Evropská směrnice NIS2 zásadně mění pohled na kybernetickou bezpečnost – a tentokrát se nevyhne ani menším organizacím. Zatímco první verze NIS se týkala především kritické infrastruktury, nová regulace rozšiřuje okruh povinných subjektů o široké spektrum podniků a služeb, které jsou pro společnost významné. To znamená, že se nová pravidla dotknou například poskytovatelů IT služeb, výrobců, zdravotnických zařízení nebo vzdělávacích institucí.

NIS2 navíc přináší novou úroveň odpovědnosti. Členové vedení firem – tedy představenstvo, jednatelé či ředitelé – budou nést osobní odpovědnost za zavedení a řízení bezpečnostních opatření. Už nestačí delegovat bezpečnost na IT oddělení. Board musí prokázat, že rozumí rizikům, schvaluje adekvátní rozpočet a dohlíží na plnění povinností. Za neplnění hrozí vysoké finanční sankce i reputační škody.

NIS2 tak mění způsob, jakým firmy přemýšlejí o řízení rizik a governance. Kybernetická bezpečnost se stává součástí strategického řízení, nikoli technickým detailem. Organizace, které se začnou připravovat včas – investují do procesů, školení a řízení odpovědnosti – získají nejen regulatorní klid, ale i důvěru svých zákazníků a partnerů. Proto je dobré se ptát: je vaše představenstvo připraveno nést osobní odpovědnost?