NIS2 a vaše webová aplikace: Praktický průvodce novou kybernetickou regulací
·
·
Adam Tretera
Co je NIS2 a proč by vás měla zajímat
Směrnice NIS2 je evropská legislativa, která výrazně rozšiřuje požadavky na kybernetickou bezpečnost organizací. V Česku se jedná o nový zákon o kybernetické bezpečnosti, který dopadá na výrazně širší okruh subjektů než předchozí úprava.
Pokud provozujete webovou aplikaci — ať už e-shop, SaaS platformu nebo interní systém — je vysoká pravděpodobnost, že se vás NIS2 týká přímo, nebo nepřímo přes vaše klienty a dodavatele.
Na koho se NIS2 vztahuje
Energetiku, dopravu, zdravotnictví a finanční sektor
Poskytovatele digitální infrastruktury (cloud, DNS, datová centra)
Poskytovatele digitálních služeb (e-shopy, SaaS, online tržiště)
Výrobní průmysl a potravinářství
Dodavatele výše uvedených subjektů — tedy i menší softwarové firmy
Časté mylné představy
Při konzultacích se ve Softero nejčastěji setkáváme s těmito mýty:
„Jsme moc malí" — NIS2 se vztahuje na střední a velké podniky (50+ zaměstnanců nebo obrat 10M+ EUR). Ale pokud dodáváte software regulovanému subjektu, budete muset splnit požadavky na bezpečnost dodavatelského řetězce.
„To se týká jen IT firem" — NIS2 dopadá na 18 sektorů. Výrobní firma s e-shopem je stejně regulovaná jako hosting provider.
„Stačí nám firewall a antivirus" — NIS2 vyžaduje komplexní přístup: od risk managementu přes incident response až po školení zaměstnanců.
Sankce za nedodržení
Essential entities: pokuta až 10 milionů EUR nebo 2 % celosvětového ročního obratu
Important entities: pokuta až 7 milionů EUR nebo 1,4 % obratu
Osobní odpovědnost managementu — vedení může být přímo zodpovědné za nedodržení
Co NIS2 znamená pro vaši webovou aplikaci
Autentizace a řízení přístupu
MFA již není nice-to-have, ale povinnost. NIS2 vyžaduje silné ověřování identity, řízení přístupu na principu nejmenšího oprávnění a pravidelnou revizi přístupových práv.
Šifrování dat
Data musí být šifrována at rest i in transit. Povinné HTTPS (TLS 1.2+), šifrování databáze a bezpečné ukládání hesel (bcrypt, Argon2).
Správa zranitelností
NIS2 vyžaduje dokumentovaný proces správy zranitelností: jak zranitelnosti identifikujete, priorizujete, opravujete a ověřujete opravu.
Hlášení incidentů
24 hodin — předběžné hlášení
72 hodin — podrobná zpráva
1 měsíc — závěrečná zpráva
Bezpečnost dodavatelského řetězce
Musíte zajistit, že i vaši dodavatelé splňují bezpečnostní požadavky. To zahrnuje Software Bill of Materials (SBOM) a ověřování integrity závislostí.
Technický checklist
MFA pro všechny privilegované účty
TLS 1.2+ na všech endpointech, HSTS hlavičky
Šifrování citlivých dat v databázi
Automatizované skenování závislostí (Dependabot, Snyk, Socket)
Web Application Firewall (WAF)
Centralizované logování a monitoring
Pravidelné penetrační testy (minimálně ročně)
Automatizované zálohování s testovaným restore procesem
Content Security Policy (CSP) a další security headers
Rate limiting a ochrana proti brute-force
Požadavky na dokumentaci
NIS2 klade důraz na prokazatelnou dokumentaci:
Risk assessment — analýza a hodnocení rizik
Security policy — politika informační bezpečnosti
Incident response plán — postup při bezpečnostním incidentu
Business continuity plán — zajištění kontinuity provozu
Evidence školení — záznamy o bezpečnostních školeních
Praktický plán implementace
Měsíc 1–2: Gap analysis — zmapujte, co splňujete a kde jsou mezery
Měsíc 3–4: Prioritizace kritických nedostatků (autentizace, šifrování, incident response)
Měsíc 5–8: Implementace technických opatření
Měsíc 9–10: Dokumentace a školení týmu
Měsíc 11–12: Penetrační test, simulace incidentu, interní audit
Potřebujete pomoct s implementací NIS2 požadavků? Ve Softero provádíme bezpečnostní audity a pomáháme firmám s technickou stránkou compliance.