Klientský portál
Kyberpece.cz
Menu
Úvodní stránka Články
NIS2 v sociálních službách: Co přesně musíte splnit a jak začít?

NIS2 v sociálních službách: Co přesně musíte splnit a jak začít?

Směrnice NIS2 přináší revoluci v tom, koho stát považuje za klíčové pro fungování společnosti. Nově se tato povinnost vztahuje i na poskytovatele sociálních služeb, kteří zároveň poskytují zdravotní péči. Pokud máte více než 50 zaměstnanců a registraci odbornosti 911, 913, 916, 917 nebo 925, týká se NIS2 i vás. Co to znamená v praxi?
NIS2 v sociálních službách: Co přesně musíte splnit a jak začít?

Směrnice NIS2 zásadně mění pravidla kybernetické bezpečnosti v České republice. Poprvé se dotkne také poskytovatelů sociálních služeb, kteří zároveň poskytují zdravotní péči. Pokud máte více než padesát zaměstnanců a provozujete zdravotní službu například pod odborností 911, 913, 916, 917 nebo 925, spadáte do povinností nového zákona o kybernetické bezpečnosti. A to bez ohledu na to, zda jste si doposud kybernetiku spojovali spíše s nemocnicemi nebo velkými IT firmami.

Nový zákon 264/2025 Sb. přináší několik zcela konkrétních povinností. První z nich je ohlášení tzv. regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost. Týká se to poskytování zdravotní péče — tuto skutečnost je třeba do 60 dnů od naplnění podmínek zaregistrovat přes Portál NÚKIB. Následně úřad vydá rozhodnutí o registraci. Po jeho obdržení musí organizace doplnit také kontaktní údaje, a to do 30 dnů.

Následný krok je pro většinu organizací nový, je nutné stanovit tzv. rozsah řízení kybernetické bezpečnosti. Jinými slovy určit, které části IT prostředí (systémy, servery, aplikace, data či procesy) přímo souvisejí s poskytováním zdravotní služby. Pokud organizace rozsah neurčí, bere se automaticky, že se povinnosti vztahují na celou organizaci bez výjimky.

Na stanovený rozsah navazuje zavádění bezpečnostních opatření. Každá organizace spadá buď do nižšího, nebo do vyššího režimu regulace, podle toho se řídí souborem povinných bezpečnostních opatření uvedených ve vyhláškách. Do jednoho roku od registrace musí organizace tato opatření začít zavádět a následně je průběžně udržovat. Opatření se týkají mimo jiné přístupu uživatelů k systémům, bezpečnosti hesel, technického zabezpečení sítí, aktualizací, správy identit, detekce incidentů, zálohování, ale také školení zaměstnanců.

Zákon zavádí i povinnosti pro vedení organizace a zaměstnance. Statutární zástupci nesou odpovědnost za splnění povinností — včetně případných sankcí, které mohou dosáhnout až deseti milionů korun nebo dvou procent ročního obratu. Zaměstnanci musí být pravidelně školeni v bezpečném chování a organizace musí umět prokázat, že toto školení probíhá.

Co tedy dělat jako první? Začněte jednoduchým interním přehledem, jaké systémy používáte, kdo je spravuje a kde máte uložená citlivá data. Určete odpovědnou osobu pro kybernetickou bezpečnost a zhodnoťte nejpravděpodobnější rizika. Podle Kyberpéče.cz patří mezi nejběžnější slabá hesla, nezabezpečené zařízení, staré operační systémy a chybějící školení. Velkou část útoků je možné předejít právě jednoduchými technickými opatřeními a základní osvětou zaměstnanců.

Pokud si nejste jisti, kde začít, vyplatí se provést audit připravenosti. Ten organizaci ukáže, co má splněno, kde má největší mezery a jaké kroky musí udělat, aby naplnila legislativu. Následně lze sestavit plán zavádění opatření podle priorit, a vyhnout se tak zbytečnému stresu i pokutám.

Sdílejte článek