Co 'přiměřenost' skutečně znamená v čl. 21(1) NIS 2
Jediné nejužitečnější slovo v NIS 2 je 'přiměřená'. Je to hranice mezi implementací, kterou šedesátičlenný Mittelstand uudrží, a nákladem na divadlo pro audit, který žádné Geschäftsführung neschválí.
Proč je přiměřenost nosné slovo
Většina týmů přistupuje k čl. 21 NIS 2 jako k seznamu deseti opatření kybernetické bezpečnosti. Směrnice to neříká. Říká, že subjekty musí přijmout opatření, která jsou vhodná a přiměřená, a čl. 21(1) uvádí šest faktorů, které rozhodují o tom, co přiměřenost ve vašem konkrétním případě znamená.
To je důležité ve dvou směrech. Nahoru: umožňuje to osmdesátičlennému Stadtwerk fungovat bez GRC sady pětitisícové banky. Dolů: nutí vás to napsat, proč je vaše úroveň dostatečná. Přiměřenost není úniková doložka, je to zdokumentovaná volba.
Čtenáři, kteří se s tím setkávají poprvé, to často přehlédnou, protože to slovo zní jako pojistka. Je to naopak. Přiměřenost je jediná právní kotva pro přizpůsobení NIS 2 rozpočtu Mittelstandu a je to jediná obrana proti auditorovi, který naznačuje, že jste měli udělat víc.
Čl. 21(1) NIS 2 (operativní)
Členské státy zajistí, aby zásadní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik, která ohrožují bezpečnost sítí a informačních systémů, jež tyto subjekty využívají pro svůj provoz nebo pro poskytování svých služeb, a k zamezení nebo minimalizaci dopadu incidentů na příjemce jejich služeb.
Tentýž odstavec uvádí šest faktorů, které rozhodují o přiměřenosti: míru vystavení subjektu rizikům, velikost subjektu, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského a ekonomického dopadu, stav techniky a náklady na zavedení. Všech šest jsou vstupy pro rozhodnutí, žádný z nich není volitelný.
Bod odůvodnění 79 NIS 2
Opatření k řízení rizik kybernetické bezpečnosti by měla odpovídat míře vystavení dotčeného subjektu rizikům a společenskému a ekonomickému dopadu, který by incident měl.
Bod odůvodnění 79 je interpretační rámec. Říká soudům a auditorům, že od malého subjektu s nízkou přeshraniční stopou se neočekává, že se vyrovná velkému celoevropskému provozovateli.
CIR 2024/2690, čl. 1
Toto nařízení stanoví technické a metodické požadavky na opatření uvedená v čl. 21 odst. 2 směrnice (EU) 2022/2555 s ohledem na subjekty uvedené v příloze.
Prováděcí nařízení kvantifikuje opatření pouze pro úzký okruh poskytovatelů digitální infrastruktury (DNS, TLD, cloud, datové centrum, CDN, MSP, MSSP, tržiště, vyhledávač, platforma sociálních sítí, služby vytvářející důvěru). Všichni ostatní uplatňují přiměřenost bez těchto kvantitativních prahových hodnot.
Míra vystavení rizikům
Jaký je skutečný povrch hrozby? Vodárenský podnik pouze se segmentem SCADA je v jiné pozici než nemocnice s lékařskými záznamy na otevřeném internetu.
Velikost subjektu
Počet zaměstnanců, obrat, dosah na trhu. Směrnice očekává odlišné kontroly od 60 zaměstnanců a 6000 zaměstnanců. Oba mohou být ve shodě.
Pravděpodobnost a závažnost incidentů
Historická míra incidentů, zájem aktérů hrozeb o odvětví, závažnost, pokud k tomu dojde. Farmaceutický výrobce čelí jiným šancím než logistický makléř.
Společenský a ekonomický dopad
Kdo je poškozen, když selžete. Provozovatel rozvodné sítě má vyšší hustotu dopadu na jedno selhání než společnost B2B SaaS. Tento faktor tlačí směrem k těžším opatřením i u malých subjektů.
Stav techniky
Jaký je technický základ, který by rozumný kolega nasadil. MFA v roce 2026 je stavem techniky pro administrátorský přístup; ukládání hesel pomocí SHA-1 nikoli.
Náklady na zavedení
Výslovně zdokumentováno v čl. 21(1). Opatření nesmíte vynechat proto, že je drahé, ale můžete zvolit méně nákladnou cestu, pokud dosáhne bezpečnostního cíle.
Stadtwerk, 80 zaměstnanců, distribuce energie
Odvětví přílohy I, spadá do rozsahu bez ohledu na velikost, pokud poskytuje zásadní služby. Přiměřená sada: MFA na administrátorský a OT přístup, segmentovaná OT síť, písemné smluvní doložky pro dodavatele, roční cvičení na incidenty, zdokumentovaný registr rizik. Žádné SOC, žádná SIEM jako služba. Obhajitelné, protože vystavení je dáno odvětvím, ale počet zaměstnanců je malý.
Nemocnice, 200 zaměstnanců, regionální klinika
Zdravotnické odvětví přílohy I. Přiměřená sada přidává: šifrování dat pacientů v klidu, audit dodavatelů pro klinické IT dodavatele, pohotovost 24/7 pro reakci na incidenty, formální zásady klasifikace incidentů. Těžší než Stadtwerk, protože společenský dopad je na jedno selhání vyšší a povrch hrozby je širší.
Písemná analýza přiměřenosti
Projděte šest faktorů, uveďte svou pozici u každého z nich, zdůvodněte, proč je výsledná hloubka opatření dostatečná. Pro šedesátičlenný subjekt stačí jedna stránka.
Záznam nákladů a přínosů u každého vynechaného kroku
Pokud srovnatelný subjekt dělá X a vy ne, zdokumentujte proč. Stand der Technik plus náklady jsou legitimní důvod. Mlčení není.
Roční přezkum
Rozhodnutí o přiměřenosti zastarávají. Krajina hrozeb se mění, vaše velikost se mění, praxe kolegů se posouvá. Svou pozici uveďte znovu alespoň jednou ročně.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21(1) a bod odůvodnění 79, www.eur-lex.europa.eu
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), čl. 1, www.eur-lex.europa.eu
- Zákon o spolkovém úřadu pro informační bezpečnost (BSIG), §30 (národní transpozice čl. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (červen 2025) k posouzení přiměřenosti
Tato stránka poskytuje strukturovaný návod na základě veřejně dostupných zdrojů (směrnice NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Nepředstavuje právní poradenství ve smyslu §2 RDG. Pro konkrétní případy se obraťte na advokáta s oprávněním. Stav k 2026-06-04.