NIS2 a e-mailová bezpečnost — co směrnice vyžaduje
Co je NIS2 a proč řeší e-maily
NIS2 (Network and Information Security Directive 2, EU 2022/2555) je směrnice Evropské unie, která zásadně rozšiřuje požadavky na kybernetickou bezpečnost. V České republice ji transponuje nový Zákon o kybernetické bezpečnosti (nZKB), účinný od 1. listopadu 2025.
E-mail je nejčastější vektor kybernetických útoků — phishing je podle zprávy ENISA Threat Landscape 2025 výchozím bodem přibližně 60 % úspěšných průniků do organizací. NIS2 proto klade důraz na opatření, která přímo souvisejí se zabezpečením e-mailové komunikace — kryptografii, autentizaci a řízení bezpečnostních incidentů.
Koho se NIS2 v Česku týká
Původní směrnice NIS se v ČR vztahovala přibližně na 450 subjektů. NIS2 rozšiřuje působnost na více než 6 000 organizací ve dvou kategoriích:
Základní subjekty (essential entities)
- Energetika, doprava, bankovnictví, zdravotnictví
- Vodní hospodářství, digitální infrastruktura
- Veřejná správa, vesmírný sektor
Důležité subjekty (important entities)
- Poštovní a kurýrní služby
- Odpadové hospodářství, chemický průmysl
- Výroba potravin, výrobci kritických produktů
- Poskytovatelé digitálních služeb (cloud, DNS, datová centra)
Kritérium je velikost (střední a velké podniky, tj. 50+ zaměstnanců nebo obrat nad 10 mil. EUR) a sektor činnosti. Některé subjekty spadají pod regulaci bez ohledu na velikost — např. poskytovatelé DNS služeb nebo registrátoři domén.
Každá organizace musí sama posoudit, zda spadá pod regulaci, a do 60 dnů se registrovat na Portálu NÚKIB. Na implementaci bezpečnostních opatření má 12 měsíců od potvrzení registrace ze strany NÚKIB.
Požadavky NIS2 relevantní pro e-mail
Článek 21 směrnice NIS2 definuje minimální bezpečnostní opatření. Několik z nich přímo souvisí se zabezpečením e-mailové komunikace:
Kryptografie a šifrování — článek 21(2)(h)
NIS2 vyžaduje zavedení politik a postupů pro používání kryptografie a šifrování. Pro e-mail to znamená:
- Šifrování přenosu pomocí TLS — odesílající i přijímající server musí podporovat šifrované STARTTLS spojení
- MTA-STS pro vynucení šifrovaného přenosu příchozích e-mailů a ochranu před downgrade útoky
- TLS-RPT pro monitoring úspěšnosti šifrovaných spojení
Podrobný postup nasazení najdete v článku MTA-STS a TLS-RPT — šifrování přenosu e-mailů.
Bezpečnost komunikačních systémů — článek 21(2)(j)
Směrnice vyžaduje zabezpečenou hlasovou, video a textovou komunikaci, včetně e-mailu. Prováděcí nařízení k NIS2 (EU 2024/2690) upřesňuje, že organizace musí:
- Používat vícefaktorovou autentizaci (MFA) na systémech přístupných z internetu, včetně e-mailu
- Zajistit autentizaci identity odesílatele
- Chránit komunikaci před neoprávněným přístupem a manipulací
E-mailová autentizace pomocí SPF, DKIM a DMARC je technický základ pro splnění těchto požadavků.
Řízení incidentů — článek 21(2)(b)
Organizace musí hlásit závažné kybernetické incidenty ve třech fázích: včasné varování do 24 hodin od zjištění, oznámení incidentu s prvotním posouzením do 72 hodin a závěrečná zpráva do jednoho měsíce. Spoofing vaší domény nebo úspěšný BEC útok jsou bezpečnostní incidenty, které vyžadují nahlášení. Bez DMARC reportingu se o takovém incidentu nemusíte vůbec dozvědět.
Bezpečnost dodavatelského řetězce — článek 21(2)(d)
NIS2 vyžaduje řízení rizik v dodavatelském řetězci. E-mailová autentizace je přímou součástí — pokud dodavatel odesílá e-maily z vaší domény (fakturační systém, CRM, marketingová platforma), jeho konfigurace ovlivňuje vaši bezpečnost.
Jak e-mailová autentizace pokrývá NIS2
Ačkoli NIS2 výslovně nezmiňuje SPF, DKIM nebo DMARC, nasazení těchto protokolů pokrývá několik požadavků směrnice současně:
| Požadavek NIS2 | Jak ho pokrývá e-mailová autentizace |
|---|---|
| Kryptografie a šifrování | DKIM podepisuje e-maily kryptografickým klíčem, TLS šifruje přenos |
| Bezpečnost komunikace | SPF, DKIM a DMARC ověřují identitu odesílatele |
| Řízení incidentů | DMARC reporty odhalují pokusy o spoofing a zneužití domény |
| Ochrana dodavatelského řetězce | DMARC vynucuje autentizaci i pro třetí strany odesílající za vaši doménu |
| Řízení rizik | Monitorování e-mailové autentizace je součást průběžného řízení kybernetických rizik |
Klíčový je přitom DMARC s politikou p=reject. Politika p=none pouze monitoruje — neposkytuje aktivní ochranu. Pro splnění požadavku na zabezpečení komunikace by organizace měly směřovat k p=reject, který zajistí odmítnutí neautentizovaných e-mailů. Postup nasazení popisuje článek Jak nastavit DMARC.
Požadavky NIS2 na e-mailovou autentizaci se do značné míry překrývají s požadavky Googlu a Yahoo na odesílatele — pokud je už splňujete, máte solidní základ.
Praktický postup pro splnění požadavků
1. Audit aktuálního stavu
Zkontrolujte zabezpečení své domény — analyzér ověří SPF, DKIM, DMARC i MTA-STS konfiguraci a identifikuje chybějící nebo nesprávné záznamy.
Alternativně v terminálu:
dig firma.cz TXT +short | grep spf
dig _dmarc.firma.cz TXT +short
dig selector._domainkey.firma.cz TXT +short
Pokud provozujete více domén, zkontrolujte každou z nich. NIS2 se vztahuje na celou organizaci, ne na jednu doménu.
2. Nasazení kompletní autentizace
Pokud nemáte kompletní e-mailovou autentizaci (SPF + DKIM + DMARC), nasaďte ji:
- SPF — autorizujte všechny servery, které odesílají e-maily za vaši doménu. Postup: Jak vytvořit SPF záznam.
- DKIM — aktivujte podepisování pro každou odesílací službu. Postup: Jak nastavit DKIM.
- DMARC — začněte s
p=nonea reporty směřujte do SPF Monitoru:
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com
3. Analýza a zpřísnění
Na základě DMARC reportů identifikujte všechny legitimní odesílatele a postupně zpřísněte politiku na p=quarantine a následně p=reject.
4. Šifrování přenosu
Nasaďte MTA-STS pro vynucení šifrovaného přenosu příchozích e-mailů. Aktivujte TLS-RPT pro monitoring.
5. Průběžný monitoring
NIS2 vyžaduje průběžné řízení rizik, ne jednorázové nastavení. DNS záznamy se mohou změnit, certifikáty vypršet, nová služba třetí strany může začít odesílat bez správné autentizace.
DMARC reporty poskytují průběžný přehled. SPF Monitor je automaticky zpracuje, vizualizuje a upozorní na anomálie — nemusíte ručně parsovat XML soubory.
Sankce za nedodržení
Nový Zákon o kybernetické bezpečnosti stanovuje pokuty podle závažnosti porušení:
| Kategorie subjektu | Maximální pokuta |
|---|---|
| Základní subjekty | 250 000 000 Kč nebo 2 % celosvětového ročního obratu (vyšší z hodnot) |
| Důležité subjekty | 175 000 000 Kč nebo 1,4 % celosvětového ročního obratu |
Kromě finančních sankcí hrozí i osobní odpovědnost vedení organizace. NIS2 výslovně stanovuje, že management nese odpovědnost za schválení a dohled nad implementací bezpečnostních opatření.
Časový harmonogram
| Termín | Událost |
|---|---|
| 1. listopadu 2025 | Účinnost nového Zákona o kybernetické bezpečnosti |
| Do 60 dnů od účinnosti | Povinná registrace regulovaných subjektů na Portálu NÚKIB |
| Do 12 měsíců od potvrzení registrace | Implementace bezpečnostních opatření |
Organizace, které dosud neřešily e-mailovou autentizaci, mají omezený čas. Nasazení SPF, DKIM a DMARC trvá typicky týdny (závisí na počtu odesílacích služeb), přechod na p=reject vyžaduje měsíce sběru dat a analýzy reportů.
Z doporučení na právní povinnost
NIS2 nepřináší pro e-mailovou bezpečnost nic revolučního — požadavky na autentizaci a šifrování existují v best practices už roky. Směrnice je ale mění z doporučení na právní povinnost s konkrétními sankcemi.
Kompletní e-mailová autentizace (SPF + DKIM + DMARC s p=reject) a šifrování přenosu (TLS + MTA-STS) pokrývají hned několik požadavků článku 21 NIS2. Jsou to technicky ověřená opatření s jasným postupem nasazení — a měla by být jedním z prvních kroků v rámci přípravy na compliance.
Zkontrolujte zabezpečení své domény a zjistěte, kde začít.
