Průvodce compliance

Směrnice NIS2 a vaše dokumenty: Co musí firmy v EU vědět

NIS2 je největším rozšířením regulace kybernetické bezpečnosti v EU za poslední desetiletí. Týká se více než 160 000 subjektů v 18 odvětvích – a většinu toho, co vyžaduje, tvoří dokumentace. Registry rizik, záznamy o incidentech, schvalování politik, hodnocení dodavatelů, protokoly o školení. Zde je přehled toho, co skutečně musíte udělat.

Naposledy aktualizováno: duben 2026

Stručně řečeno

→ NIS2 je především výzvou v oblasti dokumentace a správy (governance), nikoli pouze technologickou otázkou. Sedm z deseti povinných bezpečnostních opatření podle článku 21 se zásadně týká dokumentovaných procesů, schválených politik a auditovatelných důkazů.
→ Pokud vaše organizace působí v jednom z 18 pokrytých odvětví a má 50 nebo více zaměstnanců (nebo přesahuje roční obrat 10 mil. €), velmi pravděpodobně do působnosti směrnice spadáte – buď jako základní, nebo důležitý subjekt.
Sečteno a podtrženo: Systém pro správu dokumentů (DMS) sám o sobě nezajistí soulad s NIS2. Ale špatná správa dokumentů – chybějící politiky, absence historie verzí, žádné schvalovací procesy – zaručuje, že u auditu neuspějete.

Co je NIS2 a proč na tom záleží?

Směrnice o bezpečnosti sítí a informací 2 (NIS2) je směrnice (EU) 2022/2555, přijatá v prosinci 2022 a účinná od ledna 2023. Nahrazuje původní směrnici NIS z roku 2016. Skok v rozsahu je obrovský: NIS1 pokrývala zhruba 15 000 subjektů v 7 odvětvích. NIS2 se týká více než 160 000 subjektů v 18 odvětvích. To je desetinásobné rozšíření.

Členské státy měly povinnost transponovat NIS2 do vnitrostátního práva do 17. října 2024. K dubnu 2026 tak učinilo 21 z 27 členských států. Evropská komise zaslala v květnu 2025 odůvodněná stanoviska 19 členským státům za neoznámení úplné transpozice. Německo dokončilo transpozici v prosinci 2025. Francie by měla finalizovat svůj zákon Loi Résilience v polovině roku 2026. Vymáhání již začalo.

Aspekt	NIS1 (2016)	NIS2 (2022)
Subjekty v rozsahu	~15 000	~160 000+
Pokrytá odvětví	7	18
Maximální pokuta	Lišila se podle státu	10 mil. € nebo 2 % globálního obratu
Odpovědnost vedení	Žádná	Osobní odpovědnost (čl. 20)
Hlášení incidentů	„Bez zbytečného odkladu“	24 h / 72 h / 1 měsíc (čl. 23)
Požadavky na dodavatelský řetězec	Žádné	Povinné (čl. 21 odst. 2 písm. d))

Přesto podle průzkumu CyberSmart mezi 670 vedoucími pracovníky v osmi zemích EU zveřejněného v dubnu 2026 je plně v souladu s NIS2 pouze 16 % dotčených firem. Hlavními překážkami jsou rozpočtová omezení a nedostatek pokynů, jak opatření implementovat. Tento průvodce se věnuje právě druhému problému.

Týká se to i vás?

NIS2 se vztahuje na subjekty, které působí v jednom z 18 určených odvětví A ZÁROVEŇ splňují velikostní práh. Existují dvě klasifikace subjektů: základní (vyšší povinnosti, proaktivní dozor) a důležité (mírnější dozor, ale platí stejná základní bezpečnostní opatření).

Obecným velikostním prahem je střední podnik nebo větší: 50 a více zaměstnanců NEBO roční obrat přesahující 10 milionů € NEBO roční bilanční suma přesahující 10 milionů €. Některé subjekty splňují podmínky bez ohledu na velikost – včetně poskytovatelů DNS, registrů TLD, poskytovatelů služeb vytvářejících důvěru a poskytovatelů veřejných sítí elektronických komunikací.

Těchto 18 odvětví je rozděleno do dvou příloh. Obě nesou stejné bezpečnostní požadavky podle článku 21. Rozdíl je v tom, jak s vámi komunikují dozorové orgány:

Klasifikace	Odvětví (Příloha)	Dozor
Základní (Příloha I)	Energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura, správa služeb IKT (B2B), veřejná správa, vesmír	Proaktivní – úřady mohou kdykoli provádět audity, inspekce a vyžadovat důkazy
Důležitý (Příloha II)	Poštovní služby, nakládání s odpady, chemický průmysl, výroba a distribuce potravin, výroba (zdravotnické prostředky, elektronika, stroje, vozidla), digitální poskytovatelé (tržiště, vyhledávače, sociální sítě), výzkum	Reaktivní – úřady vyšetřují až po incidentu nebo při výskytu důkazů o nesouladu

Poznámka: Návrh novely Komise z ledna 2026 zavádí novou kategorii „malých mid-cap“ společností pro subjekty s méně než 750 zaměstnanci a obratem pod 150 milionů €. Podle tohoto návrhu by byly klasifikovány jako důležité, nikoli základní, i když působí v odvětvích Přílohy I. Toto je stále v legislativním procesu a zatím není účinné.

10 povinných bezpečnostních opatření (článek 21)

Článek 21 odst. 2 uvádí deset minimálních bezpečnostních opatření, která musí každý subjekt v rozsahu implementovat. Nejedná se o doporučení – jsou to zákonné požadavky, dále upřesněné v prováděcím nařízení Komise (CIR) 2024/2690.

Klíčový postřeh: podívejte se na sloupec „Vyžadovaný dokument“. Sedm z deseti opatření je v zásadě o tom, mít zdokumentované, schválené a auditovatelné politiky nebo postupy. Zde se správa dokumentů stává přímo relevantní.

#	Požadavek	Co to znamená	Vyžadovaný dokument
(a)	Analýza rizik a politiky bezpečnosti informací	Identifikujte svá rizika, posuďte je a zdokumentujte, jak je řešíte	Registr rizik, metodika posuzování rizik, bezpečnostní politika
(b)	Zvládání incidentů	Detekujte bezpečnostní incidenty, reagujte na ně a poučte se z nich	Plán reakce na incidenty, eskalační matice, šablona pro přezkum po incidentu
(c)	Kontinuita činností a krizové řízení	Správa zálohování, obnova po havárii a krizová reakce	Plán kontinuity činností, plán obnovy po havárii, politika zálohování
(d)	Bezpečnost dodavatelského řetězce	Posuzujte a řiďte kyberbezpečnostní rizika u svých dodavatelů	Bezpečnostní politika pro dodavatele, záznamy o hodnocení dodavatelů
(e)	Bezpečnost při pořizování, vývoji a údržbě	Řešení zranitelností a postupy bezpečného vývoje	Postup správy oprav (patch management), politika zveřejňování zranitelností
(f)	Testování účinnosti	Posuzujte, zda vaše bezpečnostní opatření skutečně fungují	Harmonogram interních auditů, zprávy o testech, KPI dashboard
(g)	Základní postupy kybernetické hygieny a školení	Školte zaměstnance a zaveďte bezpečnostní postupy jako rutinu	Plán školení, prezenční listiny, osvětové materiály
(h)	Kryptografie a šifrování	Politiky pro šifrování dat při uložení i přenosu	Kryptografická politika, postup správy klíčů
(i)	Bezpečnost lidských zdrojů a řízení přístupu	Řiďte, kdo má k čemu přístup, od nástupu až po odchod	Politika řízení přístupu, postupy pro nástupy/změny/odchody
(j)	Vícefaktorové ověřování a zabezpečená komunikace	MFA u kritických systémů, zabezpečený hlas/video/text	Politika vynucování MFA, standardy zabezpečené komunikace

NIS2 je problémem dokumentace

Zde většina průvodců NIS2 končí. Vysvětlí 10 opatření, vyjmenují odvětví a jdou dál. Ale skutečnou výzvou pro compliance není implementace firewallu nebo zapnutí MFA – většina středních firem už to má. Výzvou je to dokázat.

Auditoři nekontrolují pravidla vašeho firewallu. Kontrolují vaši dokumentaci. Chtějí vidět, že politiky existují, jsou aktuální (přezkoumané v posledních 12 měsících), mají zdokumentované schválení vedením a jsou verzovány s historií změn. Podle NIS2 jsou důkazy samotnou compliance.

Prováděcí nařízení Komise (CIR 2024/2690) převádí článek 21 do přibližně 30 konkrétních dokumentů, které subjekty musí vytvářet a udržovat. Ty nejsou volitelné – jsou to dokumenty, které budou dozorové orgány vyžadovat během auditu nebo po incidentu.

Typ důkazu	Co auditor kontroluje	Jak DMS pomáhá
Dokumenty politik	Aktuální verze, schválení vedením, datum přezkumu, historie verzí	Verzování, schvalovací workflow, auditní stopa u každé změny
Registr rizik	Mapování aktiv-rizik-opatření, jmenovití vlastníci, stav řešení, protokoly o přezkumu	Strukturované úložiště s metadaty, vyhledávání podle vlastníka nebo stavu
Záznamy o incidentech	Časová osa, klasifikace, reakční kroky, přezkum po incidentu, uchování min. 5 let	Neměnné auditní protokoly, retenční politiky, fulltextové vyhledávání
Hodnocení dodavatelů	Vyplněné dotazníky dodavatelů, bezpečnostní doložky ve smlouvách, periodické přezkumy	Ukládání smluv, štítkování podle dodavatele, připomínky obnovy
Záznamy o školení	Prezenční listiny, data dokončení, doklady o školení vedení	Archivace dokumentů, vyhledávání podle data, organizace podle kategorií
Rozhodnutí vedení	Zápisy z jednání rady o kyberbezpečnosti, schválení akceptace rizik	Schvalovací workflow s časovými razítky a jmenovitými schvalovateli

Opakujícím se tématem je sledovatelnost (traceability). Každý dokument musí odpovědět: kdo ho vytvořil, kdy, kdo ho schválil, kdy byl naposledy přezkoumán a co se změnilo oproti předchozí verzi. Složka na sdíleném disku toto neposkytuje. DMS s historií verzí a schvalovacím workflow ano.

Hlášení incidentů: pravidlo 24-72-1

Článek 23 nařizuje třístupňový proces hlášení významných incidentů. Nedodržení těchto lhůt je samo o sobě porušením compliance. Každá fáze vyžaduje zdokumentované důkazy – což znamená, že kvalita vašich záznamů o incidentech je přímo spojena s vaším regulačním rizikem.

24 hodin

Včasné varování

Informujte svůj národní CSIRT do 24 hodin od okamžiku, kdy jste se dozvěděli o významném incidentu. Jde o předběžné upozornění – nikoli o úplnou analýzu.

72 hodin

Oznámení incidentu

Předložte počáteční posouzení incidentu: závažnost, dopad, indikátory kompromitace a přeshraniční účinky.

1 měsíc

Závěrečná zpráva

Dodejte komplexní zprávu: analýzu kořenových příčin, přijatá nápravná opatření a přeshraniční dopad. Pokud incident stále trvá, předložte zprávu o pokroku.

V praxi organizace, kterým chybí strukturovaná správa dokumentů, pod časovým tlakem pracně shánějí důkazy o incidentu. Ty, které udržují organizované záznamy – s časovými razítky, historií verzí a prohledávatelnými archivy – mohou regulátorům poskytnout potřebné informace v řádu hodin, nikoli týdnů.

Jaká je situace ve vaší zemi?

NIS2 měla být transponována do vnitrostátního práva do 17. října 2024. Ve skutečnosti byla implementace pomalá. K dubnu 2026 dokončilo transpozici 21 z 27 členských států podle ECSO trackeru. Evropská komise zaslala v květnu 2025 odůvodněná stanoviska 19 státům a dala jim dva měsíce na dokončení transpozice, jinak jim hrozí řízení před Soudním dvorem.

Zde je stav šesti největších ekonomik EU:

Země	Stav	Podrobnosti
Německo	Transponováno	Zákon o BSI přijat 6. prosince 2025. Účinný bez přechodného období. První pokuta udělena: 850 000 € poskytovateli cloudu (únor 2026).
Francie	V procesu	Loi Résilience prošel prvním čtením v Národním shromáždění. Finální přijetí se očekává v Q1/Q2 2026. ANSSI zahájila vyšetřování 14 subjektů.
Itálie	Transponováno	Legislativní dekret 138/2024 účinný od října 2024. ACN hlásí 4 800+ registrovaných subjektů; ~2 000 stále neregistrováno.
Španělsko	Zastaveno	V blízké době se neočekává žádný legislativní pokrok.
Nizozemsko	V procesu	Zákon o kybernetické bezpečnosti (Cbw) v přípravě. Termín pro sebehodnocení subjektů stanoven na červen 2026.
Polsko	V procesu	Novela zákona o národním kyberbezpečnostním systému se blíží k dokončení.

I když vaše země NIS2 ještě netransponovala, směrnice platí.

NIS2 je jako právo EU účinná od 18. října 2024. Národní úřady budou po dokončení transpozice vymáhat požadavky zpětně. Zahájení compliance nyní – namísto čekání na národní legislativu – je jediný obhajitelný postoj.

Sankce jsou reálné

NIS2 zavádí dvě úrovně správních pokut, modelovaných podle struktury sankcí GDPR. Členské státy mohou stanovit maxima nad těmito hranicemi, ale ne pod nimi.

Typ subjektu	Maximální pokuta	Alternativa podle obratu	Další pravomoci
Základní	10 000 000 €	nebo 2 % globálního ročního obratu (podle toho, co je vyšší)	Závazné pokyny, bezpečnostní audity na náklady subjektu, dočasné zákazy výkonu řídicích funkcí
Důležitý	7 000 000 €	nebo 1,4 % globálního ročního obratu (podle toho, co je vyšší)	Závazné pokyny, bezpečnostní audity na náklady subjektu

Článek 20 přidává osobní odpovědnost: řídicí orgány musí schvalovat opatření k řízení kyberbezpečnostních rizik a dohlížet na jejich provádění. Členové vedení mohou být osobně odpovědní za nesoulad. V některých členských státech, včetně Německa, to zahrnuje i dočasné zákazy výkonu manažerských funkcí.

Vymáhání sleduje raný vzorec GDPR. Německý BSI vydal v Q4 2025 celkem 47 formálních oznámení a v únoru 2026 svou první finanční pokutu (850 000 € poskytovateli cloudových služeb). Francouzská ANSSI zahájila 14 vyšetřování. Italská ACN se zaměřila na vymáhání registrací. Očekává se, že významné finanční postihy budou v letech 2026–2027 s dozráváním národního vymáhání přibývat.

Návrh na zjednodušení z ledna 2026

Dne 20. ledna 2026 zveřejnila Evropská komise návrh cílených změn NIS2 jako součást širšího kyberbezpečnostního balíčku. Deklarovaným cílem je zjednodušit compliance, zvýšit právní jistotu a harmonizovat implementaci. Návrh projde řádným legislativním procesem, přičemž politická dohoda se očekává začátkem roku 2027.

Zde je přehled toho, co se může změnit – a co nikoli:

Co se NEZMĚNÍ

×10 povinných bezpečnostních opatření (článek 21)
×Požadavky na dokumentaci a důkazy
×Lhůty pro hlášení incidentů (24 h / 72 h / 1 měsíc)
×Struktura sankcí a odpovědnost vedení

Co se může změnit (fáze návrhu)

✓Nová kategorie „malých mid-cap“ (<750 zaměstnanců, <150 mil. € obrat) – reklasifikace na důležité místo základních
✓Cesta k souladu založená na certifikaci prostřednictvím rámce EU pro certifikaci kybernetické bezpečnosti
✓Vyjmutí mikro a malých poskytovatelů DNS z rozsahu směrnice
✓Maximální harmonizace prováděcích aktů — méně národních odchylek

Směr je jasný: splnění NIS2 bude jednodušší, nikoli slabší. Základní povinnosti zůstávají. Pokud odkládáte soulad v naději, že vás změny osvobodí, podstupujete právní riziko. Návrh zužuje rozsah na okrajích, ale nesnižuje požadavky pro subjekty, které v něm zůstávají.

Praktický kontrolní seznam pro MSP

Pokud to čtete, protože váš compliance officer řekl „možná do toho spadáme“ — zde je minimální schůdná cesta vpřed. Nejde o komplexní plán implementace NIS2. Je to soubor kroků, které vás dostanou z nuly do stavu připravenosti na audit dokumentace.

Zjistěte, zda spadáte do působnosti

Zkontrolujte svůj sektor v přílohách I a II. Použijte velikostní práh (50+ zaměstnanců nebo obrat 10 mil. EUR+). Pokud si nejste jisti, nahlédněte do registru národního úřadu — několik členských států zveřejnilo seznamy subjektů nebo nástroje pro sebehodnocení.

Klasifikujte se jako základní nebo důležitý subjekt

Sektory v příloze I jsou obecně základní; sektory v příloze II jsou obecně důležité. Rozdíl ovlivňuje intenzitu dozoru, nikoli základní požadavky článku 21. Dokumentujte odůvodnění své klasifikace.

Proveďte gap analýzu vůči 10 opatřením

U každého z 10 opatření podle článku 21 si odpovězte: máme zdokumentovanou politiku? Je schválena vedením? Byla v posledních 12 měsících revidována? Máme důkazy o implementaci? Poznamenejte si nedostatky.

Sestavte si soubor důkazů

Začněte třemi hlavními registry: rizik, incidentů a dodavatelů. Přidejte politiku informační bezpečnosti, plán kontinuity provozu a záznam o školeních. Každý dokument musí mít vlastníka, datum revize, kontrolu verzí a schválení vedením.

Nastavte správu životního cyklu dokumentů

Každý dokument politiky NIS2 potřebuje datum vytvoření, záznam o schválení, plán revizí a historii verzí. Pokud to spravujete ve sdílené složce, ztratíte přehled během několika měsíců. DMS se schvalovacími procesy a auditní stopou činí tento proces udržitelným.

Naplánujte revize vedením a školení

Článek 20 vyžaduje, aby statutární orgány schvalovaly kyberbezpečnostní opatření a absolvovaly školení. Naplánujte čtvrtletní revize, dokumentujte účast a uchovávejte záznamy o rozhodnutích. To jsou důkazy, které auditoři kontrolují jako první.

Jak Veluvanto pomáhá s dokumentací NIS2

Veluvanto není GRC platforma. Nenahrazuje vaši metodiku hodnocení rizik ani postupy reakce na incidenty. Poskytuje však vrstvu správy dokumentů, díky které jsou důkazy pro NIS2 udržitelné — což je část, se kterou má většina firem po počátečním úsilí o shodu největší problémy.

✓Úložiště dokumentů s řízením verzí: každá úprava je zaznamenána s časovým razítkem, uživatelem a předchozí verzí. Můžete rekonstruovat stav jakéhokoli dokumentu v libovolném čase — přesně to, co auditoři vyžadují.
✓Schvalovací procesy: směřujte dokumenty politik ke schválení vedením se sledovaným stavem. Schvalovací řetězec vytváří stopu důkazů, kterou vyžaduje článek 20.
✓Kompletní auditní stopa: každá akce s dokumentem (nahrání, zobrazení, úprava, schválení, archivace) je zaznamenána. Není vyžadováno žádné ruční sledování — důkazy o shodě se generují automaticky.
✓Vyhledávání a organizace s podporou AI: najděte jakýkoli dokument během několika sekund pomocí dotazů v přirozeném jazyce. Když auditor požádá o hodnocení bezpečnosti dodavatelů za 3. čtvrtletí, můžete je okamžitě vyhledat, místo abyste prohledávali složky.
✓Ukládání dat v EU a šifrování: dokumenty jsou uloženy v EU s šifrováním AES-256 při uložení i přenosu. Žádná data neopouštějí datovou hranici EU — na rozdíl od některých nástrojů s AI, které v době špičky směrují zpracování přes datová centra v USA.
✓GDPR-compliant od základu: izolace jednotlivých tenantů, šifrování SSE-C a správa životního cyklu dat. NIS2 a GDPR se v požadavcích na dokumentaci výrazně překrývají — systém, který vyhovuje jednomu, vás dostane téměř k cíli i u druhého.

Nejtěžší částí souladu s NIS2 není počáteční nastavení — je to udržování důkazů v průběhu času. Politiky zastarávají, revize se vynechávají, záznamy o školeních mizí. DMS, který vynucuje kontrolu verzí, sleduje schválení a loguje každou akci, mění compliance z kvartálního chaosu v proces na pozadí.

Zdroje a další četba

Tento průvodce vychází z následujících primárních zdrojů. Data v závorkách uvádějí datum zveřejnění nebo poslední aktualizace každého zdroje.

Směrnice (EU) 2022/2555 (směrnice NIS2) — Úplné znění na EUR-Lex (prosinec 2022)
Prováděcí nařízení Komise (EU) 2024/2690 — Technická opatření pro soulad s NIS2 (říjen 2024)
COM(2026) 13 — Návrh na cílené změny NIS2 a sladění s aktem o kybernetické bezpečnosti (leden 2026)
ECSO NIS2 Transposition Tracker — 21 z 27 členských států provedlo transpozici k dubnu 2026
Evropská komise, Odůvodněné stanovisko 19 členským státům k transpozici NIS2 (květen 2025)
CyberSmart, „Pouze 16 % firem plně vyhovuje NIS2“ — Průzkum mezi 670 vedoucími pracovníky (duben 2026)
ENISA, Pokyny k technické implementaci NIS2 (2025)
Německý BSI — První pokuta podle NIS2: 850 000 EUR proti poskytovateli cloudových služeb (únor 2026)
Posouzení dopadů Evropské komise — Rozsah NIS2: cca 160 000 subjektů v 18 sektorech

Související průvodci

Správa dokumentů a GDPR

Jak ukládat, organizovat a chránit osobní údaje v DMS — NIS2 a GDPR se v dokumentaci výrazně překrývají

Akt EU o AI a správa dokumentů

Další velký termín pro shodu v EU v roce 2026 — povinnosti transparentnosti pro funkce AI ve vašem DMS

Schvalovací procesy dokumentů

Jak nastavit schvalovací řetězce pro dokumenty politik — základ důkazů o řízení (governance) podle NIS2

Často kladené otázky

Vztahuje se NIS2 na malé firmy?

Obecně se NIS2 vztahuje na střední a větší podniky (50+ zaměstnanců nebo roční obrat 10 mil. EUR+) působící v jednom z 18 určených sektorů. Většina malých firem s méně než 50 zaměstnanci nespadá přímo do působnosti. Některé subjekty však splňují kritéria bez ohledu na velikost — včetně poskytovatelů DNS, registrů TLD, poskytovatelů služeb vytvářejících důvěru a výhradních poskytovatelů základních služeb v členském státě. Navíc, pokud jste dodavatelem subjektu spadajícího pod NIS2, mohou na vás smluvně přejít jeho povinnosti v oblasti bezpečnosti dodavatelského řetězce (článek 21 odst. 2 písm. d)).

Jaké dokumenty potřebuji pro soulad s NIS2?

Prováděcí nařízení Komise (CIR 2024/2690) identifikuje přibližně 30 dokumentů v rámci 10 opatření článku 21. Minimální nezbytný soubor obsahuje: politiku informační bezpečnosti, registr rizik s plány jejich řešení, plán reakce na incidenty, plán kontinuity provozu, bezpečnostní politiku dodavatelů, plán školení a osvěty, politiku řízení přístupu, politiku kryptografie, politiku vynucování MFA a harmonogram interních auditů. Všechny musí být verzovány, schváleny vedením a revidovány alespoň jednou ročně.

Kolik stojí soulad s NIS2 pro MSP?

Náklady se výrazně liší podle výchozího stavu. Pokud již máte certifikaci ISO 27001, rozdíl je malý — NIS2 úzce odpovídá kontrolám ISO 27001. Pokud začínáte od nuly, počítejte s investicí 50–200 hodin interní práce po dobu 3–6 měsíců na dokumentaci, gap analýzu a školení vedení. Náklady na externí konzultace se pohybují od 5 000 do 30 000 EUR v závislosti na rozsahu a složitosti. Průběžné náklady tvoří především čas: čtvrtletní revize, roční aktualizace politik a záznamy o školeních.

Může mě DMS učinit v souladu s NIS2?

Ne. DMS je jednou vrstvou skládačky compliance, nikoli celkem. NIS2 vyžaduje technické kontroly (firewally, MFA, šifrování), organizační opatření (řízení rizik, postupy reakce na incidenty) a správu (odpovědnost vedení, školení). DMS řeší vrstvu dokumentace a důkazů: verzované politiky, schvalovací procesy, auditní stopy a organizované záznamy. Tato vrstva je nezbytná, ale nikoli postačující. Představte si ji jako kartotéku pro své důkazy o shodě — bez ní nemůžete prokázat, že požadavky plníte.

Co se stane, když moje země ještě neprovedla transpozici NIS2?

NIS2 je právo EU a je účinné od 18. října 2024 — bez ohledu na to, zda váš členský stát dokončil národní transpozici. Jakmile budou přijaty národní zákony, vymáhání se bude vztahovat na období od původního data účinnosti. Zahájení prací na shodě nyní je jediný obhajitelný přístup. Čekání na národní legislativu není platnou obhajobou proti budoucímu vymáhání.

Jak NIS2 souvisí s GDPR?

NIS2 a GDPR se překrývají v několika oblastech: obě vyžadují zdokumentované hodnocení rizik, obě ukládají postupy pro oznamování incidentů (GDPR: 72 hodin u porušení ochrany osobních údajů; NIS2: 24/72 hodin / 1 měsíc u významných incidentů), obě vyžadují odpovědnost vedení a obě ukládají vysoké pokuty. Pokud již splňujete GDPR, máte u NIS2 náskok — zejména v dokumentačních postupech, řízení přístupu a šifrování. Hlavními doplňky z NIS2 jsou bezpečnost dodavatelského řetězce, plánování kontinuity provozu a širší rozsah hlášení incidentů.