Proč se technologická firma ocitla pod NIS2 a co to znamená?
Zákon č. 264/2025 Sb. rozlišuje dva režimy povinných subjektů: základní povinnosti pro tzv. základní subjekty a nižší povinnosti pro důležité subjekty. Zákazník New Telekom — středně velká technologická firma s přibližně 80 zaměstnanci a ročním obratem pod hranicí velkého podniku — byl identifikován jako střední podnik v režimu nižších povinností dle vyhlášky č. 410/2025 Sb. Zařazení do působnosti NIS2 vyplývalo ze dvou souběžných skutečností: firma dodává software pro řízení výrobních linek zákazníkům z odvětví považovaných za kritickou infrastrukturu, a zároveň provozuje vlastní cloudové prostředí (Microsoft Azure) a datové centrum (CIR — centrum ICT řešení), které klasifikace NÚKIB vyhodnotila jako prvek digitální infrastruktury. Pro firmu to v praxi znamenalo splnit konkrétní povinnosti vyplývající z vyhlášky č. 410/2025 Sb.: zavést systém řízení bezpečnosti informací (ISMS), provést analýzu rizik, implementovat technická opatření pro detekci a zvládání kybernetických incidentů, nastavit procesy pro hlášení incidentů NÚKIB a udržovat aktuální dokumentaci bezpečnostní architektury. Lhůta pro splnění povinností: 18 měsíců od oznámení NÚKIB — a zákazník přišel za New Telekom ve chvíli, kdy uplynulo již 6 z nich.Jak New Telekom strukturoval NIS2 poradenský projekt?
Fáze 1 — Úvodní posouzení souladu (gap analysis)
Prvním krokem bylo provedení gap analysis — systematického porovnání aktuálního stavu zákazníka s požadavky zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb. Tým New Telekom prošel čtyři oblasti: Síťová architektura a segmentace: Zákazník provozoval plochou síťovou topologii bez oddělení vývojového prostředí, produkčního prostředí a zákaznických přístupů do podporového portálu. Všechna prostředí sdílela jednu VLAN a přistupovala k internetu přes jediný bod bez NGFW inspekce. Riziko: kompromitace jednoho prostředí umožňuje laterální pohyb útočníka do všech ostatních. Identita a přístupová práva: Firma neměla zavedenu vícefaktorovou autentizaci (MFA) pro vzdálený přístup vývojářů k produkčnímu prostředí. Přístupová práva nebyla pravidelně revidována — část zaměstnanců, kteří firmu opustili v předchozích dvou letech, stále měla aktivní účty v interních systémech. Detekce a monitoring: Neexistoval centralizovaný log management ani SIEM systém. Síťová zařízení generovala logy lokálně bez exportu a centrální analýzy. Detekce anomálního chování nebo průniku závisela výhradně na manuální kontrole — prováděné nepravidelně. Dokumentace a procesy: Firma neměla zpracovanou analýzu rizik, plán zvládání incidentů (IRP — Incident Response Plan) ani dokumentaci bezpečnostní architektury v podobě vyžadované NÚKIB. Interní bezpečnostní politiky existovaly v podobě e-mailové korespondence a nesdílených Wordových dokumentů. Výsledek gap analysis: 23 identifikovaných mezer v souladu s požadavky NIS2 — z toho 4 kritické (vyžadující okamžité řešení), 11 závažných a 8 méně závažných. Výstupem byl formální dokument — Poradenská zpráva o compliance NIS2 vydaná New Telekom s.r.o. ve formátu odpovídajícím požadavkům na dokumentaci dle vyhlášky č. 410/2025 Sb.Fáze 2 — Implementace technických opatření
Na základě výsledků gap analysis tým New Telekom implementoval technická opatření v prioritním pořadí dle závažnosti identifikovaných mezer. Síťová segmentace a NGFW: Plochá topologie byla nahrazena třípásmovou architekturou s oddělenými zónami pro vývojové prostředí, produkční prostředí a zákaznické přístupy. Na hraniční bod sítě byl nasazen Fortinet FortiGate 200F — NGFW firewall s IPS (Intrusion Prevention System), SSL/TLS inspekcí, aplikační kontrolou a antivirovým enginem. Mezi zónami byla nastavena striktní politika — žádná implicitní komunikace mezi vývojovým a produkčním prostředím bez explicitního pravidla. Vícefaktorová autentizace a správa identit: Byl zaveden Microsoft Entra ID (dříve Azure AD) s povinnou MFA pro veškerý vzdálený přístup — vývojáři, podpora, management. Provedena kompletní revize přístupových účtů: 34 neaktivních účtů bylo deaktivováno, přístupová práva zbývajících zaměstnanců revidována na princip minimálních oprávnění (least privilege). Centralizovaný log management a SIEM: Nasazen Microsoft Sentinel jako cloudový SIEM s exportem logů ze všech síťových prvků (Fortinet FortiGate, Juniper přepínače), serverů a cloudového prostředí Azure. Definovány základní detection rules pro identifikaci anomálního chování — opakované neúspěšné přihlášení, přístup z neočekávaných geografických lokalit, neobvyklé objemy přenesených dat. Záložní konektivita a odolnost: Jako součást požadavků NIS2 na kontinuitu provozu bylo zavedeno záložní připojení — LTE-A Pro záložní spoj přes eSIM New Telekom s automatickým failover při výpadku primárního optického připojení. Zákazník tak splňuje požadavek na opatření k zajištění dostupnosti klíčových ICT služeb i při výpadku primárního připojení.Fáze 3 — Dokumentace a příprava na kontrolu NÚKIB
Technická implementace bez odpovídající dokumentace nesplňuje požadavky NIS2 — NÚKIB při kontrole vyžaduje doložit nejen existenci technických opatření, ale i jejich záměrnost, zdokumentovanost a pravidelné přezkušování. New Telekom připravil pro zákazníka kompletní dokumentační balíček:- Analýza rizik dle metodiky odpovídající ČSN ISO/IEC 27005 — identifikace aktiv, hrozeb, zranitelností a reziduálních rizik po implementaci opatření
- Bezpečnostní politika a sada navazujících směrnic (přístupová práva, správa hesel, práce na dálku, správa incidentů)
- Plán zvládání kybernetických incidentů (IRP) s definovanými rolemi, eskalačními postupy a kontaktní maticí pro hlášení incidentů NÚKIB dle § 16 zákona č. 264/2025 Sb.
- Dokumentace síťové architektury — topologické diagramy ve formátu vhodném pro audit, včetně popisu bezpečnostních zón a pravidel firewallu
- Záznamy o revizi přístupových práv a deaktivaci neaktivních účtů
- Poradenská zpráva o compliance NIS2 — souhrnný dokument shrnující výsledky posouzení, implementovaná opatření a zbývající rizika; vydána New Telekom s.r.o. dne 25. dubna 2026
Jaký byl výsledek — co firma splňuje a co zbývá?
Po dokončení tří fází poradenského projektu je zákazník v souladu s 22 z 23 identifikovaných mezer. Jediná zbývající položka — zavedení pravidelného penetračního testování produkčního prostředí — je naplánována jako opakující se aktivita s první realizací v červnu 2026. Z pohledu vyhlášky č. 410/2025 Sb. a požadavků pro subjekty v režimu nižších povinností zákazník nyní splňuje:- Zavedený a dokumentovaný ISMS s provednou analýzou rizik
- Technická opatření pro detekci incidentů (SIEM Microsoft Sentinel, NGFW Fortinet)
- Dokumentovaný proces hlášení incidentů NÚKIB
- MFA pro veškerý vzdálený přístup
- Síťovou segmentaci oddělující kritická prostředí
- Záložní konektivitu zajišťující dostupnost při výpadku primárního připojení
- Kompletní auditovatelnou dokumentaci bezpečnostní architektury
Proč NIS2 compliance nelze vyřešit jen dokumentací bez technické implementace?
Častou chybou firem, které se s NIS2 potýkají poprvé, je soustředit se výhradně na dokumentaci — vypracovat bezpečnostní politiky a analýzy rizik, aniž by cokoliv změnily na skutečné technické infrastruktuře. NÚKIB při kontrole ověřuje soulad nejen formálně, ale i fakticky — firewall bez nakonfigurovaných pravidel, MFA zavedená jen pro část uživatelů nebo SIEM bez aktivních detection rules jsou příklady situací, kdy dokumentace existuje, ale technická realita neodpovídá. New Telekom proto poradenství vždy kombinuje s technickou implementací: tým bezpečnostních konzultantů připravuje dokumentaci a procesní nastavení, zatímco síťový a bezpečnostní tým paralelně implementuje technická opatření na fyzické infrastruktuře. Výsledkem není šanon papírů, ale funkční a auditovatelná bezpečnostní architektura.Často kladené otázky k NIS2 compliance poradenství
Jak zjistím, zda moje firma spadá pod NIS2 a zákon č. 264/2025 Sb.?
Povinný subjekt dle zákona č. 264/2025 Sb. je definován kombinací odvětví, ve kterém firma působí, a její velikosti. NÚKIB zveřejnil seznam odvětví a typů subjektů, na které se zákon vztahuje — zahrnuje mimo jiné poskytovatele digitálních služeb, výrobce ICT produktů, provozovatele kritické infrastruktury a jejich klíčové dodavatele. Pokud si nejste jisti zařazením, New Telekom provede úvodní posouzení v rámci prvního konzultačního setkání — bez poplatku a bez závazku.Jak dlouho trvá kompletní NIS2 compliance projekt?
Závisí na výchozím stavu a rozsahu potřebných opatření. Pro středně velkou technologickou firmu (50–150 zaměstnanců) v režimu nižších povinností počítejte s 8–16 týdny od zahájení gap analysis po dokončení implementace a předání dokumentace. Projekt popsaný v tomto článku trval 11 týdnů — zákazník přišel s urgencí danou blížící se lhůtou a projekt byl proto realizován s vyšší intenzitou paralelních fází.Co konkrétně vydává New Telekom jako výstup NIS2 poradenství?
Výstupem je Poradenská zpráva o compliance NIS2 — formální dokument shrnující výsledky posouzení souladu se zákonem č. 264/2025 Sb. a vyhláškou č. 410/2025 Sb., identifikované mezery, implementovaná opatření a zbývající rizika. Dále dokumentační balíček: analýza rizik, bezpečnostní politika, IRP, dokumentace síťové architektury a záznamy o revizi přístupových práv. Všechna dokumentace je připravena ve formátu vhodném pro případnou kontrolu NÚKIB.Nabízí New Telekom i průběžnou podporu po dokončení NIS2 projektu?
Ano. NIS2 compliance není jednorázový projekt — zákon č. 264/2025 Sb. vyžaduje pravidelné přezkoumání analýzy rizik, aktualizaci dokumentace při změnách infrastruktury a opakované testování bezpečnostních opatření. New Telekom nabízí roční NIS2 retainer — průběžnou podporu zahrnující čtvrtletní přezkoumání, aktualizaci dokumentace při změnách a asistenci při případné kontrole NÚKIB. Zákazník tak má jistotu, že compliance udržuje i po změnách v legislativě nebo vlastní infrastruktuře.Závěr
NIS2 compliance pro technologické firmy není byrokratická formalita — je to reálná změna způsobu, jakým firma spravuje svou síťovou infrastrukturu, přístupová práva a schopnost detekovat a zvládat kybernetické incidenty. Projekt realizovaný New Telekom pro středního poskytovatele softwarových řešení ukazuje, že splnění požadavků zákona č. 264/2025 Sb. je při správném přístupu zvládnutelné v rozumném čase — bez zastavení provozu a bez nutnosti budovat interní bezpečnostní tým od nuly. Pokud vaše firma teprve zjišťuje, zda pod NIS2 spadá, nebo již víte, že lhůta běží, a hledáte partnera pro posouzení a implementaci, kontaktujte odborný tým New Telekom přes stránku IT bezpečnosti nebo přímo přes kontaktní formulář. Úvodní posouzení rozsahu povinností provedeme zdarma.Článek byl zpracován odborným týmem New Telekom s.r.o. Obchodní jméno zákazníka není z důvodu ochrany citlivých bezpečnostních informací zveřejňováno. Všechna uvedená legislativa odpovídá stavu k dubnu 2026.
Použité právní předpisy a standardy
- Zákon č. 264/2025 Sb. o kybernetické bezpečnosti (česká transpozice NIS2)
- Vyhláška č. 410/2025 Sb. o kybernetické bezpečnosti — technické požadavky pro povinné subjekty
- Směrnice EU 2022/2555 (NIS2) — o opatřeních pro zajištění vysoké společné úrovně kybernetické bezpečnosti
- ČSN ISO/IEC 27001 — systém řízení bezpečnosti informací (ISMS)
- ČSN ISO/IEC 27005 — řízení rizik bezpečnosti informací
- NÚKIB — Národní úřad pro kybernetickou a informační bezpečnost
- Fortinet FortiGate 200F — NGFW firewall s IPS, SSL/TLS inspekcí a aplikační kontrolou
- Microsoft Sentinel — cloudový SIEM pro centralizovaný log management a detekci hrozeb
- Microsoft Entra ID — správa identit a vícefaktorová autentizace (MFA)
- Juniper NFX250 — SD-WAN CPE s integrovaným firewallem
- 3GPP LTE-A Pro — záložní mobilní konektivita (eSIM New Telekom)