Home NIS2 > Testování bezpečnosti
NIS2 Compliance & Testování

Penetrační testování dle NIS2: Právní povinnost a praktická implementace

Článek 21(2)(f) NIS2 vyžaduje roční penetrační testy kritických systémů. Většina středních podniků tuto povinnost přehlíží. Zjistěte, co přesně musíte dělat, jak na to a kolik to stojí.

Objednat penetrační test →

Co přesně vyžaduje NIS2 článek 21(2)(f)?

NIS2 článek 21(2)(f) zavádí povinnost pro operátory kritické infrastruktury a subjekty důležité pro ekonomiku implementovat politiky a postupy k posouzení účinnosti opatření řízení rizik kybernetické bezpečnosti. To znamená: povinné roční penetrační testy kritických systémů.

To není doporučení — je to právní požadavek. Bez dokumentace provedených pen testů nemůžete prokázat compliance auditorům. V případě incidentu může absentující penetrační test vést k pokutám až 10 milionů EUR nebo 2 % ročního obratu.

Požadavek se vztahuje na:

  • Operátory kritické infrastruktury (energetika, zdravotnictví, doprava, finanční sektor)
  • Subjekty důležité pro ekonomiku (digitální služby, internet exchange, cloudové služby)
  • Některé mikropodniky jsou vyjmuty, ale SME obvykle spadají pod NIS2

Co je penetrační test a co zahrnuje?

Penetrační test (pen test) je simulovaný kybernetický útok na vaší infrastrukturu, který provádí certifikovaní etičtí hackeři. Testují skutečné zranitelnosti předtím, než je mohou zneužít skutečné hrozby.

Typický rozsah pen testu pro SME:

  • Scope: webové aplikace, API, příslušné servery, přístupové body, interní sítě
  • Doba trvání: 5–20 dní práce v závislosti na velikosti (obvykle 3–4 týdny kalendárně)
  • Co testeři hledají: zranitelnosti dle OWASP Top 10, chyby autentizace, SQL injection, XSS, slabá šifrování, misconfiguraci
  • Výstupy: detailní report s CVSS skóre, popis každé zranitelnosti, proof-of-concept, doporučení na remedaci

Kvalitní pen test vychází z normy PTES (Penetration Testing Execution Standard) nebo NIST SP 800-115.

Rozdíl mezi penetračním testem a skenerem zranitelností

Obě jsou důležité, ale nejsou to stejné věci:

  • Skenery zranitelností: automatické nástroje (Qualys, Nessus) skenují váš systém a hledají známé zranitelnosti. Jsou rychlé (hodiny), laciné, ale generují spoustu falešně pozitivních výsledků.
  • Penetrační testy: zkušení etičtí hackeři ručně testují vaše systémy, skládají útoky dohromady a proniká hlouběji. Oveřují skutečný dopad, najedou praktickost exploitu, testují bezpečnostní procesy.

Pro NIS2 compliance potřebujete penetrační testy, ne jen automatické skenování. Regulátor expects evidence manuální testování vůči reálným scénářům.

Běžná strategie: skenery používejte kontinuálně (mezi ročními pen testy), ale ročně si objednejte profesionální penetrační test od nezávislého poskytovatele.

Jak vybrat penetrační test a poskytovatele?

Co měl mít kvalitní penetrační test v rozsahu:

  • Explicitní seznam testovaných systémů, portů, služeb, IP adres
  • Typ testu: blackbox (tester nezná infrastrukturu), whitebox (má přístup k dokumentaci), grey-box (smíšený přístup)
  • Explicitní data o omezeních: doba, zakázané techniky, vyloučené systémy
  • Jasný deliverable: detailní technická zpráva + executive summary
  • Remediation support: komunikace s vaším týmem během oprav zranitelností

Kde najít poskytovatele: Cobalt.io (crowdsourced pen testing, pevné ceny, 1-2 týdny), HackerOne, Synack, nebo místní firmy typu Pentest People. Zvolte poskytovatele s certifikacemi ISO 27001, CREST, CEH.

Nikdy si neobjednávejte od poskytovatele bez reference a pojištění.

Jak funguje Pentest as a Service (PaaS) — příklad Cobalt.io

Cobalt.io je moderní alternativa k tradičním pen testovacím firmám. Místo jednoho interního týmu používají crowdsourcovanou síť certifikovaných bezpečnostních výzkumníků.

Jak to funguje:

  1. Definujete scope a cíl testu online
  2. Cobalt zveřejní test své komunitě
  3. Jednotliví testeři hledají zranitelnosti paralelně (rychlejší než sekvenční test)
  4. Každý nález je ověřen quality assurance týmem Cobaltu
  5. Dostanete jednu konsolidovanou zprávu s všemi nalezenými zranitelnostmi

Výhody PaaS: pevné ceny (€3,000–8,000 pro SME), rychlejší (1–2 týdny), transparentnost, přímá komunikace s testerem. Vhodné pro: webové aplikace, API, mobilní aplikace. Méně vhodné pro: fyzickou infrastrukturu, on-premise datová centra.

Pro NIS2 compliance je Cobalt plně přijatelná volba, pokud scope pokrývá vaše kritické systémy.

Typické náklady a jak se naplánovat na rok

Rozpočet na penetrační test pro českou SME:

  • Malý scope (1 web aplikace, 1–2 servery): €3,000–5,000 — vhodné pro Cobalt.io
  • Střední scope (celá IT infrastruktura, cloud + on-premise): €7,000–12,000
  • Velký scope (infrastruktura + fyzická bezpečnost + procesy): €15,000+

Jak se naplánovat:

  1. Ledna/února: rozpočtujte si prostředky, uvažujte penetrační test jako povinný náklad (ne volitelný)
  2. Března/dubna: kontaktujte poskytovatele — poptávka je vysoká, sloty se obsazují měsíce dopředu
  3. Května–června: provedení testu (obvykle během nižší zátěže)
  4. Červenci–srpnu: remedace zranitelností, dokumentace
  5. Září: opětovné testování kritických nálezů
  6. Října–listopadu: dokumentace pro auditor a představenstvo

Kritické: Objednejte si test NYNÍ, i když počítáte s provedením za 4 týdny. Kvalitní testovací sloty se obsazují měsíce dopředu.

Co dělat s výsledky penetračního testu?

Penetrační test není konec — je to začátek procesu (compliance auditor toto očekává).

Proces remedace:

  1. Klasifikace nálezů: kritické (okamžitě), vysoké (do 30 dnů), střední (do 90 dnů), nízké (do 6 měsíců)
  2. Přiřazení vlastníků: kdo opravuje (dev team, IT admin, vendor)
  3. Oprava: implementace patchů, redesign, změna konfigurací
  4. Ověření: auditor vnitřně ověří opravu (ne stejný tester)
  5. Re-test kritických nálezů: původní tester ověří, že exploit již nefunguje
  6. Dokumentace: uložte si zprávu, lista nálezů, záznamy o opravách, re-test certificiru

Pro compliance: auditor NIS2 očekává, že si půl roku vedete seznam, kdo co opravil a kdy. Bez této dokumentace váš pen test compliance neprokáže.

Ideální: objednejte re-test 2–3 měsíce po prvním testu, aby testeři ověřili efektivnost vašich oprav.

Penetrační test — běžná agenda scope

Často kladené otázky o NIS2 penetračních testech

Pokud spadáte pod NIS2 (operátor kritické infrastruktury nebo subjekt důležité pro ekonomiku), ano. Některé mikropodniky jsou vyjmuty, ale SME obvykle pokrývá NIS2. Ověřte si u NUKIBu, zda spadáte pod NIS2. Pokud ano, penetrační test je právní povinnost, ne volba.

NIS2 nevyžaduje konkrétní rozsah, ale musíte testovat kritické systémy, které by mohly způsobit újmu zdraví, bezpečnosti, ekonomice či životnímu prostředí, pokud by selžely. To obvykle znamená: hlavní webové aplikace, API, autentizační systémy, datové úložiště. Konzultujte s auditoremMARTu, jaké systémy máte identifikovány jako kritické.

Pro NIS2 compliance ne. Regulátor očekává nezávislé testování od externího subjektu bez střetu zájmů. Interní testy jsou užitečné pro běžné monitorování, ale na prokázání compliance potřebujete certifikát od externí firmy (nebo Cobalt.io).

Typicky 4–8 týdnů od objednávky: 1–2 týdny administrativa, 2–3 týdny vlastní test (paralelně), 1–2 týdny zpracování zprávy. U PaaS řešení (Cobalt.io) to může být 3–4 týdny. Objednejte si test co nejdřív — poptávka je vysoká a sloty se obsazují měsíce dopředu.

To se nestává často, ale pokud k tomu dojde, měli byste mít plán incidentu. Kontaktujte poskytovatele testu a NUKIB pro okamžité podání incidentu. Penetrační test je právě pro to — aby se problémy našly dřív, než je budou exploitovat skutečné hrozby. Chraňuje vás.

Naplánujte si penetrační test na příští rok

NIS2 články 21(2)(f) vyžaduje roční penetrační testy. Poptávka je vysoká a testovací kapacity se obsazují měsíce dopředu. Objednejte si test pro rok 2025 nyní a zajistěte si compliance na rok.

Objednat penetrační test