Bezpečnost sítě podle NIS 2 podle článku 21 odst. 2 písm. e)
NIS 2 říká, že vaše sítě a informační systémy musí být bezpečné napříč pořízením, vývojem a údržbou. Článek 21 odst. 2 písm. e) je místo, kde tato povinnost žije, CIR (EU) 2024/2690 § 6.7 a § 6.8 rozepisují části specifické pro síť a § 30 odst. 2 bod 5 BSIG je německá transpozice.
Krátká verze
Článek 21 odst. 2 písm. e) je pátý na seznamu deseti povinností v oblasti kybernetické bezpečnosti podle NIS 2. Pokrývá celý životní cyklus sítí a informačních systémů: jak je nakupujete, jak je budujete a jak je udržujete v bezpečném provozu. CIR (EU) 2024/2690 § 6 to pak operacionalizuje napříč několika pododdíly. Části specifické pro síť jsou § 6.7 (bezpečnost sítě) a § 6.8 (segmentace sítě).
§ 6.7 se čte hůře z těch dvou. Dvanáct konkrétních úkonů, od dokumentace architektury sítě po hygienu DNS a zabezpečení e-mailu. § 6.8 je ten jednodušší: rozdělte svou síť do zón podle toho, co každá zóna potřebuje dělat, a držte produkční, testovací a administrátorský provoz odděleně.
Německo zakotvuje stejnou povinnost do národního práva skrze § 30 odst. 2 bod 5 BSIG. BSI ukazuje na IT-Grundschutz NET.1 (Netze und Kommunikation) a NET.3.2 (Firewall) jako na praktickou implementační cestu. Tato stránka prochází směrnici, CIR a německou vrstvu v tomto pořadí.
Článek 21 odst. 2 písm. e) směrnice NIS 2 (2022/2555)
Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně řešení a zveřejňování zranitelností.
Bod e) na seznamu článku 21 odst. 2. Pokrývá celý životní cyklus vašich sítí a IT systémů, ne jen běžící stav. CIR § 6 to pak rozdělí do více pododdílů. § 6.7 a § 6.8 jsou ty specifické pro síť.
CIR (EU) 2024/2690, příloha § 6.7 a § 6.8
§ 6.7 Bezpečnost sítě. Relevantní subjekty přijmou vhodná opatření k ochraně svých sítí a informačních systémů před kybernetickými hrozbami. § 6.8 Segmentace sítě. Relevantní subjekty segmentují své systémy […] do sítí nebo zón v souladu s výsledky posouzení rizik […]; rovněž oddělí své vlastní systémy a sítě od systémů a sítí třetích stran.
Protože jde o nařízení (nikoli směrnici), je to přímo závazné právo EU. § 6.7 uvádí dvanáct konkrétních úkonů, od zdokumentované architektury sítě po hygienu DNS a e-mailu. § 6.8 uvádí osm úkonů segmentace, včetně DMZ, oddělení administrátorských sítí a oddělení produkce od vývoje a testu.
§ 30 odst. 2 bod 5 BSIG (Německo)
Bezpečnostní opatření při pořizování, vývoji a údržbě systémů, komponent a procesů informačních technologií, včetně správy a zveřejňování zranitelností.
Německo kopíruje text EU téměř slovo od slova. BSI pak ukazuje na IT-Grundschutz NET.1 (Netze und Kommunikation) a NET.3.2 (Firewall) jako na uznávanou implementační cestu pro detail § 6.7 a § 6.8.
Zdokumentujte síť, řiďte vnitřní přístup
Veďte aktuální a přehledný diagram architektury vaší sítě. Definujte a uplatňujte opatření na ochranu interních domén před neoprávněným přístupem. Blokujte spojení a služby, které nejsou potřeba. Definujte samostatná opatření pro vzdálený přístup, včetně vzdáleného přístupu dodavatelů. Nedovolte, aby administrátorské systémy byly používány k čemukoli jinému. Vypněte nebo výslovně zakažte spojení a služby, které nepoužíváte.
Hygiena na úrovni zařízení, protokolů, DNS a e-mailu
Kde je to vhodné, omezte přístup pouze na schválená zařízení. Spojení dodavatelů povolte jen po žádosti o schválení a pouze na vymezené časové okno (například údržbu). Provozujte komunikaci mezi systémy přes důvěryhodné kanály, oddělené logicky, kryptograficky nebo fyzicky, s bezpečnou identifikací koncových bodů. Naplánujte a urychlete přechod na moderní protokoly síťové vrstvy. Zaveďte moderní interoperabilní e-mailové standardy, abyste uzavřeli zranitelnosti související s e-mailem. Uplatňujte osvědčené postupy bezpečnosti DNS a hygieny směrování pro příchozí i odchozí provoz.
Segmentujte podle rizika, oddělte produkci od testu a administrace
Segmentujte své systémy do sítí nebo zón pomocí výstupu posouzení rizik z § 2.1, ne jen podle pohodlnosti. Zvažte funkční, logické, fyzické a lokalitní vazby mezi důvěryhodnými systémy. Přidělte přístup k zóně podle bezpečnostních požadavků dané zóny. Umístěte systémy nezbytné pro provoz nebo bezpečnost do zabezpečených zón. Provozujte DMZ na komunikačních sítích. Omezte přístup k zónám a v rámci zón na to, co provoz potřebuje. Provozujte vyhrazenou administrátorskou síť pro systémy, oddělenou od provozní sítě. Držte kanály správy sítě oddělené od ostatního provozu. Držte produkční systémy pro živé služby oddělené od vývoje a testu, včetně jejich záloh.
Segmentujte podle rizika, ne podle pohodlnosti
CIR § 6.8.2 váže segmentaci zpět na § 2.1: posouzení rizik je to, co vám říká, které zóny potřebujete a jak přísné mají být hranice mezi nimi. Plochá síť s jedním firewallem není segmentace. Zóny založené na tom, co každá část podniku skutečně dělá, a na riziku, které nese, segmentací jsou. Pokud nedokážete ukázat na řádek posouzení rizik, který zónu ospravedlňuje, podle definice standardu segmentaci nemáte.
Zdokumentujte architekturu, udržujte ji aktuální
§ 6.7.2 písm. a) je první úkon na seznamu z nějakého důvodu. Vše ostatní v § 6.7 a § 6.8 závisí na zdokumentovaném a aktuálním diagramu sítě. Auditoři se dívají nejprve na diagram. Pokud neexistuje nebo je dva roky zastaralý, ověření každého dalšího opatření je obtížnější. Berte diagram jako živý dokument, ne jako jednorázový soubor ve Visiu.
BSI / § 30 odst. 2 bod 5 BSIG / IT-Grundschutz
BSI ukazuje na IT-Grundschutz NET.1 (Netze und Kommunikation) pro obecný návrh sítě a NET.3.2 (Firewall) pro opatření na perimetru a segmentaci. Oba Bausteine se mapují na úkony § 6.7 a § 6.8 téměř jeden ku jednomu. Pokud již provozujete síť konformní s Grundschutz, můžete existující dokumentaci použít jako důkazní základ.
Technické implementační pokyny ENISA
TIG od ENISA pokrývá čl. 21 odst. 2 písm. e) a pododdíly CIR § 6, včetně bezpečnosti sítě a segmentace. Mapuje požadavky na opatření ISO/IEC 27001:2022 (A.8.20 Bezpečnost sítě, A.8.21 Bezpečnost síťových služeb, A.8.22 Oddělení sítí) a na NIST CSF 2.0 PR.IR (Technology Infrastructure Resilience). Pokud již provozujete jeden z těchto rámců, můžete opatření znovu použít.
Národní transpoziční zákony
Ostatní členské státy transponují čl. 21 odst. 2 písm. e) do svých zákonů (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Podstata je shodná, protože detail CIR § 6 váže jmenované sektory přímo. Liší se to, se kterým úřadem mluvíte a které národní implementační pokyny čtete vedle CIR.
Máme firewall, takže jsme pokryti.
Firewall je dobrý. Není to celý § 6.7. § 6.7.2 písm. a) chce zdokumentovanou a aktuální architekturu sítě. § 6.7.2 písm. c) chce nepoužívaná spojení a služby ve výchozím stavu blokované. § 6.7.2 písm. f) chce nepoužívané služby výslovně zakázané nebo deaktivované. § 6.8 chce segmentaci podle rizika. Firewall bez těchto čtyř částí splňuje jeden řádek § 6.7, ne celý oddíl.
Produkce a test sedí na stejné síti, protože je to jednodušší.
§ 6.8.2 písm. h) je výslovný: produkční systémy pro živé služby musí být odděleny od vývoje a testu, včetně jejich záloh. Toto je jedna z nejtěžších mezer na dodatečné napravení a jedna z nejsnadnějších, kterou auditor odhalí. Sdílená podsíť pro produkci a test přezkum podle § 6.8 nepřežije.
Naši administrátoři se přihlašují do firewallu ze svých běžných pracovních stanic.
§ 6.8.2 písm. f) chce samostatnou administrátorskou síť pro systémy. § 6.8.2 písm. g) chce administrátorské kanály oddělené od ostatního síťového provozu. Přihlašování do firewallu z pracovní stanice, na které běží i e-mail a prohlížeč, porušuje obojí. Použijte vyhrazený jump host nebo pracovní stanici s privilegovaným přístupem, na samostatné správní VLAN.
Typická síť firmy z Mittelstandu se 60 až 250 lidmi už má firewall a často DMZ. Mezery v § 6.7 a § 6.8, které vidíme, jsou obvykle stejné tři: žádný zdokumentovaný diagram sítě, žádná vyhrazená administrátorská síť a produkce a test sedící na stejné podsíti. Každou z nich je levné jednou sepsat a bolestivé později dodatečně napravovat.
Pragmatické pořadí: nakreslete aktuální síť na jednu stránku, segmentujte podle toho, co každá zóna skutečně dělá (kancelář, server, DMZ, OT nebo produkce, administrace), sepište, která spojení jsou mezi zónami povolena a proč, a přesuňte administrátorský přístup do samostatné správní VLAN s jump hostem. To pokrývá § 6.7.2 písm. a), jádro segmentace z § 6.8 a oddělení administrátorské sítě v § 6.8.2 písm. f) a g). Zbytek je hygiena, která z toho plyne.
Modul PRO na platformě drží inventář architektury sítě, pravidla segmentace a registr administrátorské sítě. Zaznamenáte každou zónu, co dělá, k čemu se připojuje a který řádek posouzení rizik ji ospravedlňuje. Diagram a logika segmentace žijí na jednom místě, ne rozdělené mezi soubor ve Visiu a stránku v Confluence.
Změny sítě se zaznamenávají, jak nastávají, takže § 6.7.2 písm. a) zůstává živým dokumentem, ne snímkem. Auditní stopa zachycuje, kdo co a kdy změnil, což je důkaz, který auditor chce vidět, když se ptá, zda dokumentace odráží realitu.
- Směrnice (EU) 2022/2555 (NIS 2), článek 21 odst. 2 písm. e). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 6.7 a § 6.8. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), § 30 odst. 2 bod 5 ve znění zákona o implementaci NIS2 a posílení kybernetické bezpečnosti
- BSI IT-Grundschutz, Bausteine NET.1 (Netze und Kommunikation) a NET.3.2 (Firewall). bsi.bund.de/grundschutz
- Technické implementační pokyny ENISA pro CIR (EU) 2024/2690 (stav k květnu 2026)