Firmy, které se primárně věnují například logistice, výrobě, retailu nebo jiným sektorům, mohou být nepřímo regulovány, pokud jejich doplňkové aktivity zahrnují prvky klíčové infrastruktury.

Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí.

To znamená, že i organizace, které by jinak nespadaly pod tuto regulaci, mohou podléhat jejím požadavkům právě kvůli svým doplňkovým aktivitám. Pojďme se podívat na vybrané příklady činností, při jejichž provozování by měly firmy zpozornět:

1. Logistická firma s vlastními nabíjecími stanicemi pro elektromobily

Mohou podléhat NIS2?
Ano, pokud nabíjecí stanice slouží i externím uživatelům.

Proč?
Provozovatelé nabíjecí infrastruktury pro elektromobily spadají pod regulaci, pokud poskytují veřejnou službu nebo jsou součástí kritické energetické infrastruktury. Firma provozující interní nabíjecí síť pro vlastní flotilu regulaci nepodléhá. Pokud však umožňuje nabíjení externím uživatelům (např. partnerským dopravcům nebo široké veřejnosti), může být považována za regulovanou entitu.

2. Výrobní firma s fotovoltaikou na střeše a dodávkami přebytků do sítě

Mohou podléhat NIS2?
Ano, pokud dodávají elektřinu do sítě ve významném objemu.

Proč?
Směrnice NIS2 reguluje energetiku, včetně výrobců elektřiny. Pokud organizace využívá solární energii pouze pro vlastní spotřebu, nepodléhá regulaci. Pokud však dodává významné přebytky do distribuční sítě, může být považována za součást energetické infrastruktury a podléhat požadavkům NIS2.

3. Skladování nebo recyklace nebezpečného průmyslového odpadu

Mohou podléhat NIS2?
Ano, pokud nakládají s odpadem zásadního významu pro ochranu veřejného zdraví a životního prostředí.

Proč?
Směrnice NIS2 reguluje oblasti, jejichž narušení by mohlo způsobit vážné ekologické nebo zdravotní dopady. Firmy provozující zařízení pro skladování, zpracování či likvidaci nebezpečných odpadů mohou být regulovány, pokud jejich infrastruktura hraje klíčovou roli v ochraně životního prostředí

4. Provozování flotily firemních vozidel – např. pro rozvoz zdravotnického materiálu nebo potravin

Mohou podléhat NIS2?
Ano, pokud podporují kritickou dodavatelskou infrastrukturu.

Proč?
Logistické služby zajišťující distribuci klíčových komodit, jako jsou léky, zdravotnické vybavení či potraviny, mohou být považovány za kritickou infrastrukturu. Pokud organizace provozuje vlastní flotilu pro běžné účely, regulaci nepodléhá. Pokud však její vozidla zajišťují strategicky významné dodávky, může pod NIS2 spadat.

5. Vlastní čistírny odpadních vod u velkých průmyslových podniků

Mohou podléhat NIS2?
Ano, pokud jejich provoz je klíčový pro fungování širší infrastruktury.

Proč?
Sektor vodohospodářství patří mezi oblasti regulované směrnicí NIS2. Firmy s interními čistírnami regulaci nepodléhají, pokud zpracovávají pouze vlastní odpadní vody. Pokud však jejich čistírna zajišťuje čištění odpadních vod pro více subjektů nebo pokud její výpadek může mít zásadní environmentální dopad, mohou být zařazeny pod regulaci.

6. Správa vlastních rozvodných sítí pro průmyslové zóny nebo firemní kampusy

Mohou podléhat NIS2?
Ano, pokud provozují vnitropodnikovou energetickou síť zásobující více subjektů.

Proč?
Energetický sektor je klíčovým prvkem regulace NIS2. Pokud organizace spravuje rozvodnou síť pro průmyslovou oblast, firemní kampus či jiný rozsáhlý areál, může být považována za kritickou součást distribuční infrastruktury a spadat pod regulaci. Firmy, které čerpají elektřinu pouze pro vlastní provoz, se regulaci vyhnou, ale subjekty s interními distribučními sítěmi již mohou podléhat požadavkům na kybernetickou bezpečnost.

7. Provoz interní distribuční soustavy zemního plynu v průmyslových areálech

Mohou podléhat NIS2?
Ano, pokud zajišťují plyn pro více subjektů.

Proč?
Distribuce zemního plynu je součástí energetické infrastruktury pokryté NIS2. Pokud organizace spravuje interní plynovou síť, která zásobuje další podniky nebo nájemce v průmyslovém areálu, může být považována za regulovaný subjekt. Použití plynu výhradně pro vlastní výrobu obvykle regulaci nepodléhá.

8. Správa interních SOC center (Security Operations Center) – poskytování kyberbezpečnostních služeb jiným firmám

Mohou podléhat NIS2?
Ano, pokud poskytují kybernetickou bezpečnost jako službu.

Proč?
Směrnice NIS2 zahrnuje poskytovatele kritických digitálních služeb, včetně kyberbezpečnostních operací. Pokud firma spravuje vnitropodnikový SOC pouze pro sebe, regulaci nepodléhá. Pokud však poskytuje kyberbezpečnostní služby dalším organizacím, například v podobě externího monitoringu a reakce na incidenty, může být považována za regulovaný subjekt.

9. Poskytování cloudu nebo hostingových služeb jiným firmám (včetně interních IT oddělení nabízejících služby dalším entitám ve skupině)

Mohou podléhat NIS2?
Ano, pokud poskytují cloudové služby dalším subjektům.

Proč?
NIS2 reguluje poskytovatele digitálních služeb, včetně cloud computingu, hostingových center a datových úložišť. Pokud organizace spravuje interní cloud pouze pro vlastní potřeby, regulaci nepodléhá. Pokud však poskytuje cloudovou nebo hostingovou infrastrukturu jiným firmám či subjektům (např. pobočkám, partnerům, zákazníkům), může být považována za regulovaný subjekt.

10. Provoz soukromé telekomunikační infrastruktury (např. firemní optické sítě, vlastní 5G)

Mohou podléhat NIS2?
Ano, pokud poskytují telekomunikační služby dalším subjektům.

Proč?
Telekomunikační sektor je jedním z klíčových sektorů pokrytých směrnicí NIS2. Pokud organizace provozuje vlastní datovou nebo optickou síť a poskytuje její služby externím partnerům (např. nájemcům v průmyslovém areálu), může být považována za poskytovatele elektronických komunikací. Regulace se nevztahuje na organizace, které síť využívají výhradně interně.

11. Vývoj a distribuce průmyslového softwaru pro řízení provozu (např. SCADA, MES systémy, automatizace výrobních linek)

Mohou podléhat NIS2?
Ano, pokud dodávají software pro kritické infrastruktury.

Proč?
Vývojáři softwaru, který řídí kritické průmyslové operace, mohou spadat pod regulaci NIS2. Pokud jejich produkty podporují řízení elektráren, vodohospodářských zařízení, dopravních systémů nebo jiných regulovaných infrastruktur, mohou být považováni za klíčový dodavatelský článek. Firmy vyvíjející software pouze pro vlastní potřebu do regulace typicky nespadnou.

12. Provoz bezpečnostních služeb a fyzické ostrahy kritických objektů (např. letišť, datových center, vodáren, energetických podniků)

Mohou podléhat NIS2?
Ano, pokud chrání kritickou infrastrukturu.

Proč?
Ochrana kritických objektů (např. datová centra, energetické provozy, letiště) spadá pod požadavky na kybernetickou a fyzickou bezpečnost. Pokud bezpečnostní agentura zajišťuje ochranu těchto objektů, může být považována za strategického dodavatele a podléhat požadavkům NIS2.

13. Distribuce biologického materiálu – krevní deriváty, tkáně, transplantáty

Mohou podléhat NIS2?
Ano, pokud jejich služby jsou klíčové pro zdravotnickou infrastrukturu.

Proč?
Směrnice NIS2 pokrývá zdravotnické služby a související dodavatelské řetězce. Firmy, které distribuují biologický materiál, mohou být považovány za kritické subjekty, pokud jejich výpadek ohrozí dostupnost zdravotní péče.

14. Provoz interní dopravní infrastruktury v průmyslových zónách (např. železniční vlečky, terminály pro přepravu zboží)

Mohou podléhat NIS2?
Ano, pokud poskytují dopravní služby jiným subjektům.

Proč?
Dopravní sektor je regulován, pokud jeho infrastruktura slouží jako kritický uzel pro přepravu zboží nebo osob. Pokud organizace spravuje vlastní železniční vlečku či logistický terminál, který slouží externím zákazníkům nebo partnerům, může spadat pod regulaci. Interní dopravní infrastruktura, využívaná pouze pro vlastní potřebu, obvykle regulaci nepodléhá.

15. Skladování nebo distribuce farmaceutických látek a léčiv

Mohou podléhat NIS2?
Ano, pokud mají klíčovou roli v dodavatelském řetězci zdravotnictví.

Proč?
Farmaceutický sektor spadá pod NIS2, protože výpadky v dodávkách léčiv mohou mít zásadní dopad na veřejné zdraví. Pokud organizace distribuuje nebo skladuje léčiva v rámci kritického dodavatelského řetězce, může být považována za regulovaný subjekt.

Převzato z časopisu Komora. Autoři článku: Libor Šrám a Tomáš Kubíček, BDO