Co je ISMS a potřebuji ho pro NIS 2?
ISMS není kus softwaru. Je to způsob, jakým vaše organizace rozhoduje o svých bezpečnostních kontrolách, provozuje je a zlepšuje. NIS 2 to slovo nikdy nepoužije, ale čl. 21(2) vyžaduje přesně to, co ISMS dělá.
Proč to lidé chápou špatně
ISMS je jedno z nejvíce zneužívaných slov v konverzacích o NIS 2. Nejčastější záměnou je zacházet s ním jako s nástrojem ke koupi. Není to tak. ISMS je způsob, jakým organizace řídí informační bezpečnost: jak se rozhoduje o zásadách, jak se posuzují rizika, jak se vybírají kontroly, jak se řeší incidenty, jak se to vše přezkoumává.
NIS 2 sám nikdy nepoužívá pojem 'ISMS'. Směrnice mluví o 'zásadách', 'opatřeních', 'řízení rizik' a 'správě a řízení'. Čl. 21(2) uvádí deset požadavků, které dohromady popisují přesně to, co ISMS dělá. ISO 27001 nazývá tutéž věc 'systém řízení informační bezpečnosti'. IT-Grundschutz to nazývá 'Informationssicherheitsmanagementsystem'. Podstata je identická.
Praktická otázka není, zda máte ISMS, ale jakou má váhu. Šedesátičlenný Mittelstand fungující na jednostránkových zásadách plus malém registru rizik plus roční schůzce k přezkumu může NIS 2 splnit. Šestitisícová banka nemůže. Oba provozují ISMS; jeden je jen těžší než druhý.
Čl. 21(1) a 21(2) NIS 2
Členské státy zajistí, aby zásadní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik. Tato opatření zahrnují alespoň toto: zásady analýzy rizik a bezpečnosti informačních systémů; řešení incidentů; kontinuitu provozu; bezpečnost dodavatelského řetězce; bezpečnost při pořizování sítí a informačních systémů; zásady a postupy pro posouzení účinnosti opatření k řízení rizik kybernetické bezpečnosti; základní postupy kybernetické hygieny a školení; kryptografii; bezpečnost lidských zdrojů, zásady řízení přístupu a správu aktiv; používání vícefaktorového ověřování.
Čteno společně, deset bodů popisuje systém řízení. 'Zásady', 'postupy', 'posoudit účinnost', to jsou slovesa ISMS. NIS 2 nevyžaduje certifikaci ISO 27001, ale vyžaduje podstatu, kterou ISO 27001 pokrývá.
§30 BSIG (německá transpozice čl. 21)
Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Německá transpozice používá 'geeignete, verhältnismäßige und wirksame', vhodná, přiměřená a účinná. Účinná je slovo, které činí systém řízení nezbytným: účinnost můžete prokázat jen tehdy, pokud měříte a přezkoumáváte.
BSI IT-Grundschutz BSI 200-1, §3
Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.
Nejkratší právní definice ISMS v němčině. Je to soubor pravidel, která řídí, jak se informační bezpečnost řídí a dohlíží na ni. Není to nástroj, není to projekt, není to jednorázový audit. Je to způsob práce.
Definovaný rozsah
Které části organizace ISMS pokrývá, jaké jsou hranice, co je výslovně mimo. Bez rozsahu se každá konverzace rozplyne.
Zdokumentované zásady
Písemné zásady informační bezpečnosti podepsané řídicím orgánem. Pro malý subjekt stačí jedna stránka. Zavazují organizaci ke konkrétním zásadám a přidělují odpovědnost.
Rozhodnutí založená na riziku
Kontroly se vybírají, protože řeší identifikovaná rizika, nikoli protože se objevují na seznamu. Registr rizik je spojnicí od inventáře ke kontrole.
Pravidelný přezkum
Alespoň jednou ročně. Řídicí orgán se dívá na to, co fungovalo, co ne, co se změnilo v krajině hrozeb. Statický ISMS není ISMS, je to momentka.
Není softwarový nástroj
Nástroje ISMS podporují, nenahrazují ho. Přiměřený ISMS můžete provozovat v pořadači; nemůžete nahradit rozhodnutí o správě a řízení předplatným SaaS.
Není jednorázový projekt
Nastavení ISMS je projekt. Jeho provoz je průběžná práce. Roční přezkum je okamžik, který mění projektový výstup na systém.
Není totéž co audit
Audity testují, zda ISMS funguje. Netvoří ISMS. Audit bez podkladového systému řízení nemá co testovat.
Pokud je váš subjekt v rozsahu NIS 2, podstata ISMS je vyžadována bez ohledu na to, jak ji nazýváte. Bez zdokumentovaných zásad, rozhodnutí založených na riziku a cyklu přezkumu nemůžete prokázat, že opatření podle čl. 21(2) jsou 'vhodná, přiměřená a účinná', jak vyžaduje §30 BSIG.
Co vyžadováno není, je certifikace ISO 27001. Mnoho auditorů ji očekává, protože je to nejuznávanější důkaz, ale vlastnoručně vytvořený ISMS sladěný s IT-Grundschutz nebo odvětvovým standardem je stejně platný. Zvolte standard, který udržíte, nikoli ten, který vypadá nejtěžší na snímku.
1. Prohlášení o rozsahu
Které právní subjekty, které lokality, které služby jsou pokryty. Jeden odstavec podepsaný řídicím orgánem.
2. Zásady informační bezpečnosti
Pět až sedm zásad. Příklady: klasifikovat data podle citlivosti, omezit administrátorský přístup na jmenované osoby, školit veškerý personál každoročně, hlásit incidenty v dohodnutých lhůtách, přezkoumávat rizika každoročně.
3. Registr rizik
Jeden řádek na identifikované riziko. Popis, pravděpodobnost, dopad, rozhodnutí o ošetření, vlastník, datum přezkumu. Deset až dvacet řádků pro malý subjekt.
4. Harmonogram přezkumu
Dokument, který říká, že řídicí orgán přezkoumává ISMS jednou ročně, kdo se účastní, jaké důkazy se předkládají. Bez toho je ISMS jen dekorace.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21(1) a 21(2), www.eur-lex.europa.eu
- Zákon o spolkovém úřadu pro informační bezpečnost (BSIG), §30, www.gesetze-im-internet.de
- BSI IT-Grundschutz Standard BSI 200-1, §3 (definice ISMS), www.bsi.bund.de
- ISO/IEC 27001:2022 (mezinárodní standard ISMS, podle NIS 2 dobrovolný)
Tato stránka poskytuje strukturovaný návod na základě veřejně dostupných zdrojů (směrnice NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Nepředstavuje právní poradenství ve smyslu §2 RDG. Pro konkrétní případy se obraťte na advokáta s oprávněním. Stav k 2026-06-04.