NIS2 pro poskytovatele internetu a telekomunikace

Publikováno: 13. 2. 2026 | Autor: Ing. Vít Vomáčko | NIS2OK.cz

Poskytovatelé internetových služeb (ISP) a telekomunikační operátoři patří mezi subjekty, na které zákon č. 264/2025 Sb. hledí s nejvyšší přísností. Digitální infrastruktura je zařazena do Annexu I jako vysoce kritický sektor — a to bez ohledu na velikost poskytovatele. Menší regionální ISP s desítkami tisíc přípojek se může ocitnout ve stejné regulatorní kategorii jako velký operátor.

Proč? Protože internet funguje jako propojena síť závislostí. Výpadek nebo kompromitace jednoho páteřního uzlu, DNS resolveru nebo BGP routeru může kaskádově ovlivnit tisíce dalších subjektů — nemocnice, průmyslové řídicí systémy, bankovní infrastrukturu. Regulátor si je tohoto rizika dobře vědom.

Kdo z ISP/telco sektoru povinně spadá pod NIS2?

V kategorii digitální infrastruktury zákon zahrnuje mimo jiné:

• ✓Poskytovatele přístupu k internetu — fixní i mobilní operátoři, ISP zajišťující připojení koncovým zákazníkům i tranzitní operátoři
• ✓Poskytovatele DNS služeb — provozovatelé autoritativních i rekurzivních DNS resolverů dostupných třetím stranám
• ✓Registry TLD a registrátory domén
• ✓Provozovatele IXP (Internet Exchange Points)
• ✓Provozovatele datových center poskytujících kolokaci nebo cloud infrastrukturu
• ✓Poskytovatele cloudových výpočetních služeb (IaaS, PaaS)
• ✓Veřejné elektronické komunikační sítě a služby dle zákona č. 127/2005 Sb. (zákon o elektronických komunikacích)

Pro kategorii digitální infrastruktury a elektronických komunikací neplatí velikostní výjimka pro malé podniky. Pokud provozujete veřejnou komunikační síť nebo DNS služby, zákon se vás týká bez ohledu na to, zda máte 10 nebo 10 000 zaměstnanců.

Specifické technické požadavky pro digitální infrastrukturu

Obecné požadavky NIS2 (řízení rizik, incident response, continuity planning) se vztahují na všechny sektory. Pro ISP a telco existují navíc specifická technická očekávání vyplývající z povahy jejich služeb:

DNSSEC — podpis DNS zón

NÚKIB doporučuje a v řadě případů fakticky vyžaduje implementaci DNSSEC u DNS infrastruktury. DNS cache poisoning a DNS hijacking patří k nejčastějším útokům na ISP infrastrukturu — DNSSEC je základní obranou. Pro poskytovatele, kteří spravují autoritativní DNS pro zákazníky, je aktivace DNSSEC pro spravované zóny součástí očekávaného zabezpečení.

BGP security — RPKI a Route Origin Validation

Bezpečnost BGP routingu je pro ISP kritická. Zákon 264/2025 Sb. navazuje na doporučení ENISA a NÚKIB, která zahrnují:

• •RPKI (Resource Public Key Infrastructure) — kryptografické ověřování autorizace BGP prefix-origin páru
• •ROV (Route Origin Validation) — aktivní odmítání neplatných BGP rout na základě RPKI
• •MANRS (Mutually Agreed Norms for Routing Security) — implementace doporučených bezpečnostních norem pro routování

BGP hijacking (únos prefixů) a route leaks jsou stále reálnou hrozbou — stačí připomenout kauzy velkých BGP incidentů posledních let. Regulátor to vnímá jako systémové riziko, které musí ISP adresovat.

Hlášení incidentů do NÚKIB — lhůty pro ISP

Pro zásadní subjekty v digitální infrastruktuře platí přísné lhůty hlášení:

Klíčovou otázkou je definice „závažného incidentu". Zákon pracuje s kritérii jako výrazné narušení dostupnosti nebo integrity sítě, dopad na velký počet uživatelů nebo na kritické zákazníky (nemocnice, energetika), nebo ekonomická škoda přesahující stanovenou hranici. ISP musí mít nastaven interní proces, který tyto situace včas identifikuje a spustí hlášení.

Ochrana před DDoS a síťovým monitoringem

ISP musí implementovat odpovídající opatření pro detekci a mitigaci útoků. To zahrnuje:

• •Monitorování síťového provozu s detekcí anomálií (NetFlow/sFlow analýza)
• •Kapacity pro DDoS mitigaci — vlastní nebo u specializovaného poskytovatele scrubbing center
• •Segmentace a izolace kritické infrastruktury od provozní sítě
• •Řízení přístupu k síťovým prvkům — vícefaktorová autentizace, privilegovaný přístup přes jump hosts
• •Logging a auditní záznamy síťových změn s dostatečnou retenční dobou

Dodavatelský řetězec — specifika pro ISP

NIS2 klade zvláštní důraz na bezpečnost dodavatelského řetězce. Pro ISP to znamená posoudit bezpečnostní rizika u:

• ✓Dodavatelů síťových prvků — routerů, switchů, optických systémů (bezpečnostní požadavky v tendrech, pravidelný patch management)
• ✓OSS/BSS systémů — provozních a zákaznických systémů, kde kompromitace může vést k úniku dat zákazníků nebo ovládnutí síťových prvků
• ✓Subdodavatelů servisních a instalačních prací — fyzický přístup k infrastruktuře je bezpečnostní riziko
• ✓Tranzitních partnerů a peeringových vztahů — bezpečnostní požadavky musí být součástí peeringových smluv

Praktické kroky pro ISP — kde začít?

Typická gap analýza u středního ISP odhalí tyto nejčastější mezery:

Automatizace NIS2 compliance pro ISP

Manuální správa compliance dokumentace, sledování incidentů a rizik je pro operativní tým ISP zátěž. Existují nástroje, které tento proces zautomatizují — od continuous monitoring s alertingem přes automatizované generování zpráv pro NÚKIB po integraci s ticketovými systémy pro sledování nápravných akcí. Pokud hledáte takové řešení, podívejte se na flylight.ai — platformu pro automatizaci bezpečnostního monitoringu.

Pro samotné řízení NIS2 agendy — dokumentaci, správu manažera KB, školení a audit trail — je určena platforma nis2manager.cz, navržená přímo pro české regulatorní prostředí.