Evropská agentura pro kybernetickou bezpečnost (ENISA) publikovala v červnu 2025 dokument „Technical Implementation Guidance on Cybersecurity Risk-Management Measures“. Tento technický návod doplňuje prováděcí nařízení Komise (EU) 2024/2690, které konkretizuje požadavky směrnice NIS2 (Directive (EU) 2022/2555) v oblasti kybernetického řízení rizik.
Hlavním účelem technického návodu je poskytnout praktickou podporu subjektům spadajícím do působnosti směrnice NIS2. Při zavádění a dokumentaci bezpečnostních opatření stanovených v článku 21(2) směrnice NIS2. Dokument je nezávazný, slouží jako interpretační a metodický rámec a reflektuje evropskou i mezinárodní praxi.
Návod může být přínosný nejen pro regulované subjekty, ale i pro další veřejné a soukromé organizace, které usilují o posílení své kybernetické odolnosti v souladu se standardy jako ISO/IEC 27001, ISO/IEC 27002, NIST CSF 2.0 nebo ETSI EN 319 401.
Dokument pokrývá 13 tematických oblastí technických a metodických požadavků. U každé oblasti ENISA poskytuje:
- doporučení a vodítka pro implementaci,
- příklady důkazů o splnění požadavku,
- tipy a poznámky k dobré praxi,
- mapování na mezinárodní standardy a národní rámce.
Oblasti zahrnují mimo jiné:
- politiku bezpečnosti sítí a informačních systémů,
- řízení rizik,
- incident handling a obnovu činností,
- bezpečnost dodavatelského řetězce,
- kontrolu přístupů, kryptografii,
- školení, fyzickou bezpečnost a personální opatření.
Nedílnou součástí je důraz na dokumentaci, pravidelné revize, odpovědnost vedení organizace a propojení na compliance monitoring i nezávislé přezkumy. Dle nařízení se požadavky týkají především:
- poskytovatelů služeb DNS a registrátorů domén nejvyšší úrovně,
- cloudových a datových služeb,
- poskytovatelů služeb obsahu, vyhledávačů a online tržišť,
- managed service providerů (MSP/MSSP),
- důvěryhodných služeb.
Subjekty by měly sledovat, pod kterou jurisdikci spadají a řídit se případnými národními metodickými pokyny příslušných dozorových orgánů. ENISA upozorňuje, že návod má dynamický charakter – bude pravidelně aktualizován s ohledem na vývoj norem, standardů a dobré praxe. Dokument také poskytuje odkazy na podpůrné materiály, včetně mapovací tabulky ve formátu Excel.
Nově vydaný návod od ENISA představuje klíčový podpůrný materiál pro organizace, které musí do října 2024 splnit požadavky NIS2 a přizpůsobit svá technická, organizační a dokumentační opatření nové evropské legislativě. Publikace posiluje srozumitelnost požadavků a umožňuje efektivní propojení s existujícími systémy řízení bezpečnosti.
Celý dokument je dostupný zde