Zákon o kybernetické bezpečnosti a evropská směrnice NIS2 přinášejí organizacím nové povinnosti. Jednou z nich je oznámení regulované služby. Jak upozornil Národní úřad pro kybernetickou a informační bezpečnost, většina dotčených subjektů tuto povinnost splnila, část organizací však oznámení stále neprovedla, přestože zákonná lhůta již uplynula.
Dobrou zprávou je, že oznámení je stále možné provést bez zbytečného odkladu. Důležité je ale vědět, že oznámení samo o sobě nestačí.
Co je oznámení regulované služby podle zákona o kybernetické bezpečnosti
Oznámení regulované služby je zákonná povinnost organizací, které poskytují nebo provozují služby spadající pod zákon o kybernetické bezpečnosti a režim NIS2. Povinnost se netýká pouze velkých firem – dopadá i na střední organizace, IT služby, digitální infrastrukturu nebo poskytovatele kritických činností.
Pokud si nejste jistí, zda pod zákon spadáte, lze využít oficiální kalkulačku NÚKIB, která během několika minut vyhodnotí, zda je vaše služba regulovaná a do jakého režimu patří.
Jak oznámení regulované služby provést
Oznámení se provádí online prostřednictvím Portálu NÚKIB. Cílem je, aby stát měl přehled o subjektech, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti a NIS2.
Z pohledu SEO i praxe je důležité zdůraznit:
oznámení je formální krok,
ale neřeší reálnou bezpečnost organizace.
NIS2: proč je vzdělávání zaměstnanců klíčové
Jedním z hlavních pilířů NIS2 je práce s lidským faktorem.
Většina kybernetických incidentů totiž nevzniká technickou chybou, ale chováním zaměstnanců – phishing, slabá hesla, neznalost postupů nebo špatná reakce na incident.
Proto je vzdělávání zaměstnanců v kybernetické bezpečnosti klíčovým prvkem splnění povinností dle NIS2.
Efektivní vzdělávání by mělo:
vysvětlovat reálné kybernetické hrozby,
učit správné reakce na incidenty,
posilovat bezpečnostní povědomí,
být pravidelné a srozumitelné.
Implementace NIS2 v praxi: nejen compliance, ale funkční bezpečnost
Mnoho organizací řeší NIS2 pouze formálně – splnit povinnost, ohlásit službu, mít dokumentaci. Skutečný smysl zákona je ale jinde:
👉 zvýšit reálnou odolnost organizací vůči kybernetickým hrozbám.
To znamená:
nastavit procesy,
určit odpovědnosti,
zavést technická opatření,
a dlouhodobě vzdělávat zaměstnance v oblasti kybernetické bezpečnosti.
