Mittelstand / MSP

Implementace NIS2 pro společnosti středního trhu

Praktický 12týdenní plán implementace pro německé společnosti s 50-250 zaměstnanci, bez potřeby bezpečnostního týmu.

Simon OrzelSimon Orzel·Laufend geprüft

Vztahuje se to na vás. Co teď?

Odhaduje se, že do rozsahu NIS2 v Německu spadá 29 500 společností. Pokud máte více než 50 zaměstnanců a působíte v některém z pokrytých odvětví (odpadové hospodářství, výroba potravin, zpracovatelský průmysl, energetika, doprava, zdravotnictví, digitální infrastruktura), jste téměř jistě jednou z nich. BSIG nabyl účinnosti 6. prosince 2025 a termín registrace u BSI byl 6. března 2026.

Zde je to, co vám většina konzultantů neřekne: pro společnost středního trhu se základní IT je shoda s NIS2 zvládnutelná. Není to šestiměsíční šestimístný projekt. Většina ze 49 požadavků BSIG je dokumentace psaná jednou: zásady, posouzení rizik, postupy. Jen hrstka vyžaduje průběžné provozní procesy. Zákon vyžaduje 'vhodná' opatření přiměřená vašemu riziku, nikoli bezpečnostní infrastrukturu společnosti z žebříčku Fortune 500.

Tento průvodce vám dává praktický plán: 12týdenní plán, role, které potřebujete (všechny na částečný úvazek, všechny stávající personál), běžné chyby, na které narážejí společnosti vaší velikosti, a prioritní pořadí pro zvládnutí 10 povinných opatření podle §30 BSIG. Žádná teorie, žádné strašení, jen kroky.

Pro koho je tento průvodce
Tento průvodce je napsán konkrétně pro německé společnosti středního trhu, které se s NIS2 setkávají poprvé.
  • Společnosti s 50-250 zaměstnanci v odvětvích NIS2
  • Omezený IT personál, možná 2-5 lidí, nikoli bezpečnostní tým
  • Žádné vyhrazené oddělení pro shodu ani zkušenost s GRC
  • První setkání s NIS2, BSIG nebo registrací u BSI

Plán implementace

Základ
Týdny 1-2
Vytvořte organizační základ: zaregistrujte se u BSI, přidělte odpovědnosti a informujte vedení o jeho osobní odpovědnosti podle §38 BSIG. Tato fáze je o zapojení správných lidí a vymezení rozsahu.
  • Registrace u BSI prostřednictvím Mein Unternehmenskonto + portál BSI
  • Jmenování vedoucího pro shodu (role na částečný úvazek, nikoli nový nábor)
  • Brífink vedení k povinnostem podle §38 BSIG a osobní odpovědnosti
  • Nastavení platformy pro shodu a pozvání členů týmu
  • Počáteční rozsah: určit, která kategorie subjektu se uplatní (zásadní nebo důležitý)
Posouzení rizik
Týdny 3-4
Sestavte inventář aktiv a proveďte počáteční posouzení rizik. To je základ, na kterém staví vše ostatní, opatření 1 podle §30(1) BSIG. Použijte metodiku analýzy rizik BSI-200-3: identifikujte aktiva, identifikujte hrozby, posuďte pravděpodobnost a dopad, rozhodněte o ošetření.
  • Sestavit inventář aktiv - seskupit shodná aktiva (např. '45 notebooků' = 1 záznam)
  • Identifikovat a kategorizovat dodavatele s přístupem k vašim systémům
  • Provést počáteční posouzení rizik: pravděpodobnost × dopad pro každé aktivum
  • Zdokumentovat rozhodnutí o ošetření rizik: přijmout, zmírnit, přenést, nebo se vyhnout
  • Namapovat rizika na opatření BSIG - které kontroly řeší která rizika
Kontroly a dokumentace
Týdny 5-8
Zdokumentujte své bezpečnostní kontroly a postupy. Toto je objemově největší fáze, ale většina požadavků jsou zásady psané jednou. Zaměřte se na dokumentaci toho, co už děláte (většina společností má neformální procesy), a na vyplnění skutečných mezer.
  • Napsat nebo přijmout bezpečnostní zásady (informační bezpečnost, řízení přístupu, reakce na incidenty)
  • Zdokumentovat používání kryptografie a přístup ke správě klíčů
  • Nastavit proces reakce na incidenty s kaskádou 24 h / 72 h / 1 měsíc
  • Přezkoumat řízení přístupu: nejnižší nezbytná oprávnění, postupy při nástupu a odchodu
  • Zdokumentovat postupy pro kontinuitu provozu a zálohování
  • Zavést nebo zdokumentovat MFA pro kritické systémy
Důkazy a připravenost na audit
Týdny 9-12
Uzavřete smyčku: schválení vedením, dokončení školení, sběr důkazů a první kontrola účinnosti. Tato fáze přeměňuje vaše zdokumentovaná opatření na auditovatelné důkazy o shodě.
  • Vedení formálně schválí všechna opatření kybernetické bezpečnosti (povinnost podle §38)
  • Dokončit povinné školení vedení v kybernetické bezpečnosti
  • Nahrát dokumenty s důkazy: snímky obrazovky, konfigurace, podpisy zásad
  • Provést první posouzení účinnosti - fungují kontroly skutečně?
  • Exportovat zprávu o shodě pro interní přezkum
Role, které potřebujete
Nemusíte nikoho přijímat. Jde o odpovědnosti na částečný úvazek přidělené stávajícímu personálu.

Vedoucí pro shodu (4-8 hodin týdně)

Řídí proces, vyplňuje formuláře požadavků, koordinuje s IT a vedením. Obvykle vedoucí IT, manažer kvality nebo vedoucí provozu.

Kontakt pro IT (2-4 hodiny týdně)

Poskytuje technické vstupy: podrobnosti o aktivech, architektura sítě, stav šifrování, řízení přístupu. Váš administrátor nebo vedoucí IT.

Sponzor z vedení (1-2 hodiny týdně)

Přezkoumává a schvaluje opatření, dokončuje školení, prokazuje dohled. Vyžadováno §38 BSIG, nelze delegovat.

Externí auditor (volitelně)

Pro provozovatele KRITIS: vyžadováno každé 3 roky. Pro zásadní a důležité subjekty: volitelné, ale doporučené pro první cyklus shody k ověření vaší práce.

Běžné chyby
Co vidíme společnosti dělat špatně, a jak se tomu vyhnout.

  • Čekání na 'konečný pokyn'

    Zákon je účinný od prosince 2025. CIR definuje technická opatření. Nepřichází žádný další pokyn, který by změnil to, co je třeba udělat. Začněte hned.

  • Nadměrné řešení problému

    Stočlenná společnost odpadového hospodářství nepotřebuje SOC ani SIEM. Přizpůsobte své kontroly svému skutečnému rizikovému profilu. BSIG vyžaduje 'vhodná' opatření, nikoli maximální opatření.

  • Pojetí jako IT projekt

    §38 BSIG z toho dělá odpovědnost vedení. Pokud jednatel není zapojen, jste již v rozporu. Naplánujte brífink vedení do týdne 1.

  • Ignorování bezpečnosti dodavatelského řetězce

    NIS2 výslovně vyžaduje posouzení kybernetické bezpečnosti vašich dodavatelů. To mnoho společností zaskočí. Začněte dokumentovat vztahy s dodavateli včas.

  • Papírová shoda bez skutečných opatření

    Psaní zásad, které nikdo nečte, se nepočítá. BSI může požadovat důkazy, že opatření jsou skutečně zavedena a účinná. Budujte skutečné procesy, nejen dokumenty.

Začněte svou implementaci ještě dnes
Platforma vás provede všemi 49 požadavky BSIG v pořadí, ve kterém by měly být implementovány, se strukturovanými formuláři, nahráváním důkazů a pracovními postupy pro schválení vedením, přesně to, co společnost středního trhu potřebuje, aby dosáhla shody bez najímání konzultanta.
Spusťte svůj proces shody s NIS2