10 povinných NIS2 politík — čo každá musí obsahovať

NIS2 článok 21 definuje desať oblastí, pre ktoré musí firma pripraviť formálnu politiku. ENISA implementation requirements (EÚ 2024/2690) detailne opisujú, čo každá musí obsahovať — a presne toto audítor kontroluje pri inšpekcii.

Tento článok prejde všetkých 10 politík s konkrétnymi atribútmi, ktoré musia obsahovať. Funguje ako checklist — skopírujte a používajte pri tvorbe ISMS.

Spoločné atribúty každej politiky

Nezávisle od obsahu, každá z 10 politík musí mať:

• Vlastník (role, nie osoba — CISO / IT director / DPO / HR head)
• Dátum schválenia (vrcholový management, board-level pri citlivých)
• Dátum poslednej revízie + plánovaná ďalšia revízia (zvyčajne ročne)
• Verziu (v1.0, v1.1 — tracked changes)
• Scope (jednoznačne pomenovaný — jednotka, systém, proces)
• Väzbu na ENISA IR 2024/2690 kapitolu
• Approval signature (digitálny podpis alebo board minute)

Bez týchto atribútov politika neexistuje pre audítora.

1. Risk management policy (Art. 21(2)(a))

ENISA IR Kap. 1 — Policy on information security.

Musí obsahovať:

• Risk methodology — ISO 27005, NIST SP 800-30, alebo interná.
• Risk appetite — kvantitatívny alebo kvalitatívny prah (napr. "Residual risk vyšší ako Medium musí schváliť CISO").
• Register rizík — aspoň ročná revízia, po každej zmene infraštruktúry.
• Risk treatment — avoid / mitigate / transfer / accept, s justification.
• Komunikácia rizík — kto eskaluje, komu, za akých podmienok.

2. Incident handling (Art. 21(2)(b))

ENISA IR Kap. 2 — Incident handling.

• Klasifikácia incidentov — low / medium / high / critical + kritériá.
• Significant incident threshold — kedy spustiť 24h early warning.
• Roles — first responder, incident commander, communicator.
• Notification playbook — NBÚ/NÚKIB, zákazníci, médiá (pri high).
• Post-mortem process — formálny lessons-learned max 30 dní po close.
• Integrácia s CSIRT — koho volať, ako odovzdať IOCs.

3. Business continuity / BCM (Art. 21(2)(c))

ENISA IR Kap. 3 — Business continuity, backup and crisis management.

• BIA — Business Impact Analysis pre každý critical process.
• RTO / RPO — recovery time objective / recovery point objective, s justification.
• Backup strategy — frequency, offsite copy, encryption, restore test cadence.
• Crisis management team — composition, activation trigger, kontakty.
• Cvičenie — ročný full exercise, quarterly tabletop.
• Tretie strany — ktoré služby sú súčasťou BCM (cloud, colocation).

4. Supply chain security (Art. 21(2)(d))

ENISA IR Kap. 5 — Supply chain security.

• Register kľúčových vendorov — s LEI, NACE, CIF flagom (pozri aj DORA Art. 28).
• Vendor onboarding checklist — security questionnaire + audit rights.
• Continuous monitoring — credit grade delta, sankcie, public contracts.
• Right to audit — zmluvné klauzule, minimum raz ročne u CIF.
• Concentration risk metric — % závislosti na top-1/3/5 vendorov.
• Exit strategy — dokumentovaná migrácia pre kritických vendorov.

5. Security in acquisition/development (Art. 21(2)(e))

ENISA IR Kap. 6 — Security in network and information systems acquisition, development and maintenance.

• Secure SDLC — OWASP Top 10, SSDF 1.1 reference.
• Threat modeling — pre každý nový systém (STRIDE, PASTA).
• Vulnerability management — scan cadence, patch SLA podľa kritickosti.
• Penetration testing — min. ročne alebo po významnej zmene.
• Secure configuration baseline — CIS Benchmarks, Microsoft Baselines.
• Code review — PR gate, SAST / DAST.

6. Effectiveness assessment (Art. 21(2)(f))

ENISA IR Kap. 7 — Policies and procedures to assess effectiveness of cybersecurity risk-management measures.

• KPIs a metriky — MTTR, MTTD, phishing click-through rate, patch SLA compliance.
• Internal audit — min. ročný audit plán.
• External audit — min. raz za 2 roky alebo podľa sektorovej regulácie.
• Management review — quarterly board review s dashboardom.
• Corrective actions log — tracked findings + deadlines.

7. Cryptography (Art. 21(2)(g))

ENISA IR Kap. 8 — Basic cyber hygiene practices and training + kryptografické prílohy.

• Key management — generation, storage, rotation, revocation.
• Encryption standards — minimálne AES-256, RSA-2048 / ECC-P256.
• TLS policy — TLS 1.2+ (optimálne 1.3), HSTS, forward secrecy.
• Data-at-rest encryption — DB, backup, offline média.
• Crypto-agility — post-quantum readiness plán.
• Používanie HSM / KMS — kde, pre aké kľúče.

8. Human resources security (Art. 21(2)(h))

ENISA IR Kap. 9 — Human resources security.

• Background checks — pred nástupom, úroveň podľa sensitivity role.
• Onboarding — security training v prvý deň + NDA.
• Access provisioning — least privilege, schválenie manažérom.
• Offboarding checklist — device return, access revoke < 2h.
• Role change — re-assessment prístupov.
• Awareness training — min. ročne, so skúškou.

9. Access control + asset management (Art. 21(2)(i))

ENISA IR Kap. 4 — Policy on access control + Kap. 10 — Asset management.

• IAM model — role-based, JIT pre citlivé operácie.
• MFA — všetky administratívne prístupy + email + VPN.
• Privileged access — dedikované admin účty, session recording pre PAM.
• Asset inventory — hardware, software, licences, cloud resources.
• Asset classification — public / internal / confidential / restricted.
• Bring-your-own-device — policy + MDM coverage.

10. Governance + MFA / communications (Art. 21(2)(j))

ENISA IR Kap. 11 — Use of multi-factor authentication, continuous authentication, secured voice/video/text communications, secured emergency communications.

• MFA mandate — kde je povinný, aké faktory akceptované (SMS len ako fallback).
• Secure comms — Signal / E2EE chat pre incident response.
• Emergency comms — out-of-band kanál keď korporátny email padne.
• Governance — board / steering committee pre cyber, minimum quarterly.
• Reporting up — risk report do board-level agenda.
• Budget approval — dedikovaný cyber budget, nie IT sub-line.

Common pitfalls pri audite

1. Politika bez procedúry — NIS2 chce nielen "čo", ale aj "ako". Procedúra je 3-úrovňová (high-level policy → playbook → work instruction).
2. Chýbajúci review dátum — dokument z 2022 bez plánovanej revízie → audítor poslal reálnu inšpekciu.
3. "Microsoft security defaults" namiesto politiky — nestačí odkazovať na default, musíte mať vlastný dokument s scope a approval.
4. Politika pre non-existujúci systém — šablóna zo ziel bez adjustov znamená "this company didn't read it".
5. Missing cross-references — incident policy má odkaz na "procedúru XYZ," ktorá neexistuje.

Ako to zvládnuť bez právnika

1. Začnite s template set — ENISA ho uvoľňuje v draft forme, ISO 27002 má nomenclatúru.
2. Customize scope — jediná dôležitá sekcia: "aplikuje sa na…".
3. Workshop s biznisom — 2 hodiny na každú politiku, výstup: schválený draft.
4. Audit-ready checklist — pred každým auditom over verziu, dátum revízie, signature.

NISMap 10 policies generator (Pro plán, Q3 2026) generuje všetky politiky z IČO + sektor, s vyplnenou scope tabuľkou a approval flow.

Spustiť NIS2 check → Výstupy DORA ICT register → GDPR × NIS2 prekryv →

Orientačný výklad. Pre záväzné znenie politík kontaktujte NBÚ (SR) alebo NÚKIB (ČR) a konzultujte s interným právnikom.