„Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí,“ uvozuje Libor Šrám, odborník na kyberbezpečnost firem z BDO.

Společnost BDO sestavila sadu příkladů, jakých firem by se nařízení NIS2 prostřednictvím zákona o kybernetické bezpečnosti mohlo dotknout právě kvůli specifickým vedlejším činnostem:

1. Logistická firma s vlastními nabíjecími stanicemi pro elektromobily

   Může spadat pod NIS2, pokud nabíjecí stanice slouží i externím uživatelům. Proč?

   • Provozovatelé nabíjecí infrastruktury pro elektromobily spadají pod regulaci, pokud poskytují veřejnou službu nebo jsou součástí kritické energetické infrastruktury.
   • Firma provozující interní nabíjecí síť pro vlastní flotilu regulaci nepodléhá.
   • Pokud však umožňuje nabíjení externím uživatelům (např. partnerským dopravcům nebo široké veřejnosti), může být považována za regulovanou entitu.

2. Výrobní firma s fotovoltaikou na střeše a dodávkami přebytků do sítě

   Může spadat pod NIS2,, pokud dodává elektřinu do sítě ve významném objemu:

   • Směrnice NIS2 reguluje energetiku, včetně výrobců elektřiny.
   • Pokud organizace využívá solární energii pouze pro vlastní spotřebu, nepodléhá regulaci.
   • Pokud však dodává významné přebytky do distribuční sítě, může být považována za součást energetické infrastruktury a podléhat požadavkům NIS2.

3. Firma zabývající se skladováním nebo recyklací nebezpečného průmyslového odpadu

   Může spadat pod NIS2, pokud nakládají s odpadem zásadního významu pro ochranu veřejného zdraví a životního prostředí:

   • Směrnice NIS2 reguluje oblasti, jejichž narušení by mohlo způsobit vážné ekologické nebo zdravotní dopady.

   • Firmy provozující zařízení pro skladování, zpracování či likvidaci nebezpečných odpadů mohou být regulovány, pokud jejich infrastruktura hraje klíčovou roli v ochraně životního prostředí.

4. Firma provozující flotilu vozidel např. pro rozvoz zdravotnického materiálu nebo potravin

   Může spadat pod NIS2, pokud podporuje kritickou dodavatelskou infrastrukturu:

   • Logistické služby zajišťující distribuci klíčových komodit, jako jsou léky, zdravotnické vybavení či potraviny, mohou být považovány za kritickou infrastrukturu.
   • Pokud organizace provozuje vlastní flotilu pro běžné účely, regulaci nepodléhá.
   • Pokud však její vozidla zajišťují strategicky významné dodávky, může pod NIS2 spadat.

5. Vlastní čistírna odpadních vod u velkých průmyslových podniků

   Může spadat pod NIS2, pokud její provoz je klíčový pro fungování širší infrastruktury:

   • Sektor vodohospodářství patří mezi oblasti regulované směrnicí NIS2.
   • Firmy s interními čistírnami regulaci nepodléhají, pokud zpracovávají pouze vlastní odpadní vody.
   • Pokud však jejich čistírna zajišťuje čištění odpadních vod pro více subjektů nebo pokud její výpadek může mít zásadní environmentální dopad, mohou být zařazeny pod regulaci.
     
     
6. Správa vlastních rozvodných sítí pro průmyslové zóny nebo firemní kampusy
   
   Může spadat pod NIS2, pokud provozuje vnitropodnikovou energetickou síť zásobující více subjektů:
   • Energetický sektor je klíčovým prvkem regulace NIS2.
   • Pokud organizace spravuje rozvodnou síť pro průmyslovou oblast, firemní kampus či jiný rozsáhlý areál, může být považována za kritickou součást distribuční infrastruktury a spadat pod regulaci.
   • Firmy, které čerpají elektřinu pouze pro vlastní provoz, se regulaci vyhnou, ale subjekty s interními distribučními sítěmi již mohou podléhat požadavkům na kybernetickou bezpečnost.
     
     
7. Firma zabývající se distribucí biologického materiálu (krevní deriváty, tkáně, transplantáty)
   
   Může spadat pod NIS2, pokud jsou její služby klíčové pro zdravotnickou infrastrukturu:
   • Směrnice NIS2 pokrývá zdravotnické služby a související dodavatelské řetězce.
   • Firmy, které distribuují biologický materiál, mohou být považovány za kritické subjekty, pokud jejich výpadek ohrozí dostupnost zdravotní péče.
     
     
8. Firmy poskytující kyberbezpečnostní služby jiným firmám
   
   Mohou spadat pod NIS2, protože:
   • Směrnice NIS2 zahrnuje poskytovatele kritických digitálních služeb, včetně kyberbezpečnostních operací.
   • Pokud firma spravuje vnitropodnikový SOC pouze pro sebe, regulaci nepodléhá.
   • Pokud však poskytuje kyberbezpečnostní služby dalším organizacím, například v podobě externího monitoringu a reakce na incidenty, může být považována za regulovaný subjekt.
      
9. Firma provozující soukromou telekomunikační infrastrukturu (např. firemní optické sítě, vlastní 5G)
   
   Může spadat pod NIS2, pokud poskytuje telekomunikační služby dalším subjektům:
   • Telekomunikační sektor je jedním z klíčových sektorů pokrytých směrnicí NIS2.
   • Pokud organizace provozuje vlastní datovou nebo optickou síť a poskytuje její služby externím partnerům (např. nájemcům v průmyslovém areálu), může být považována za poskytovatele elektronických komunikací.
   • Regulace se nevztahuje na organizace, které síť využívají výhradně interně.
     
     
10. Poskytovatelé cloudu nebo hostingových služeb jiným firmám
    
    Mohou spadat pod NIS2, pokud poskytují cloudové služby dalším subjektům:
    • NIS2 reguluje poskytovatele digitálních služeb, včetně cloud computingu, hostingových center a datových úložišť.
    • Pokud organizace spravuje interní cloud pouze pro vlastní potřeby, regulaci nepodléhá.
    • Pokud však poskytuje cloudovou nebo hostingovou infrastrukturu jiným firmám či subjektům (např. pobočkám, partnerům, zákazníkům), může být považována za regulovaný subjekt.
       
11. Firmy, které vyvíjí nebo distribuují průmyslový software (např. SCADA, MES systémy, automatizace výrobních linek)
    
    Mohou spadat pod NIS2, pokud dodávají software pro kritické infrastruktury:
    • Vývojáři softwaru, který řídí kritické průmyslové operace, mohou spadat pod regulaci NIS2.
    • Pokud jejich produkty podporují řízení elektráren, vodohospodářských zařízení, dopravních systémů nebo jiných regulovaných infrastruktur, mohou být považováni za klíčový dodavatelský článek.
    • Firmy vyvíjející software pouze pro vlastní potřebu do regulace typicky nespadnou.
       
12. Provozovatelé interní distribuční soustavy zemního plynu v průmyslových areálech
    
    Mohou spadat pod NIS2, pokud zajišťují plyn pro více subjektů:
    • Distribuce zemního plynu je součástí energetické infrastruktury pokryté NIS2.
    • Pokud organizace spravuje interní plynovou síť, která zásobuje další podniky nebo nájemce v průmyslovém areálu, může být považována za regulovaný subjekt.
    • Použití plynu výhradně pro vlastní výrobu obvykle regulaci nepodléhá.
       
13. Provozovatelé interní dopravní infrastruktury v průmyslových zónách (např. železniční vlečky, terminály pro přepravu zboží)
    
    Mohou spadat pod NIS2, pokud poskytují dopravní služby jiným subjektům:
    • Dopravní sektor je regulován, pokud jeho infrastruktura slouží jako kritický uzel pro přepravu zboží nebo osob.
    • Pokud organizace spravuje vlastní železniční vlečku či logistický terminál, který slouží externím zákazníkům nebo partnerům, může spadat pod regulaci.
    • Interní dopravní infrastruktura, využívaná pouze pro vlastní potřebu, obvykle regulaci nepodléhá.
       
14. Provozovatelé bezpečnostních služeb a fyzické ostrahy kritických objektů (např. letišť, datových center, vodáren, energetických podniků)
    
    Mohou spadat pod NIS2, pokud chrání kritickou infrastrukturu:
    • Ochrana kritických objektů (např. datová centra, energetické provozy, letiště) spadá pod požadavky na kybernetickou a fyzickou bezpečnost.
    • Pokud bezpečnostní agentura zajišťuje ochranu těchto objektů, může být považována za strategického dodavatele a podléhat požadavkům NIS2.
       
15. Firmy zabývající se skladováním nebo distribucí farmaceutických látek a léčiv 

    Mohou spadat pod NIS2, pokud mají klíčovou roli v dodavatelském řetězci zdravotnictví:

    • Farmaceutický sektor spadá pod NIS2, protože výpadky v dodávkách léčiv mohou mít zásadní dopad na veřejné zdraví.
    • Pokud organizace distribuuje nebo skladuje léčiva v rámci kritického dodavatelského řetězce, může být považována za regulovaný subjekt.

„Účinnost zákona může nastat nejdříve od 1. července 2025, realističtěji se ovšem jeví termín 1. ledna 2026. To již nyní přiznává i NÚKIB, který je předkladatelem zákona,“ uvádí Libor Šrám z BDO. Česko nicméně zákon přijímá se zpožděním, evropskou směrnici NIS2 se totiž zavázalo přijmout s účinností od října 2024. Kvůli prodlevám už Česko obdrželo v únoru vytýkací dopis z Evropské komise.