4. Incident management

Máte definovaný postup, co dělat při bezpečnostním incidentu. Kdo rozhoduje, koho informovat, jak izolovat problém. Nemusí to být 50stránkový dokument — ale musí to existovat a lidi to musí znát.

5. Bezpečnost dodavatelského řetězce

Ano, i vy jako malá firma musíte řešit své dodavatele — poskytovatele IT, cloudových služeb, externích přístupů.

💡 Dobrá zpráva Pro firmy do 50 zaměstnanců nejde o implementaci ISO 27001 v plném rozsahu. Jde o základní hygienu — MFA, zálohy, přístupy, dokumentaci. Většina toho se dá nastavit za 1–2 týdny.

Co vás čeká, když nic neuděláte

Malá firma nedostane pokutu od NÚKIB (pokud nespadá přímo pod zákon). Ale reálná rizika jsou jiná a bolí víc:

Ztráta zakázek. Velcí odběratelé začínají vyřazovat dodavatele, kteří neprokáží základní bezpečnostní opatření. Tento trend se bude zrychlovat.

Bezpečnostní incident. Ransomware útok na malou firmu stojí v průměru 200–500 tisíc Kč (výpadek, obnova, ztráta dat). U firmy bez záloh a postupů může jít o existenční problém.

Konkurenční nevýhoda. Firma, která může odběrateli ukázat security report a dokumentaci, vyhraje výběrové řízení nad firmou, která nemůže.

Jak začít — 3 praktické kroky

Krok 1: Quick Check (5 minut) Odpovězte na 10 otázek a zjistěte, jak na tom jste. Výsledek dostanete okamžitě na e-mail s doporučeními. → Spustit Quick Check zdarma

Krok 2: 45minutová konzultace zdarma Projdeme vaši situaci, identifikujeme mezery a navrhneme konkrétní plán. Bez závazků, bez prodejního tlaku. → Domluvit konzultaci

Krok 3: IT & Security Baseline Kompletní audit + nastavení základní bezpečnosti za fixní cenu 19 000 Kč. MFA, zálohy, přístupy, dokumentace — hotovo za 5 dní. → Detail služby

Nevíte, jestli se vás NIS2 týká?

Vyplňte bezplatný Quick Check — 10 otázek, 3 minuty, okamžitý výsledek.

Spustit Quick Check →

⚡ Nová automatizovaná služba

NIS2 stav hlídá agent — automaticky.

FinOps Intelligence Agent sleduje plnění 21 NIS2 kontrol a každý týden vás upozorní na mezery. Žádné manuální checklisty. Od 1 490 Kč/měs. nebo jednorázová Diagnostika za 14 900 Kč.

Objednat Diagnostiku → Více o FinOps Agentovi