NIS2 pre poskytovateľov

Commission Implementing Regulation (EU) 2024/2690: Vaša povinnosť ako MSP alebo poskytovania cloudu

Od 7. januára 2025 platí reglamentácia s 150+ špecifickými kontrolami. Ak ste MSP, poskytovatelia DNS, cloudu, CDN alebo trust services – musíte konať teraz.

Demovacia verzia Reglyze →

Čo je Implementing Regulation 2024/2690 a kto je v rozsahu?

Implementing Regulation 2024/2690 je špecifická implementačná smernica EÚ, ktorá konkretizuje požiadavky NIS2 pre presne definovaný okruh subjektov. Nejde o všeobecnú povinnosť – v rozsahu sú iba:

Poskytovatelia DNS a registratúry TLD
Poskytovatelia cloud computingu a dátových centier
CDN poskytovatelia
Managed Service Providers (MSP) a Managed Security Service Providers (MSSP)
Poskytovatelia online trhov a vyhľadavacích služieb
Sociálne siete a trust service poskytovatelia

Ak patrí vaša spoločnosť do niektorej z týchto kategórií a má viac ako 50 zamestnancov (alebo podľa turnover), ste povinní dodržiavať všetkých 150+ kontroly z tejto regulácie, nie len základných 10 opatrení článku 21 NIS2.

Prečo sú MSP a MSSP v center pozornosti?

Managed Service Providers sú kritické звено v reťazci kyberbezpečnosti. Vaši klienti na vás závisia pri správe ich IT infraštruktúry, údajov a bezpečnosti. Práve preto Implementing Regulation 2024/2690 zavádza prísne požiadavky na MSP:

Monitorovanie v reálnom čase – povinné logové záznamy a detekcia incidentov
Configuračný manažment – kontrola zmien a verziovania
Supply chain povinnosti – vaši klienti si budú vyžadovať osvedčenia a auditné správy
Bezpečnostní audit každé 3 roky – nezávislý certifikačný proces

Ak ste MSP a túto reguláciu nemáte na radaroch, ste výrazne pozadu. Regulácia je v platnosti od 7. januára 2025.

13 kontrolných rodín z Implementing Regulation 2024/2690

Regulácia požaduje, aby ste implementovali kontroly v 13 oblastiach. Tu je prehľad:

1. Governance a risk management – politiky, role, RACI matica
2. Asset management – inventár všetkých IT aktív
3. Personnel security – background checky, školenia zamestnancov
4. Access control – MFA, riadenie prístupu, segregácia dát
5. Cryptography – šifrovanie dat at rest a in transit
6. Physical and environmental security – prístup do dátových centier
7. Operations security – zálohovanie, disaster recovery, change management
8. Communications security – bezpečná komunikácia, VPN
9. System acquisition, development and maintenance – bezpečný vývoj SW
10. Supplier relationships – audity subdodávateľov
11. Information security incident management – reporting, forensika
12. Continuity management – Business Continuity Plan, RTO/RPO
13. Compliance and audit – pravidelné audity, dokumentácia

Kľúčové rozdiely od štandardného NIS2

Implementing Regulation 2024/2690 je striktnejšia ako obecné NIS2 požiadavky (článok 21). Hlavné rozdiely:

Počet kontrol: Štandardný NIS2 = 10 opatrení. Regulácia 2024/2690 = 150+ konkrétnych kontrol
Monitorovanie: Povinné kontinuálne monitorovanie a logovánie všetkých bezpečnostných udalostí
Audit: Nezávislý certifikačný audit každé 3 roky (nie len samovyhodnotenie)
Detailnosť: Nie sú to princípy – sú to konkrétne technické a organizačné požiadavky
Supply chain: Musia ste splniť požiadavky nielen sami, ale aj vyžadovať ich od vašich subdodávateľov
Dokumentácia: Všetko musí byť zdokumentované a preukázateľné

Ako Reglyze pomáha MSP s 150+ kontrolami

Reglyze je špecializovaná ISMS platforma s špecifickou podporou pre NIS2 a Implementing Regulation 2024/2690. Ako pomáha MSP:

Automatické mapovanie kontrol: Systém mapuje všetkých 150+ kontrol na vašu infraštruktúru
Gap analýza: Identifikuje, ktoré kontroly už máte a ktoré vám chýbajú
Continuálne monitorovanie: Real-time logování a detekcia incidentov pre cloud a MSP prostredia
Audit trail: Všetky zmeny sú zdokumentované – pripravené na nezávislý certifikačný audit
Integracia s cloud providmi: Podporuje AWS, Azure, Google Cloud – extrahovanie logov bez dodatočného úsilia
Customizácia pre klientov: Ako MSP môžete sledovať compliance svojich klientov priamo v platforme

Okrem Reglyze môžete zvážiť aj Secfix alebo ISMS.online, no Reglyze má najlepšiu podporu práve pre MSP use case.

Ako začať s compliance: 4 kroky pre MSP

Krok 1 – Gap Assessment (týždeň 1–2)
Zistite, ktoré z 150+ kontrol už máte. Použite Reglyze na automatizované mapovanie alebo si objednajte externý audit.

Krok 2 – Control Mapping (týždeň 3–4)
Ku každej chýbajúcej kontrole pridelite zodpovedného člena tímu, deadline a zdroje. Vytvoriť roadmap na nasledujúcich 6 mesiacov.

Krok 3 – Implementácia (mesiac 2–6)
Postupne implementujte kontroly. Začnite kritickými (access control, encryption, monitoring) a pokračujte organizačnými (politiky, školenia).

Krok 4 – Certifikácia (mesiac 6–8)
Objednajte si tretiu stranu na externý audit. Reglyze vám pomôže pripraviť všetku dokumentáciu a audit trail pre certifikáciu.

Čo si budú vaši klienti vyžadovať: Supply Chain Clause

Implementing Regulation 2024/2690 zavádza supply chain povinnosti. Vaši klienti (zvlášť ak sú sami v rozsahu NIS2) budú od vás vyžadovať:

Certifikát o compliance – nezávislý audit alebo samovyhlásenie podľa ISO 27001
Audit správy – aspoň ročný externý audit s detailmi o kontrolách
Incident reporting SLA – Ak dôjde k bezpečnostnému incidentu, musíte ich informovať do 24–72 hodín
Right to audit – váš klient si budú chcieť vyžadovať právo na kontrolné audity u vás
Povinné technické opatrenia – šifrovanie, MFA, segregácia dát

Bez compliance s Implementing Regulation 2024/2690 budú vaši klienti hľadať iných MSP. To je vaša obchodná príležitosť aj hrozba.

Kontrolný zoznam – Ste pripravení na Implementing Regulation 2024/2690?

✓ Viete, či vaša spoločnosť patrí do rozsahu regulácie (DNS, cloud, MSP, CDN, trust services)?
✓ Máte vytvorenú úplnú inventúru IT aktív a systémov
✓ Implementovali ste MFA na všetky kritické systémy
✓ Máte policy na šifrovanie dát at rest a in transit
✓ Zavedbili ste kontinuálne monitorovanie a logování bezpečnostných udalostí
✓ Máte dokumentované všetky procesesy pre governance a risk management
✓ Máte vzorec incident response s SLA pod 24 hodín
✓ Máte vzor na audit subdodávateľov (supply chain management)
✓ Máte Business Continuity Plan s jasným RTO a RPO
✓ Naplánovali ste si nezávislý auditu na nasledujúcich 12 mesiacov

Často kladené otázky o Implementing Regulation 2024/2690

Nie. Táto regulácia platí iba pre konkrétne subjekty: MSP, poskytovateľov cloud, DNS, CDN, trust services, online trhy a sociálne siete. Ak nespúšťate žiadnu z týchto služieb, platia vám len základné NIS2 požiadavky (článok 21). Skontrolujte si, či ste v rozsahu.

Regulácia platí od 7. januára 2025. Ak ste v rozsahu a nemáte compliance, ste už late. Odporučujeme spustiť gap assessment ihneď a naplánovať si 6–8 mesiacov na implementáciu 150+ kontrol.

Záleží od veľkosti vašej infraštruktúry. Malý MSP (50–100 zamestnancov) zvyčajne investuje 20 000–50 000 EUR na interných zdrojoch a nástrojoch. Väčšia firma s komplexnou infraštruktúrou môže investovať 100 000+ EUR. Reglyze vám pomôže optimalizovať náklady automatizáciou.

Áno. Ak sú vaši klienti sami v NIS2, budú od vás vyžadovať dôkaz o compliance a audité správy. Môžete to použiť ako competitive advantage – certificovaní MSP budú mať lepšie kontrakty a vyšší trust.

Odporúčame Reglyze kvôli špecifickej podpore pre MSP a cloud providers. Ďalšie možnosti: Secfix, ISMS.online. Všetky by mali ponúkať mapping kontrol, audit trail a integráciu s cloud providermi. Skúste demo pred rozhodnutím.

Spustite compliance s Reglyze

Reglyze vám pomôže zmapovať všetkých 150+ kontrol, identifikovať medzery a pripraviť sa na certifikačný audit. Ako MSP máte jedinečnú príležitosť – compliance sa stane vašou predajnou výhodou.

Požiadať o demo Reglyze