Požadavky na ISMS

Přehled požadavků na Information Security Management System dle NIS2.

---

Co je ISMS?

ISMS (Information Security Management System) je systematický přístup k řízení informační bezpečnosti organizace. NIS2 vyžaduje implementaci ISMS pro všechny Essential a Important entities.

---

Struktura ISMS

---

NIS2 Specifické požadavky (Článek 21)

Povinná bezpečnostní opatření

#	Opatření	Popis	Priorita
1	Risk analysis & policies	Politiky pro analýzu rizik a bezpečnost IS	Critical
2	Incident handling	Prevence, detekce a reakce na incidenty	Critical
3	Business continuity	BCM, backup, disaster recovery, crisis mgmt	Critical
4	Supply chain security	Bezpečnost dodavatelského řetězce	High
5	Network security	Bezpečnost při pořizování a vývoji	High
6	Vulnerability handling	Zranitelnosti a jejich zveřejňování	High
7	Cybersecurity assessment	Hodnocení účinnosti opatření	High
8	Cybersecurity hygiene	Základní postupy a školení	High
9	Cryptography	Použití kryptografie a šifrování	High
10	HR security	Bezpečnost lidských zdrojů	Medium
11	Access control	Řízení přístupu	Critical
12	Asset management	Správa aktiv	Medium
13	MFA/Continuous auth	Vícefaktorová autentizace	Critical

---

Technical Controls

Povinné technické kontroly

Control	Požadavek	Standard	Status
Encryption at rest	AES-256 pro data	FIPS 140-2/3	Required
Encryption in transit	TLS 1.3 pro všechna API	RFC 8446	Required
Access Control	RBAC + MFA	NIST 800-63	Required
Logging & Monitoring	SIEM, 1 rok retention		Required
Backup	Regular, encrypted, tested	3-2-1 rule	Required
Patch Management	Critical <7d, High <30d		Required
Firewall	Network perimeter + internal		Required
Endpoint Protection	Antimalware, EDR		Required
IDS/IPS	Network intrusion detection		Recommended
DLP	Data Loss Prevention		Recommended

Encryption Standards

ENCRYPTION REQUIREMENTS

DATA AT REST

• Algorithm: AES-256
• Key management: HSM nebo cloud KMS
• Key rotation: Annually (doporučeno quarterly)
• Scope: Všechna citlivá data

DATA IN TRANSIT

• Protocol: TLS 1.3 (minimum TLS 1.2)
• Cipher suites: AEAD (AES-GCM, ChaCha20-Poly1305)
• Certificate: Valid, trusted CA
• HSTS: Enabled

KEY MANAGEMENT

• Storage: HSM, cloud KMS, nebo secure vault
• Access: Least privilege, MFA
• Rotation: Automated where possible
• Backup: Secure key escrow

---

Organizational Controls

HR Security

Fáze	Kontrola	Popis
Pre-employment	Background check	Dle pozice a přístupu
Onboarding	NDA	Non-disclosure agreement
	Security training	Základní bezpečnostní školení
	Policy acknowledgment	Potvrzení přečtení politik
	Access provisioning	Least privilege
During employment	Regular training	Min. ročně
	Phishing simulation	Min. čtvrtletně
	Access reviews	Min. čtvrtletně
Offboarding	Access revocation	Do 24h od ukončení
	Asset return	Zařízení, klíče, badges
	Exit interview	Security debrief

Training Requirements

Role	Školení	Frekvence
Všichni zaměstnanci	Security awareness	Ročně
Všichni zaměstnanci	Phishing awareness	Čtvrtletně
IT staff	Technical security	Pololetně
Developers	Secure coding	Pololetně
Management	Security governance	Ročně
CISO/Security team	Advanced certifications	Průběžně

---

Risk Management

Risk Assessment Process

Risk Matrix

Likelihood / Impact	Low	Medium	High	Critical
High	Medium	High	Critical	Critical
Medium	Low	Medium	High	Critical
Low	Low	Low	Medium	High
Very Low	Low	Low	Low	Medium

---

Business Continuity

BCM Components

Component	Popis	Požadavek
BIA	Business Impact Analysis	Identifikace kritických procesů
BCP	Business Continuity Plan	Plán kontinuity
DRP	Disaster Recovery Plan	Technické zotavení
IRP	Incident Response Plan	Reakce na incidenty
CMP	Crisis Management Plan	Krizový management

Recovery Objectives

Systém	RTO	RPO
Critical production	<4h	<1h
Web services	<2h	<1h
Email	<8h	<4h
Internal apps	<24h	<8h
Development	<48h	<24h

Testing Schedule

Test	Frekvence	Scope
Backup restoration	Měsíčně	Sample restore
Failover test	Čtvrtletně	DR site activation
Tabletop exercise	Pololetně	Scenario walkthrough
Full DR drill	Ročně	Complete failover

---

Vendor Security

Due Diligence Checklist

• Security questionnaire
• Certifikace (ISO 27001, SOC 2)
• Penetration test results
• DPA (Data Processing Agreement)
• NDA
• Insurance certificate
• Sub-processor list

Ongoing Monitoring

Aktivita	Frekvence
Security review	Ročně
Access audit	Čtvrtletně
Incident review	Při incidentu
Contract review	Při renewal

---

ISO 27001 Alignment

NIS2 požadavky jsou úzce propojeny s ISO 27001:

NIS2 Requirement	ISO 27001 Control
Risk analysis	A.6.1 Risk assessment
Incident handling	A.5.24-27
Business continuity	A.5.29-30
Supply chain	A.5.21-22
Vulnerability handling	A.8.8
Access control	A.5.15-18, A.8.2-5
Cryptography	A.8.24
HR security	A.6.1-6

Doporučení: Certifikace ISO 27001 významně usnadňuje NIS2 compliance.

---

Implementation Roadmap

---

Další kroky

1. ✅ ISMS požadavky pochopeny
2. → Compliance checklist
3. → Implementace podle roadmap
4. → ISO 27001 certifikace (doporučeno)

---

Upozornění

Tento obsah má informační charakter a nepředstavuje právní poradenství. Pro konkrétní situaci vaší organizace doporučujeme konzultaci s kvalifikovaným právníkem.

Co dál?

Potřebujete pomoc s implementací?

Nabízíme bezplatnou 15minutovou konzultaci. Bez závazku, bez prodejního tlaku.

Domluvit hovor (15 min) → Otestovat připravenost (5 min) →