Když přijde útok, rozhoduje rychlost reakce. Jak NIS2 a DORA mění odpovědnost vedení?

Za neplnění bezpečnostních opatření nebo nenahlášení kybernetických incidentů hrozí českým firmám pokuta až 250 milionů korun nebo 2 % z obratu (podle toho, která částka je vyšší). Odpovědnost za splnění těchto povinností nese přímo vedení společnosti, které může čelit osobním sankcím, včetně finančního postihu a zákazu výkonu funkce.‍

DORA je ještě přísnější. Bankám, pojišťovnám a investičním firmám hrozí pokuty až 2 % celosvětového obratu (nebo fixní částky například do 10 milionů eur) a osobní sankce pro vedení až 1 milion eur. Tvrdě se zaměřuje i na klíčové IT dodavatele finančního sektoru, u nichž umožňuje opakovaně ukládat pokuty až do výše 1 % průměrného denního celosvětového obratu i správní sankce do 5 milionů eur.

Tím fakticky zapojila vedení. Zejména při rozhodování o rizicích, rozpočtech a nastavení procesů, její dopad se však omezoval pouze na oblast osobních údajů a nepracoval s osobní odpovědností v takovém rozsahu. NIS2 a DORA dnes tuto praxi zásadně mění a výslovně ukládají odpovědnost za nastavení, dohled a účinné fungování bezpečnostních opatření přímo vedení organizace a jejímu vrcholovému managementu.

V praxi to znamená zejména:

⇢ změřit schopnost organizace udržet dostupnost služeb při incidentu – jak rychle dokáže detekovat útok nebo chybu, eskalovat situaci, rozhodnout o zásahu, omezit dopady a obnovit provoz bez jeho zásadního přerušení, a které kroky jsou závislé na manuálním zásahu lidí.

⇢ ověřit, zda ochrana odpovídá skutečnému provozu a zachovává integritu služeb – přehled o tom, jestli bezpečnostní perimetr pokrývá místa, kde dnes reálně běží aplikace, služby a API, a odkud se k nim připojují uživatelé, partneři a dodavatelé, nikoli pouze historicky vymezené hranice infrastruktury.

⇢ zajistit schopnost včasného regulatorního reportingu – tedy mít jednotná data, jasně definované role i odpovědnosti a předem připravené postupy pro hlášení incidentů, které mohou ohrozit dostupnost nebo integritu služeb, v zákonných lhůtách.

⇢ zpřísnit řízení rizik třetích stran s ohledem na kontinuitu služeb – včetně smluvních bezpečnostních požadavků, práva na audit, průběžného hodnocení rizik, jasně definovaných podmínek ukončení spolupráce a realistických plánů odchodu bez ohrožení provozu.

S NIS2 už musíte umět prokázat, že víte, jak řídit bezpečnost

NIS2 zásadně rozšiřuje okruh organizací, které musí kybernetickou bezpečnost řídit systematicky a prokazatelně. Netýká se už jen úzkého okruhu kritické infrastruktury, ale týká se až 6 tisíců firem napříč odvětvími. Od energetiky, dopravy a zdravotnictví přes logistiku, výrobu a retail až po digitální služby a IT outsourcing. Pro mnoho organizací je to první regulace, která jim výslovně říká, že bezpečnost není volitelná a nestačí ji řešit ad hoc.

Hlavní změna oproti minulosti tak není v jednotlivých technických opatřeních, ale přímo v přístupu. NIS2 neřeší, jaký nástroj používáte, ale zda máte řízení pod kontrolou. Nově už se nelze spoléhat na to, že máte nasazené nějaké bezpečnostní nástroje, pokud:

• neumíte systematicky řídit rizika,
  
  
• nedokážete doložit, jak jsou vaše bezpečnostní opatření nastavená a udržovaná,
  
  
• nedokážete včas detekovat a zvládnout bezpečnostní incident,
  
  
• nebo nemáte jasno v tom, kdo za co odpovídá.
  
  

Pozornost se přesouvá také na dodavatelský řetězec. Pokud vaše klíčové firemní systémy, aplikace nebo provoz závisí na třetích stranách, vaše odpovědnost u nich nekončí – právě naopak. NIS2 počítá s tím, že organizace musí řídit i rizika, která přicházejí „zvenčí“, a být připravena nést důsledky jejich selhání.

Z pohledu vedení je zásadní ještě jedna změna – regulace výslovně pracuje s rolí managementu a s jeho povinností schvalovat přístup k řízení rizik, dohlížet na fungování opatření a zajistit, že organizace je schopna obstát jak při kontrole, tak i při reálném incidentu. V opačném případě už jde o manažerské selhání.

DORA: I když je IT outsourcované, odpovědnost zůstává na instituci

DORA říká jasně: pokud selže technologie, selže i finanční instituce, bez ohledu na to, kolik má rezerv. Nařízení proto staví digitální provozní odolnost na stejnou úroveň jako tradiční řízení rizik. Pro banky, pojišťovny, investiční společnosti, platební instituce i jejich technologické partnery to znamená, že už nestačí „zvládnout incident“. Musí být schopni rizikům předcházet, rychle je detekovat, zvládnout jejich dopady, obnovit provoz a celý proces doložit regulatorním orgánům.

V praxi DORA nutí organizace dát si do pořádku čtyři oblasti, které dříve často existovaly odděleně, nebo jen na papíře:

• řízení ICT rizik jako průběžný proces, ne jednorázový audit,
  
  
• hlášení závažných incidentů podle jasných kritérií a v předepsané struktuře,
  
  
• testování odolnosti, které má odhalovat reálné slabiny, ne jen „splnit povinnost“,
  
  
• řízení rizik dodavatelů, včetně smluv, auditu, přehledu závislostí a připravených scénářů, co dělat, když dodavatel selže.

I zde je zásadní posun oproti minulosti především v odpovědnosti. I když je část infrastruktury outsourcovaná nebo provozovaná v cloudu, plná odpovědnost leží na finanční instituci. Argument typu „byl to problém u dodavatele“, vás odpovědnosti nezbaví. Pokud nemáte přehled, kontrolu a možnost v případě bezpečnostního incidentu zasáhnout, je to regulatorní problém.

Regulace NIS2 i DORA výslovně posouvají odpovědnost za kybernetickou bezpečnost z čistě operativní roviny do roviny řízení organizace. Neznamená to, že by statutární orgány přebíraly technické úkoly IT týmů, ale že nesou odpovědnost za nastavení, schválení a dohled nad systémem řízení bezpečnostních rizik jako celku.

V praxi to pro vedení znamená zejména povinnost:

• schválit bezpečnostní strategii a odpovídající technická i organizační opatření,
  
  
• zajistit přiměřené zdroje pro jejich realizaci (personální, finanční i procesní),
  
  
• vykonávat průběžný dohled nad jejich fungováním a účinností,
  
  
• a být schopno doložit, že organizace jednala přiměřeně povaze rizik, své velikosti a regulatorním požadavkům.

S implementací obou směnic souvisí i data z průzkumu IAPP Privacy Governance Report 2024, podle kterého více než 80 % odborníků uvádí, že dostali další úkoly nad rámec své běžné agendy v oblasti ochrany soukromí. Tento trend potvrzuje i novější EU Digital Laws Report 2025. Přibližně 32 % až 40 % respondentů má nyní na starosti soulad s kyberbezpečnostními předpisy (např. NIS2).

‍

Jak tuto odpovědnost v praxi naplnit?

S příchodem NIS2 a DORA se z bezpečnostní architektury nestává jen technická volba, ale manažerské riziko. To, jak máte bezpečnost postavenou, totiž přímo určuje, jak rychle dokáže vaše organizace při incidentu jednat – zda reaguje automaticky, nebo až po sérii manuálních zásahů, eskalací a schvalování. Hodnocení regulačních úřadů se pak odvíjí od toho, zda se incident zvládne v řádu minut, nebo až ve chvíli, kdy už má dopad na provoz, klienty a regulatorní povinnosti.

Rychlost reakce je dnes faktickým regulatorním parametrem. Jenže některé tradiční bezpečnostní modely, zejména ty založené na ručně řízeném, pevně vymezeném perimetru, v tomto ohledu narážejí na své limity.

Tyto přístupy vznikly v době, kdy měla organizace jasně ohraničenou infrastrukturu. Dnešní hybridní prostředí s cloudem, vzdálenými uživateli a napojenými dodavateli však způsobuje, že významná část rizik vzniká mimo tento perimetr.

V tradičním, ručně řízeném perimetru se reakce na incident typicky skládala z několika kroků – incident bylo nutné vyhodnotit, sesbírat kontext, rozhodnout o zásahu, schválit změnu, nasadit pravidlo a ověřit dopad na provoz. Každý z těchto kroků měl jiného vlastníka, často jiný tým, a mezi jednotlivými fázemi vznikaly prodlevy. Útoky se však interními procesy organizace neřídí. U DDoS útoků dnes nejde o hodinové či celodenní incidenty – řada z nich trvá jen desítky minut. Aby ochrana naplnila smysl regulace i ochranu provozu, musí se mitigace odehrát rychleji, než trvá samotný útok. Ochrana, která se rozběhne až po kolečku eskalací a schvalování, přichází pozdě, i když je technicky správně nastavená.

K tomu se přidávají fyzické limity kapacity: jakmile je připojení zahlcené, ochrana ztrácí účinnost. Distribuované, cloudové modely naopak umožňují reagovat okamžitě a zastavit útok dříve, než ohrozí dostupnost služby.

Úřady chtějí důkaz, deklarace už nestačí

NIS2 ani DORA neřeší jen to, zda se podařilo útok zastavit, ale zda organizace dokáže prokazatelně doložit, co se stalo, kdy reagovala, kdo rozhodoval, jaké kroky byly provedeny a s jakými dopady. Pokud je bezpečnost rozdrobená mezi více nástrojů, týmů a dodavatelů, auditní stopa se skládá obtížně a často až zpětně. Sjednocený, centrálně řízený přístup naopak poskytuje konzistentní data pro interní vyhodnocení i regulatorní reporting – měřitelné časy reakce, dohledatelné rozhodování a jednotnou evidenci incidentů.

NIS2 a DORA se zaměřují na řízení rizik, incidentů, kontinuitu provozu i dodavatelské vztahy. Do popředí se proto dostávají rámce založené na vymahatelných kontrolách, auditech a smluvní odpovědnosti. Například Cloudflare uvádí, že jejich přístup k ochraně soukromí je uznaný ve 39 jurisdikcích.

Stejná logika platí i pro dodavatelský řetězec. Organizace musí umět doložit, že má přehled o rizicích třetích stran, jasně definované postupy eskalace, rozhodování a dokumentace. V takovém prostředí se jednotná bezpečnostní platforma nestává otázkou komfortu nebo efektivity IT, ale způsobem, jak má vedení organizace reálně pod kontrolou svou osobní odpovědnost – rychlost reakce, přehled nad riziky i schopnost vše obhájit před regulátorem.

‍