NIS 2 klepe na dveře: Máte pod kontrolou řízení dokumentů?

Směrnice NIS 2 představuje největší posun v oblasti kybernetické bezpečnosti za poslední roky. Jejím cílem je sjednotit úroveň ochrany napříč Evropskou unií a zároveň výrazně rozšířit okruh organizací, které budou muset bezpečnostní opatření povinně zavést. Dopad má nejen na kritickou infrastrukturu nebo operátory digitálních služeb, ale nově i na velký počet výrobců, technologických firem, poskytovatelů služeb či subjektů veřejné správy. Česká republika již směrnici implementovala prostřednictvím nového zákona o kybernetické bezpečnosti, který vstoupil v účinnost na podzim roku 2025.

Firmy nyní vstoupily do období plnění povinností s přesně definovanými termíny. Subjekty, které spadají pod regulaci, mají povinnost se v zákonné lhůtě oznámit a následně během jednoho roku implementovat předepsaná bezpečnostní opatření.

Kromě řízení rizik, přístupu či školení zaměstnanců se velká pozornost zaměřuje také na dokumentaci. A právě ta je často nejpodceňovanější částí celé přípravy. Organizace musí prokázat, že mají své bezpečnostní směrnice, plány, procesy i záznamy řádně vytvořené, schválené, verzované a auditně dohledatelné. Bez moderního systému pro řízení dokumentů je splnění těchto požadavků nesmírně obtížné.
 

NIS 2 výrazně rozšiřuje okruh organizací, které spadají pod povinnou kybernetickou regulaci. Zatímco původní směrnice se zaměřovala hlavně na kritickou infrastrukturu a několik vybraných služeb, dnes se regulace dotýká tisíců firem napříč českým trhem. Směrnice rozlišuje dvě skupiny subjektů – essential a important – přičemž obě mají prakticky totožné povinnosti, liší se pouze hladinou dohledu.

Do působnosti NIS 2 spadají firmy z oblastí jako energetika, doprava, zdravotnictví, vodní hospodářství, digitální infrastruktura či veřejná správa, ale nově také výrobní průmysl, logistika, ICT služby, poskytovatelé digitálních platforem, poštovní a kurýrní služby či potravinářství. Klíčovým kritériem je kromě sektoru také velikost – regulační povinnosti se týkají firem s více než 50 zaměstnanci nebo obratem nad 10 milionů EUR, pokud poskytují služby spadající do vyjmenovaných oblastí.
 

Jedním z nejzásadnějších požadavků NIS 2 je schopnost prokazatelně řídit bezpečnostní dokumentaci. Zákon i prováděcí vyhlášky od firem vyžadují, aby měly jasně definované, schválené a průběžně aktualizované bezpečnostní politiky, procesy, postupy a záznamy. Nejde tedy jen o vytvoření dokumentů, ale hlavně o jejich dostupnost, aktuálnost a auditní dohledatelnost.

Každá organizace musí mít například zpracovanou dokumentaci k řízení rizik, přístupových práv, správy identit, řízení dodavatelů, reakce na incidenty, provozní bezpečnosti či plánů kontinuity. Součástí povinností je také evidence školení, záznamy o seznámení zaměstnanců s interními pravidly a kompletní historie změn. Stejně tak je nutné vést dokumentaci k incidentům, k post-mortem analýzám a k přijatým nápravným opatřením.

V praxi to znamená, že firma musí být kdykoliv připravena doložit, že dokument nejen existuje, ale že byl schválen relevantní osobou, měl jasně řízený životní cyklus a že zaměstnanci byli s jeho obsahem seznámeni. Pokud jsou tyto materiály rozptýlené po sdílených discích, e-mailech či v různých excelových souborech, je téměř nemožné požadavky NIS 2 splnit. Řízený systém pro správu dokumentů se tak stává nezbytným základem pro auditní připravenost i reálné řízení bezpečnosti.
 

Firmy, které podcení dokumentační část NIS 2, se vystavují významným rizikům. Nejčastějším problémem bývá, že organizace dokumenty sice mají, ale nejsou aktuální, schválené, verzované ani dohledatelné. Při auditu je pak velmi obtížné prokázat, že dané procesy skutečně existují a že se podle nich postupuje. Chybějící evidence školení nebo nejasná historie změn může vést k závěru, že firma nesplňuje zákonné povinnosti.

Nedostatky v dokumentaci jsou také častým zdrojem neprůkaznosti při řešení incidentů či kontrol ze strany NÚKIB. Regulace navíc zavádí i osobní odpovědnost členů vedení za plnění povinností, což dále zvyšuje tlak na transparentní řízení dokumentů. Sankce za nesplnění mohou dosahovat až milionových částek nebo procent z obratu, což je pro mnoho organizací zásadní riziko. Bez řízeného prostředí pro práci s dokumenty tak může i dobře nastavený systém kybernetické bezpečnosti selhat na tom nejzákladnějším. Na neschopnosti své postupy spolehlivě doložit.

Příprava na NIS 2 nemusí být složitá, pokud má organizace jasný plán a vhodné nástroje. Prvním krokem je ověření, zda firma spadá pod regulaci, a následné splnění povinnosti oznámení. Na to navazuje inventura současného stavu kybernetické bezpečnosti, včetně přehledu interních směrnic, procesů, školení a dostupné dokumentace. Typicky se ukáže, že část dokumentů existuje, ale není řízená, není aktuální nebo chybí záznamy o tom, že s nimi zaměstnanci byli seznámeni.

Dalším krokem je nastavení nebo aktualizace interních politik a jejich převedení do řízeného životního cyklu, tedy tvorby, schvalování, publikace, archivace a pravidelných revizí. Právě zde hraje zásadní roli moderní DMS, který umožňuje automatizaci workflow, správu verzí, řízení přístupů, sledování změn a evidenci potvrzení o přečtení.

Součástí přípravy by mělo být také řešení školení a jejich periodického vyhodnocování, evidence incidentů, řízení dodavatelů a zajištění auditní stopy ke všem klíčovým aktivitám. Dobře nastavený DMS dokáže většinu těchto kroků integrovat do jednoho prostředí a výrazně zjednodušit plnění zákonných povinností. Firmy, které začnou s přípravou včas, se tak vyhnou zbytečnému časovému tlaku i riziku sankcí.