Hlavní povinnosti, které přináší nový zákon o kybernetické bezpečnosti dle NIS2:
- Do 60 dnů po naplnění kritérií pro regulaci dle nZKB zaregistrovat přes portál NÚKIB své regulované služby (do 31. 12. 2025 pro firmy, na které zákon dopadá od 1. listopadu 2025). Jak na to zjistíte zde.
- Po tom, co vám NÚKIB doručí rozhodnutí o registraci, do 30 dnů přes portál nahlásit kontaktní údaje (Kontaktní osoby za firmu, IP adresy atd.)
- Stanovit rozsah řízení kyberbezpečnosti určením primárních a podpůrných aktiv regulovaných služeb. Pokud ho nestanovíte, zákon dopadá na všechna aktiva firmy (je to lepší, pokud chcete chránit celou firmu).
- Začít zavádět bezpečnostní opatření podle režimu nejpozději do 1 roku od doručení rozhodnutí o registraci od NÚKIB.
- Hlásit kyber-incidenty přes portál NÚKIB (vyšší režim hlásí NÚKIB, nižší Národnímu CERT), přes Portál NÚKIB.
- Informovat zákazníky o incidentech a hrozbách max. do 1 roku od doručení rozhodnutí o registraci od NÚKIB (pokud je to vhodné).
- Provádět protiopatření vydané NÚKIB (výstraha, varování, reaktivní protiopatření) ve lhůtě a dle úkonů v protiopatření a výsledek ohlásit NÚKIB.
- Pokud jste strategicky významnou službou, tak rok ode dne, kdy jste se jí stali, musíte začít zjišťovat a evidovat informace o dodavatelích bezpečnostně významných dodávek (mechanismus BDŘ).
- Pokud jste strategicky významní, musíte zajišťovat i dostupnost regulované služby v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.