Španělsko neprovedlo NIS2 více než 18 měsíců. Zatímco BOE čeká, velcí klienti již požadují od svých dodavatelů záruky bezpečnosti, které většina malých a středních podniků nemůže prokázat. Čtyři konkrétní kroky, které to mají změnit, než přijde zákon.
Představte si, že vám jeden z vašich nejdůležitějších klientů pošle dvanáctistránkový bezpečnostní dotazník. Nemáte zdokumentované zásady řízení rizik. Nemáte žádné záznamy o incidentech. Nevíte jistě, zda jsou data, která spravujete, při přenosu a v klidu šifrována. Dotazník má uzávěrku dva týdny. Bez uspokojivé reakce je smlouva vystavena riziku.
Tato situace již dnes nastává ve španělských MSP ve všech odvětvích. A bude se to stávat mnohem častěji, protože směrnice NIS2 – nejambicióznější evropský standard kybernetické bezpečnosti za poslední desetiletí – dokončuje své zavádění v celém dodavatelském řetězci.
Zákon nedorazil. Efekty ano.
Španělsko má více než 18 měsíců zpoždění v provedení NIS2. Evropská směrnice stanovila 17. říjen 2024 jako lhůtu pro všechny členské státy, aby ji začlenily do svého národního práva. Španělsko nevyhovělo. Návrh zákona o koordinaci a správě kybernetické bezpečnosti schválila Rada ministrů v lednu 2025, ale k dnešnímu dni nebyl zaslán Cortes Generales. Evropská komise již zaslala odůvodněné stanovisko, které může vést k odvolání k Soudnímu dvoru EU.
Toto zpoždění nikoho nechrání. Velké společnosti a regulované organizace, které zastřešuje NIS2 – nebo které předvídají jeho aplikaci – již vyžadují od svých dodavatelů záruky bezpečnosti. A to se přímo dotýká malých a středních podniků, které by na papíře nebyly „podstatnými subjekty“ nebo „významnými subjekty“ podle směrnice.
Kaskádový efekt: proč vás NIS2 ovlivňuje, i když se o vás nezmiňuje
NIS2 zavazuje subjekty ve své působnosti k řízení bezpečnostních rizik celého jejich řetězce dodavatelů a subdodavatelů. Softwarová společnost, která prodává bance, musí prokázat, že její dodavatelé splňují minimální standardy. Logistický integrátor, který spolupracuje s velkým distributorem, musí prokázat, že jeho přístup k systémům je řízen. Shoda se přenáší krok za krokem.
Mechanismus je přímý: velký klient – podléhající NIS2 – přenáší své závazky směrem dolů ve formě smluvních doložek, dotazníků, auditů nebo certifikačních požadavků. Pokud nevyhovíte, již nejste způsobilým poskytovatelem. Nejedná se o budoucí hrozbu: vyskytuje se již ve výběrových řízeních ve veřejném sektoru, ve smlouvách s finančními společnostmi a v odvětvích, jako je průmysl nebo zdravotnictví.
Počet incidentů spravovaných INCIBE – Národním institutem pro kybernetickou bezpečnost – dosáhl v roce 2025 122 223, což je o 26 % více než v předchozím roce. Téměř polovina španělských malých a středních podniků přitom ročně investuje méně než 500 eur do kybernetické bezpečnosti, podle Digitalizačního barometru španělských malých a středních podniků, který připravily Gigas a Ipsos na 1 300 společnostech. Propast mezi skutečným rizikem a ochranou investic je obrovská a NIS2 – s formální transpozicí nebo bez ní – urychluje svou korekci z vrcholu hodnotového řetězce.
Čtyři konkrétní akce, seřazené od nejmenšího po největší úsilí
Výhodou jednání před účinností zákona je, že to můžete udělat svým vlastním tempem, bez tlaku regulační lhůty. Tyto čtyři akce vytvářejí okamžitou hodnotu bez ohledu na legislativní kalendář.
První. Zdokumentujte, co už děláte. Většina malých a středních podniků uplatňuje přiměřené bezpečnostní kontroly, aniž by je registrovala. Mít e-mail se silnou autentizací, automatickým zálohováním nebo přístupem omezeným profily je při auditu bezcenné, pokud neexistují žádné písemné důkazy. Věnujte dvě odpoledne inventuře, jaké systémy používáte, kdo má k čemu přístup a jak data opouštějí vaši síť. Tento soupis je výchozím bodem jakéhokoli hodnocení rizik a prvním dokumentem, který si klient vyžádá k provedení auditu.
Druhý. Udělejte falešný klientský dotazník. Stáhněte si bezpečnostní dotazník od velké společnosti ve vašem sektoru – mnohé z nich jsou veřejné – a upřímně na něj odpovězte. Otázky, na které nedokážete odpovědět, poukazují na vaše skutečné mezery. Toto cvičení trvá méně než jeden den a poskytuje užitečnější diagnózu než mnoho formálních auditů, protože je založeno na specifických požadavcích trhu, nikoli na teoretických rámcích.
Třetí. Definuje minimální protokol odezvy na incident. NIS2 vyžaduje hlášení významných incidentů ve velmi krátkých termínech: první oznámení do 24 hodin, úplné oznámení do 72 hodin. Bez písemného postupu – kdo rozhoduje, kdo oznamuje, kdo – čas spotřebovává vnitřní chaos. Protokol nemusí být dlouhý: pro začátek stačí dvě stránky s rolemi, aktivačními prahy a notifikačními kontakty, které vás okamžitě odliší od jakéhokoli auditu.
Čtvrtletí. Přidělte bezpečnostního manažera, i když jde o částečný úvazek. Směrnice stanoví, že řídící orgán musí schvalovat opatření kybernetické bezpečnosti a dohlížet na ně. To neznamená najmout bezpečnostního ředitele na plný úvazek – pro většinu malých a středních podniků to nedává ekonomický smysl – ale znamená to, že někdo ve společnosti musí být partnerem pro tato rozhodnutí: IT manažer, COO nebo externí poradce. Důležité je, že existuje, že má skutečnou autoritu a že se podílí na obchodních rozhodnutích podle svých vlastních kritérií.
Manažerská odpovědnost nemizí legislativním zpožděním
NIS2 výslovně uvádí, že členové řídícího orgánu mohou nést osobní odpovědnost za nedodržení bezpečnostních povinností jejich organizace. Pokuty mohou dosáhnout 10 milionů eur nebo 2 % celosvětového obratu u zásadních subjektů a 7 milionů u důležitých. Nejsou to abstraktní čísla: jsou to rámec, který musí Španělsko začlenit do svých právních předpisů, a to spíše dříve než později.
NIS2 vyžaduje hlášení významných incidentů ve velmi krátkých lhůtách: první upozornění do 24 hodin, úplné upozornění do 72
Existuje pochopitelná tendence domnívat se, že dokud zákon není zveřejněn v BOE, neexistuje žádná naléhavost. Je to špatný odhad. Velcí klienti nečekají, až bude BOE požadovat záruky od svých dodavatelů. Incidenty na sebe nenechají čekat. A až zákon přijde, adaptační období budou pro ty, kteří nezačali, krátká.
Kybernetická bezpečnost přestala být technickým problémem už dávno. Je to rozhodnutí managementu, které stále více definuje, zda může malý a střední podnik nadále konkurovat na trzích, kde působí.
Od Jorgeho Mendese, zakladatele Mencar Global Consulting · CISSP, CEH
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
