Školení vedení podle NIS 2 podle čl. 20 odst. 2
NIS 2 říká, že samo vedení musí být proškoleno v oblasti kybernetické bezpečnosti. Ne CISO. Ne vedoucí IT. Představenstvo, jednatelé, lidé, kteří schvalují opatření k řízení rizik podle čl. 20 odst. 1.
Krátká verze
Čl. 20 NIS 2 je článek o správě a řízení. Odstavec 1 říká, že vedení musí schválit opatření k řízení rizik, dohlížet na jejich provádění a může nést osobní odpovědnost, pokud to neudělá. Odstavec 2 přidává část o školení: samo vedení absolvuje školení a subjekt nabízí pravidelné školení všem zaměstnancům.
Školení nelze delegovat. Směrnice výslovně jmenuje vedení. Vyslání CISO na kurz tuto povinnost nesplní. Lidé, kteří schvalují opatření podle čl. 21, potřebují dostatek znalostí, aby rozuměli tomu, co podepisují.
Německo vkládá toto pravidlo do národního práva prostřednictvím §38 odst. 3 BSIG. Znění zrcadlí směrnici. Tato stránka prochází čl. 20 odst. 2, praktickou povinnost a německou transpozici v tomto pořadí.
Čl. 20 odst. 2 směrnice NIS 2 (2022/2555)
Member States shall ensure that the members of the management bodies of essential and important entities are required to follow training, and shall require essential and important entities to offer similar training to their employees on a regular basis, in order that they gain sufficient knowledge and skills to enable them to identify risks and assess cybersecurity risk-management practices and their impact on the services provided by the entity.
Toto je zdrojové pravidlo. Jmenovitě uvádí vedení a obsah školení váže na identifikaci rizik, hodnocení rizik, postupy řízení kybernetické bezpečnosti a dopad na služby subjektu. Vytváří také povinnost školení zaměstnanců pro klíčové a důležité subjekty.
Prováděcí nařízení Komise (EU) 2024/2690
The CIR sets technical and methodological requirements for the measures in Article 21(2). It does not cover Article 20.
Na rozdíl od čl. 21 nemá čl. 20 žádné prováděcí nařízení. Standardem je text směrnice. Praktické podrobnosti doplňují národní orgány a ENISA; není zde žádná sekce CIR, na kterou by bylo možné odkázat.
§38 odst. 3 BSIG (Německo)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
§38 BSIG je součástí zákona o provedení NIS2 (NIS2UmsuCG) a je účinný od roku 2026. Je to německá operativní kotva pro osobní povinnost školení. §38 odst. 1 a 2 BSIG přidávají povinnost schvalování a část o osobní odpovědnosti. Registrace podle §33 BSIG měla být provedena do 6. března 2026.
Samo vedení absolvuje školení
Členové vedení musí být proškoleni. Osobně. Směrnice používá množné číslo ('members'), takže v rozsahu je každý jednatel, každý člen představenstva s provozní odpovědností. Právním minimem je doklad o zápisu a dokončení. Platforma ukládá obojí.
Subjekt nabízí školení všem zaměstnancům
Subjekt musí pravidelně nabízet školení svým zaměstnancům. 'Pravidelně' není definováno; roční je provozní normou podle Grundschutz ORP.3. Osvěta pro každého, školení specifické pro roli pro pracovníky IT. Povinnost se vztahuje na celou pracovní sílu, nejen na technický tým.
Obsah pokrývá rizika plus postupy řízení plus dopad na služby
Směrnice jmenuje čtyři obsahové bloky: identifikovat rizika, hodnotit rizika, rozumět postupům řízení kybernetické bezpečnosti, rozumět dopadu na služby, které subjekt poskytuje. Obecná phishingová simulace nepokrývá všechny čtyři. Kurz na manažerské úrovni ano.
Osobní povinnost vedení (čl. 20 odst. 1 a čl. 20 odst. 2)
Vedení nemůže tuto povinnost delegovat na CISO, vedoucího IT ani pověřence pro ochranu osobních údajů. Čl. 20 odst. 1 váže povinnost schvalování na vedení. Čl. 20 odst. 2 váže povinnost školení na tytéž osoby. Tyto dvě věci jdou záměrně dohromady. Důvod: pokud schvalujete opatření k řízení rizik, musíte rozumět tomu, co podepisujete.
Proporcionalita se uplatňuje prostřednictvím čl. 21 odst. 1
Čl. 21 odst. 1 říká, že opatření kybernetické bezpečnosti musí být 'přiměřená vzniklému riziku', s ohledem na velikost, expozici, pravděpodobnost, závažnost, stav techniky a náklady. Požadavek na školení se čte stejnou optikou. Stadtwerk s 60 zaměstnanci potřebuje seriózní, zdokumentované školení; nepotřebuje několikatýdenní program pro vedoucí pracovníky. Co směrnice neumožňuje, je žádné školení.
BSI / §38 odst. 3 BSIG
Německo téměř doslovně kopíruje znění směrnice v §38 odst. 3 BSIG. BSI Handreichung k §38 (duben 2026) je pouze nezávazný výzkumný podklad, nikoli učební plán. BSI neprovozuje akreditační schéma pro školení podle čl. 20. Právním minimem je doklad o zápisu a dokončení.
Technické prováděcí pokyny ENISA
TIG od ENISA pokrývá opatření podle čl. 21. Čl. 20 stojí mimo rozsah TIG, protože zde není žádné CIR, které by bylo třeba provést. ENISA sice cituje čl. 20 ve svých širších materiálech k NIS 2, ale formální kritéria pro školení nevydala.
Národní transpoziční zákony
Každý členský stát transponoval čl. 20 odst. 2 (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Stejná povinnost, stejné obsahové bloky. Odlišné kanály pro hlášení a odlišné dozorové orgány. Žádný z nich rovněž neprovozuje akreditační orgán pro školení podle čl. 20.
Tohle jsme delegovali na našeho CISO.
To nejde. Čl. 20 odst. 2 výslovně jmenuje 'the members of the management bodies'. Vyslání CISO na kurz tuto povinnost nesplní. CISO může program vést, vybrat poskytovatele, vytvořit obsah. Školení, které směrnice vyžaduje, je pro lidi, kteří schvalují podle čl. 20 odst. 1.
Spustili jsme modul osvěty o bezpečnosti, takže vedení je pokryto.
Uživatelská osvěta není školení vedení. Čl. 20 odst. 2 uvádí čtyři obsahové bloky: identifikovat rizika, hodnotit rizika, rozumět postupům řízení kybernetické bezpečnosti, rozumět dopadu na služby. 'Neklikejte na phishingové odkazy' na tomto seznamu není. Vedení potřebuje školení v postupech řízení, nikoli v chování uživatelů.
Naše pojištění D&O kryje osobní odpovědnost, takže školení je nepovinné.
Nekryje. §38 odst. 2 BSIG zakládá osobní odpovědnost za porušení povinností vedení podle §38. Pojištění je něco, co přidáte navrch. Neodstraňuje základní povinnost a samotné školení je to, co snižuje základní riziko porušení. Vynechání školení odpovědnost zvyšuje, nesnižuje ji.
Pro školení podle čl. 20 neexistuje žádný akreditační orgán. Není vyžadováno žádné schéma DAkkS, žádná značka TÜV, žádná certifikace Big Four. Čl. 20 odst. 2 jmenuje zápis a dokončení. To je právní minimum. Cokoli nad rámec toho je nepovinné a řízené rizikem, nikoli zákonem.
Co funguje v německém Mittelstandu: strukturovaný kurz pokrývající čtyři obsahové bloky (identifikace rizik, hodnocení rizik, postupy řízení, dopad na služby), zápis zaznamenaný jmenovitě u každého člena vedení, doklad o dokončení uložený s auditní stopou, obnovování v pravidelném rytmu. To obstojí podle čl. 20 odst. 2. Odpovídá to také §38 odst. 3 BSIG a samotnému pojetí BSI v Handreichung k §38.
Kurz pro CEO jsme postavili přesně k tomuto účelu. Kurz pokrývá čtyři obsahové bloky, které jmenuje čl. 20 odst. 2: identifikace rizik, hodnocení rizik, postupy řízení kybernetické bezpečnosti a dopad na služby, které subjekt poskytuje. Každá lekce je krátká. Kurz je vytvořen pro jednatele, nikoli pro bezpečnostní inženýry.
Platforma zaznamenává zápis jmenovitě u každého člena vedení, zachycuje doklad o dokončení a ukládá obojí do auditní stopy. Tentýž záznam splňuje očekávání dokumentace podle §38 odst. 3 BSIG. Kurz je zdarma a stejně tak i platforma pod ním.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 20, eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zákon o BSI (BSIG), §38 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17. dubna 2026 (nezávazné)
- Materiály ENISA k NIS 2 o odpovědnostech vedení, enisa.europa.eu
- IT-Grundschutz ORP.3 (Osvěta a školení)