Praktický časový plán implementace NIS2…

…navržený pro firmu, která začíná od nuly. Plán je rozdělen do čtyř fází během cca 12 měsíců, což odpovídá doporučením odborníků z XEVOS, Blue Partners a ARWS. Pokud firma začne teď, stihne vše včas.

📆 Časový plán implementace NIS2 (0–12 měsíců)

🔹 Fáze 1: Příprava & audit (měsíce 0–2)

• 📋 Interní audit bezpečnosti (technický + organizační)
• 🧠 Školení vedení o právních povinnostech
• 🗂️ Identifikace aktiv, systémů a rizik
• 🧾 Zjištění, zda firma spadá pod NIS2 (samoidentifikace)

🔹 Fáze 2: Návrh & dokumentace (měsíce 3–5)

• 📄 Vytvoření bezpečnostní politiky a směrnic
• 🔐 Návrh technických opatření (firewall, zálohy, MFA…)
• 🧮 Risk assessment a plán mitigace hrozeb
• 🧑‍💼 Určení odpovědných osob (bezpečnostní garant, DPO)

🔹 Fáze 3: Implementace (měsíce 6–9)

• ⚙️ Instalace technických opatření (SIEM, monitoring, zálohování)
• 🔄 Revize smluv s dodavateli (bezpečnostní požadavky)
• 🧑‍🏫 Školení zaměstnanců (kybernetická hygiena)
• 🧯 Vytvoření Incident Response Plánu (reakce na útoky)

🔹 Fáze 4: Testování & provoz (měsíce 10–12)

• 🧪 Testování opatření (penetrace, simulace incidentů)
• 📊 Nastavení pravidelného reportingu a logování
• 🔁 Zavedení procesu pro hlášení incidentů do 24 h
• 📑 Příprava na audit NÚKIB (dokumentace, důkazy)

🧠 Tipy pro hladký průběh

• Začněte auditorem – odhalí slabiny, nastaví priority
• Nečekejte na zákon – implementace trvá měsíce
• Zvažte outsourcing – ušetří čas i náklady
• Využijte open-source nástroje – např. Wazuh, Proxmox Backup

🗓️ Klíčové termíny NIS2 v Česku

➡️ Firmy mají 1 rok od účinnosti zákona, aby vše zavedly. Ale pozor: do 60 dnů od 1. 11. 2025 musí udělat první krok — tzv. samoidentifikaci.

🔔 Co to znamená prakticky?

• Pokud firma začne teď (září/říjen 2025), má ideální čas na přípravu.
• Pokud začne až po 1. listopadu 2025, musí do dvou měsíců:
  • zjistit, zda spadá pod NIS2,
  • oznámit to NÚKIBu,
  • a začít implementovat.