Tento dokument je určen pro IT manažery, bezpečnostní specialisty a administrátory, kteří mají na starosti přípravu organizace na směrnici NIS2. Obsahuje praktický checklist technických opatření, které je třeba zavést, a doporučení, jak je implementovat v souladu s běžnými bezpečnostními standardy.
Nepodceňujte kyberbezpečnost ve své firmě.
1. Správa identit a přístupů
🔲 Vícefaktorová autentizace (MFA) pro všechny kritické systémy (VPN, servery, cloud, e-mail, administrátorské účty).
🔲 Princip nejmenších oprávnění (Least Privilege) – omezení práv pouze na nezbytné minimum.
🔲 Role-based access control (RBAC) – přístup udělovat podle rolí, ne individuálně.
🔲 Pravidelné revize přístupů – min. 1× za čtvrtletí.
🔲 Just-in-time přístup pro administrátorské účty.
➡ Odpovídá: ISO 27001 A.9, NIST CSF PR.AC.
2. Ochrana sítě a systémů
🔲 Segmentace sítě – oddělení produkčních, testovacích a administrativních prostředí.
🔲 Firewall + IDS/IPS – na perimetru i interně.
🔲 Monitoring síťového provozu – logování a detekce anomálií.
🔲 VPN s šifrováním pro vzdálený přístup.
🔲 Zero Trust principy – ověřuj vše, nedůvěřuj implicitně.
➡ Odpovídá: ISO 27001 A.13, NIST CSF PR.PT.
3. Řízení zranitelností a patch management
🔲 Centrální systém pro správu aktualizací (WSUS, SCCM, Ansible, Intune apod.).
🔲 Pravidelný patching OS a aplikací (kritické zranitelnosti max. do 14 dní).
🔲 Skener zranitelností (Nessus, OpenVAS, Qualys) spuštěný min. měsíčně.
🔲 Evidence a sledování CVE u používaného softwaru.
🔲 Proces rychlé reakce na 0-day.
➡ Odpovídá: ISO 27001 A.12, NIST CSF DE.CM.
4. Zálohování a obnova
🔲 Pravidelné zálohování (denní / týdenní podle kritičnosti).
🔲 Pravidelné testování obnovy – minimálně 2× ročně.
🔲 Off-site zálohy – uložené mimo hlavní infrastrukturu.
🔲 Immutable backups – neměnné zálohy chráněné proti ransomware.
🔲 Dokumentovaný Disaster Recovery Plan (DRP).
➡ Odpovídá: ISO 27001 A.12.3, NIST CSF PR.IP.
5. Monitorování a logování
🔲 Centrální log management (SIEM – Splunk, ELK, Graylog).
🔲 Uchovávání logů – min. 6 měsíců (doporučeno 12–24).
🔲 Detekce anomálií pomocí korelace logů.
🔲 Integrace s CSIRT – možnost exportu logů pro vyšetřování incidentu.
🔲 Monitoring 24/7 u kritických systémů.
➡ Odpovídá: ISO 27001 A.12.4, NIST CSF DE.CM.
6. Ochrana dat
🔲 Šifrování dat v klidu i přenosu (AES-256, TLS 1.2/1.3).
🔲 Správa klíčů – centrální řešení (HSM, KMS).
🔲 Kontrola přenosu dat (DLP systémy).
🔲 Anonymizace/pseudonymizace u osobních údajů.
🔲 Pravidelná klasifikace dat – citlivá, interní, veřejná.
➡ Odpovídá: ISO 27001 A.10, NIST CSF PR.DS.
7. Incident response
🔲 Incident Response Plan (IRP) – dokumentovaný postup.
🔲 Runbooky pro typické incidenty (ransomware, phishing, DDoS).
🔲 Hlášení incidentů dle NIS2 – early warning (24 h), detailní zpráva (72 h), závěrečná (1 měsíc).
🔲 Kontakty na CSIRT – uložené a ověřené.
🔲 Simulace incidentů (table-top exercise) – min. 1× ročně.
➡ Odpovídá: ISO 27001 A.16, NIST CSF RS.CO.
8. Bezpečnost dodavatelského řetězce
🔲 Bezpečnostní požadavky v kontraktech (SLA, NDA).
🔲 Audity dodavatelů – alespoň u klíčových partnerů.
🔲 Kontrola třetích stran – zda používají MFA, šifrování, patch management.
🔲 Monitoring subdodavatelů u kritických služeb (cloud, hosting, datacentra).
🔲 Plán náhrady dodavatele v případě výpadku.
➡ Odpovídá: ISO 27001 A.15, NIST CSF ID.SC.
9. Testování a cvičení
🔲 Penetrační testy – min. 1× ročně na kritické systémy.
🔲 Vulnerability assessment – čtvrtletně.
🔲 Red team / blue team cvičení – doporučeno 1× ročně.
🔲 Table-top scénáře – test IRP s managementem.
🔲 Report + lessons learned po každém testu.
➡ Odpovídá: ISO 27001 A.12.6, NIST CSF PR.IP.
10. Školení a povědomí
🔲 Školení zaměstnanců – phishing, sociální inženýrství, hlášení incidentů (min. 1× ročně).
🔲 Školení managementu – odpovědnost za NIS2, základní principy kyberbezpečnosti.
🔲 Pravidelné phishingové kampaně k ověřování povědomí.
🔲 Bezpečnostní newsletter / intranet sekce.
➡ Odpovídá: ISO 27001 A.7, NIST CSF PR.AT.
11. Dokumentace a audit
🔲 Evidence procesů a opatření – pro auditovatelnost.
🔲 Záznamy o incidentech a reakcích.
🔲 Výsledky testů a školení – archivace min. 3 roky.
🔲 Interní audit kybernetické bezpečnosti – min. 1× ročně.
🔲 Externí audit / certifikace (ISO 27001) doporučená.
➡ Odpovídá: ISO 27001 A.18, NIST CSF GV.
Zdá se vám to složité nebo neuchopitelné? Nechte si vypracovat profesionální audit, zaškolit zaměstnance nebo implementovat do vašich firemních procesů.
Přečtěte si také kompletního průvodce o směrnici NIS2.
Závěr
Tento checklist není jen o „odfajfkování políček“. Každý bod je součástí komplexního přístupu k bezpečnosti. Pokud organizace implementuje výše uvedené oblasti, nejenže splní požadavky směrnice NIS2, ale zároveň získá robustní obranu proti reálným kybernetickým hrozbám.
NIS2 se tak může stát impulsem pro celkové zvýšení úrovně bezpečnosti, nikoli jen regulatorní povinností.