Home NIS2 Certifikace
Bezpečnost & Compliance

ISO 27001 a NIS2: Jak se certifikace váže na nový zákon?

ISO 27001:2022 pokrývá přibližně 70 % požadavků NIS2 podle článku 21. Zjistěte, jak ji využít k rychlejší cestě k NIS2 compliance a které mezery musíte pokrýt sami.

Objednat posouzení mezery →

Co je ISO 27001 a proč záleží na NIS2?

ISO 27001:2022 je mezinárodní standard pro systémy řízení informační bezpečnosti (ISMS). Pokrývá postupy, technologie a osobní chování zaměstnanců v oblasti ochrany dat. Pro české podniky platící se NIS2 je klíčové, že ISO 27001 již implementuje přibližně 70 % požadavků uvedených v článku 21 NIS2direktívy.

To znamená, že organizace s certifikací ISO 27001 má již pevný základ. Znalostní bezpečnostní architekturu, řízení přístupu, šifrování, monitoring a řadu dalších opatření. Není však univerzálním řešením – NIS2 má specifické požadavky, které standard nezahrnuje.

Certifikaci zajišťují renomované společnosti jako BSI Group, Bureau Veritas, TÜV SÜD a Lloyd's Register. Pro české firmy znamená ISO 27001 snížení rizika pokut, zvýšení důvěry partnerů a nižší pojistné.

Čtyři hlavní mezery mezi ISO 27001 a NIS2

Přestože ISO 27001 pokrývá velkou část požadavků, zůstávají čtyři kritické mezery, které musí české firmy řešit paralelně:

  • Povinné hlášení incidentů (24h/72h/1 měsíc): ISO 27001 vyžaduje logging a monitoring, ale neurčuje konkrétní lhůty hlášení úřadům. NIS2 stanovení 24 hodin pro podezření, 72 hodin pro potvrzení a 1 měsíc pro podrobný report národní autoritě. Musíte nastavit procesy mimo rámec ISO.
  • Registrace u národní autority: ISO 27001 není registrační dokument. Musíte si registrovat svůj podnik na NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) podle metodiky NIS2.
  • Povinnosti v oblasti cross-border kooperace: NIS2 předpokládá spolupráci s dalšími členy ekosystému a úřady v EU. ISO 27001 se na to nezaměřuje.
  • Specifické požadavky na smlouvy se subdodavateli: NIS2 vyžaduje explicitní bezpečnostní podmínky v kontraktech s poskytovateli služeb. ISO 27001 se tomuto věnuje jen částečně.

Cesta k certifikaci: Časový plán a náklady

Typické trvání: Certifikace ISO 27001 trvá 3 až 6 měsíců, v závislosti na velikosti organizace, aktuálním stavu informační bezpečnosti a počtu zaměstnanců.

Náklady na auditní posouzení: Cena se pohybuje od 8 000 do 25 000 EUR v závislosti na:

  • Počtu zaměstnanců (malé firmy < 50: 8–12k EUR, střední 50–250: 12–18k EUR, velké > 250: 18–25k EUR)
  • Složitosti IT infrastruktury
  • Počtu poboček a lokací
  • Existujícímu stavu dokumentace ISMS

Nesmíte zapomenout na interní náklady – přiřazení týmu pro implementaci, školení zaměstnanců (1–2 měsíce práce). Vrácení investice je zajistěno sníženým rizikem pokut (až 10 milionů Kč za NIS2), zvýšením důvěry klientů a nižším pojistným.

Jak vybrat správný certifikační orgán?

Výběr kvalitního certifikačního orgánu (CB) je kritický pro úspěch. Doporučujeme:

  • BSI Group: Světově uznávaná, hluboké znalosti českého kontextu, pravidelné školení v souladu s aktualizacemi NIS2.
  • Bureau Veritas: Silná přítomnost v ČR, kombinované audity ISO 27001 + NIS2 assessment.
  • TÜV SÜD: Německá preciznost, důraz na procesní dokumentaci a propojení se NÚKIB.
  • Lloyd's Register: Zaměření na risk management a integraci s dalšími standardy (ISO 9001, ISO 45001).

Při výběru si vyžádejte reference od podobných firem, zvažte cenu SLA (service level agreement) a dostupnost lokálních auditorů.

Krok za krokem: Vaše cesta k ISO 27001 a NIS2 souladu

1. Posouzení mezer (Gap Assessment): Certifikační orgán nebo interní tým provede audit stávajícího stavu. Identifikuje chybějící procesy, dokumentaci a technologie. Trvá 1–2 týdny, stojí 2–5k EUR.

2. Implementace ISMS: Založení bezpečnostního týmu, vytvoření informační bezpečnostní politiky, mapování aktiv, analýza rizik podle ISO 27005, volba a implementace kontrol. Trvá 2–4 měsíce v závislosti na velikosti.

3. Interní audit: Váš tým (nebo externí konzultant) provede první kontrolu. Odhalí zbývající nesoulady. Trvá 1–2 týdny.

4. Auditní posouzení certifikačním orgánem: Formální audit (stage 1: dokumentace, stage 2: implementace). Po úspěchu získáte certifikát na 3 roky.

5. Registrace u NÚKIB: Paralelně s certifikací zahajte registraci NIS2 a pokryjte čtyři zmíněné mezery (hlášení, smlouvy, kooperace).

Proč je ISO 27001 strategickou investicí pro vaši firmu?

ISO 27001 není jen checkbox pro NIS2 – je to konkurenční výhoda:

  • Snížení rizika pokut: NIS2 penalizuje až 10 milionů Kč. ISO 27001 prokazuje vašemu dozorčímu orgánu úsilí v oblasti bezpečnosti.
  • Získání podnikatelských příležitostí: Velké nadnárodní korporace (zejména v EU) požadují ISO 27001 od svých dodavatelů. Certifikace otevírá dveře.
  • Nižší pojistné: Pojišťovny přiznávají slevi na kybernetické pojištění firmám s ISO 27001 (často 10–30 % úspory).
  • Lepší meziľudské vztahy a důvěra: Zaměstnanci vidí, že firma bezpečnost bere vážně. Snižuje se počet bezpečnostních incidentů z lidského faktoru.

Checklist: Vaše cesta k ISO 27001 & NIS2

Často kladené otázky: ISO 27001 a NIS2

Není to povinné, ale důrazně se doporučuje. NIS2 vyžaduje technická a organizační opatření, která ISO 27001 již standardizuje. Bez certifikace budete muset implementovat obdobné prvky na vlastní pěst, což je nákladnější a méně průhledné. ISO 27001 poskytuje formální důkaz compliance.

Přibližně 70 % požadavků článku 21 NIS2 (technické a organizační opatření). Zbývajících 30 % se týká incidentního hlášení s konkrétními lhůtami, registrací u autority, cross-border kooperace a smluv se subdodavateli. Všechna tato pole vyžadují paralelní řešení mimo ISO 27001.

Celý proces trvá typicky 3 až 6 měsíců. Posouzení mezer: 1–2 týdny, implementace: 2–4 měsíce, interní audit: 1–2 týdny, stage 1 a 2 externího auditního posouzení: 2–4 týdny. Skutečná doba závisí na aktuálním stavu vaší bezpečnosti a velikosti organizace.

Auditní náklady certifikačního orgánu se pohybují od 8 000 do 25 000 EUR dle velikosti firmy. Přidejte k tomu interní náklady na implementaci (consulting, školení, infrastrukturu), které mohou činit 10 000–50 000 EUR. Vrácení investice přichází skrz snížené pokuty, vyšší prodeje a nižší pojistné.

Certifikát platí 3 roky. Musíte provádět polní audity jednou ročně (surveillane audits) za účelem ověřit, že vaše ISMS funguje. Paralelně pokračujete v registraci a plnění NIS2 povinností u NÚKIB. Certifikát je třeba pravidelně obnovovat.

Ano, pokud nezajistíte zbývajících 30 % požadavků (hlášení incidentů, registraci, smlouvy). NÚKIB kontroluje compliance s NIS2 nezávisle na ISO 27001. Pokuta za porušení NIS2 je až 10 milionů Kč. ISO 27001 sám nechránit před pokutou, ale je základem, který usnadňuje zbývající požadavky.

Začněte cestu k ISO 27001 a NIS2 dnes

Kontaktujte certifikační orgány a požádejte o bezplatné posouzení mezer. Zjistěte, co vám chybí, a dostanete konkrétní plán na cestu k plné compliance.

Objednat konzultaci