Forenzní důkazy z kybernetických incidentů podle NIS2: Kompletní průvodce souladem 2026

NIS2 v roce 2026: proč právě teď stoupla sázka

Směrnice NIS2 ((EU) 2022/2555) vstoupila do fáze, do které dříve či později vstoupí každá směrnice o kybernetické bezpečnosti — fáze, kdy končí příprava a začíná vymáhání. Členské státy měly povinnost transponovat ji do národního práva do 17. října 2024. Většina tento termín nesplnila. K březnu 2026 však již 21 z 27 členských států EU dokončilo transpozici a Evropská komise strávila uplynulých dvanáct měsíců systematickým tlakem na zbývající opozdilce.

V květnu 2025 vydala Komise odůvodněná stanoviska devatenácti členským státům, které dosud nenahlásily plnou transpozici — včetně Německa, Francie, Španělska, Polska, Irska a Nizozemska. Odůvodněné stanovisko je posledním formálním krokem před tím, než Komise postoupí případ Soudnímu dvoru Evropské unie, kde se otevírají dveře k finančním sankcím. Vzkaz hlavním městům byl jednoznačný: dotáhněte to, nebo za to zaplatíte.

V průběhu konce roku 2025 a prvních měsíců roku 2026 tento tlak přinesl výsledky. Německo dokončilo svůj národní zákon NIS2 v prosinci 2025. Švédský Cyber Security Act vstoupil v účinnost v lednu 2026. Český zákon o kybernetické bezpečnosti se začal aplikovat od 1. listopadu 2025. Rakousko, Itálie, Portugalsko, Nizozemsko a další buď již vstoupily v účinnost, nebo jsou v závěrečné fázi tohoto procesu během roku 2026. Doba odkladu — implicitní porozumění, že nikdo nedostane pokutu, dokud transpozice ještě není dokončena — skončila.

Dne 20. ledna 2026 Komise rovněž navrhla cílené úpravy samotné NIS2 s cílem zjednodušit dodržování pro odhadovaných 28 700 subjektů. Tyto úpravy nezmírňují základní povinnosti; vyjasňují formulace a snižují papírovou zátěž. Jsou potvrzením toho, že NIS2 bude nyní vymáhána dlouhodobě a že rámec musí být použitelný ve velkém měřítku napříč odhadovanými 160 000 subjekty v působnosti v rámci Unie.

Pro organizace podléhající NIS2 to znamená jednu věc: provozní zkouška je tady. Politiky kybernetické bezpečnosti, které vypadají dobře na papíře, nyní musí obstát pod 24hodinovým limitem včasného varování. Rámce řízení rizik musí produkovat důkazy, které národní CSIRT přijme. Představenstva musí prokazovat aktivní dohled pod hrozbou osobní odpovědnosti. A mezi praktickými úzkými místy, která zaskočí i dobře připravené organizace, vyniká jedno: ve chvíli, kdy incident začne, důkazy začínají mizet a subjekt je musí zachytit dřív, než zmizí. Tento průvodce se zaměřuje právě na toto úzké místo — co uchovat, proč to právně záleží a jak to udělat způsobem, který obstojí před dozorem napříč EU.

Koho NIS2 pokrývá: základní a důležité subjekty

NIS2 klasifikuje organizace ve své působnosti do dvou kategorií — základní subjekty a důležité subjekty — na základě kritičnosti jejich sektoru a velikosti organizace. Obě kategorie musí implementovat stejných deset opatření řízení kybernetických rizik podle Článku 21 a musí dodržovat stejné povinnosti hlášení incidentů podle Článku 23. Rozdíl spočívá v dozorovém režimu uplatňovaném na každou kategorii a v maximálních sankcích, které lze uložit.

Základní subjekty (Příloha I, velké podniky)

Základní subjekty jsou organizace působící v sektorech vysoké kritičnosti (Příloha I), které se kvalifikují jako velké podniky — obvykle to znamená nejméně 250 zaměstnanců nebo roční obrat přesahující 50 milionů eur a bilanční sumu přesahující 43 milionů eur. Seznam pokrývá energetiku (elektřinu, plyn, ropu, dálkové teplo, vodík), dopravu (leteckou, železniční, vodní, silniční), bankovnictví, infrastruktury finančního trhu, zdravotnictví, pitnou vodu, odpadní vody, digitální infrastrukturu (DNS, TLD, IXP, datová centra, cloud, CDN, poskytovatelé služeb vytvářejících důvěru), řízení ICT služeb pro B2B, veřejnou správu na centrální a regionální úrovni a vesmír.

Důležité subjekty (Příloha II, středně velké podniky a pod prahem pro základní)

Důležité subjekty jsou organizace v jiných kritických sektorech (Příloha II) nebo v sektorech Přílohy I, které spadají pod prahovou hodnotu velikosti pro klasifikaci jako základní subjekt. Příloha II pokrývá poštovní a kurýrní služby, nakládání s odpady, výrobu a distribuci chemikálií, výrobu, zpracování a distribuci potravin, výrobu (zdravotnické prostředky, počítače a elektronika, elektrická zařízení, stroje, motorová vozidla, ostatní dopravní prostředky), digitální poskytovatele (online tržiště, internetové vyhledávače, platformy sociálních sítí) a výzkumné organizace.

Dozorový režim: Článek 32 versus Článek 33

Obě kategorie čelí různým dozorovým režimům. Základní subjekty podléhají Článku 32 — proaktivnímu ex-ante dozoru, který zahrnuje pravidelné inspekce na místě, kontroly mimo místo, žádosti o dokumentaci a bezpečnostní audity a penetrační testy nařízené dozorovým orgánem. Důležité subjekty spadají pod Článek 33 — ex-post dozor spouštěný pouze tehdy, mají-li orgány důkaz o nesouladu. Praktickým důsledkem je, že základní subjekty žijí s nepřetržitou regulační přítomností; důležité subjekty jednají s regulátorem především poté, co se něco pokazí.

Výjimky pro malé a mikropodniky a uvážení členských států

Organizace s méně než 50 zaměstnanci a ročním obratem nebo bilanční sumou 10 milionů eur nebo méně jsou obecně vyňaty z povinné působnosti. Členské státy si však zachovávají uvážení zahrnout menší subjekty do působnosti tam, kde je subjekt jediným poskytovatelem služby v regionu, kde by jeho selhání vytvořilo systémové riziko, nebo kde působí v určitých podsektorech. Itálie a Slovinsko významně rozšířily svou národní působnost nad rámec příloh směrnice; Belgie přidala posílené povinnosti správy a řízení. Závěr: i pokud se zdá, že vaše organizace spadá pod práh, národní transpozice je dokumentem, který určuje, zda se na vás NIS2 vztahuje.

Osmnáct sektorů a pravidlo velikosti

NIS2 dramaticky rozšiřuje sektorovou působnost ve srovnání se svým předchůdcem. Zatímco NIS1 se vztahovala na sedm sektorů, NIS2 se vztahuje na osmnáct, organizovaných do dvou příloh. Rozšíření odráží, jak závislá se moderní společnost stala na digitálních službách a dodavatelských řetězcích — a jak kybernetický incident v kterémkoli z těchto sektorů může v hodinách kaskádovat přes hranice.

Příloha I: sektory vysoké kritičnosti

Sektory Přílohy I jsou ty, jejichž narušení produkuje okamžité, celospolečenské důsledky. Zahrnují energetiku v jejích různých formách, dopravu, bankovnictví a infrastrukturu finančního trhu, zdravotnictví, pitnou vodu a odpadní vody, digitální infrastrukturu (která pokrývá poskytovatele DNS, registry TLD, internetové výměnné body, poskytovatele cloud computingu, poskytovatele datových center, sítě pro doručování obsahu, poskytovatele služeb vytvářejících důvěru a poskytovatele elektronických komunikací), B2B řízení ICT služeb, veřejnou správu na centrální a regionální úrovni a vesmír. Každý z těchto sektorů má své vlastní sektorové specifikace v transpozici členských států, ale základní úroveň kybernetické bezpečnosti je harmonizována.

Příloha II: jiné kritické sektory

Příloha II pokrývá sektory, které jsou kritické, ale kde je narušení obecně méně bezprostředně katastrofální — i když stále může způsobit významnou škodu. Zahrnuje poštovní a kurýrní služby, nakládání s odpady, chemikálie (výroba, distribuce), výrobu potravin, výrobu zdravotnických prostředků a klíčového průmyslového zboží, poskytovatele digitálních služeb včetně online tržišť, vyhledávačů a služeb sociálních sítí, a výzkumné organizace. Prováděcí nařízení Komise (EU) 2024/2690 poskytuje specifická technická pravidla a pravidla pro klasifikaci incidentů pro několik podsektorů Přílohy II, včetně cloudu, DNS, tržišť, vyhledávačů a sociálních sítí.

Pravidlo velikosti

V rámci těchto sektorů uplatňuje NIS2 pravidlo velikosti: organizace se kvalifikují jako spadající do působnosti, pokud mají alespoň 50 zaměstnanců A roční obrat nebo bilanční sumu přesahující 10 milionů eur. Velké podniky (250+ zaměstnanců, nebo 50M+ EUR obrat a 43M+ EUR bilance) v sektorech Přílohy I jsou klasifikovány jako základní subjekty. Středně velké podniky (50–249 zaměstnanců, 10M–50M EUR obrat) v Příloze I a každý středně velký nebo velký podnik v Příloze II jsou klasifikovány jako důležité subjekty. Práh je záměrně velkorysý — NIS2 nechce drtit menší podniky nepřiměřenými povinnostmi — ale zachytává v podstatě každého významného aktéra v regulovaných sektorech.

Výjimky, dosah dodavatelského řetězce a de-facto efekt regulovaného odběratele

Mimo formální působnost má NIS2 praktický dosah, který sahá mnohem dál. Článek 21 vyžaduje, aby základní a důležité subjekty řídily kybernetickou bezpečnost dodavatelského řetězce — což znamená, že subjekt musí posoudit a uplatnit přiměřená bezpečnostní opatření vůči svým přímým dodavatelům a poskytovatelům služeb. Výsledkem je, že organizace, které nejsou přímo v působnosti NIS2, jsou stále více povinny prokazovat zabezpečení v souladu s NIS2 vůči svým regulovaným zákazníkům, jen aby zůstaly v procurement pipeline. Pokud je váš zákazník v působnosti, vaše smlouva je v působnosti. Tento nepřímý efekt zdvojnásobuje nebo ztrojnásobuje de-facto populaci subjektů relevantních pro NIS2 v ekonomice EU.

Článek 23 detailně: třístupňový harmonogram hlášení

Článek 23 je provozním srdcem NIS2 pro reakci na incidenty. Stanoví třístupňovou kaskádu hlášení s přísnými lhůtami a doplňuje povinnost notifikovat příjemce služeb za určitých okolností. Hodiny začnou tikat, jakmile si subjekt uvědomí, že došlo k významnému incidentu — definice, která je sama o sobě v praxi sporná — a nezastaví se, dokud není závěrečná zpráva podána až o měsíc později. Zmeškání kterékoli fáze je selháním souladu a dozorové orgány jasně uvedly, že to tak budou posuzovat.

Fáze 1 — 24hodinové včasné varování

Do 24 hodin od uvědomění si významného incidentu musí subjekt podat včasné varování svému národnímu CSIRT nebo příslušnému orgánu. Včasné varování musí uvést, pokud jsou k dispozici informace, zda je incident podezřelý z toho, že byl způsoben protiprávním nebo zlovolným jednáním, a zda by mohl mít přeshraniční dopad. Toto není kompletní zpráva — jejím účelem je upozornit orgány, aby se mohly připravit na koordinovanou reakci a informovat ostatní dotčené členské státy. Mezi obvyklá selhání v této fázi patří absence předem zavedených komunikačních kanálů s CSIRT, neexistence předem připravené šablony a nejistota, zda událost dosud splňuje práh významnosti.

Fáze 2 — 72hodinové hlášení incidentu

Do 72 hodin od uvědomění musí subjekt podat podstatnější hlášení incidentu. Tato aktualizace musí zahrnovat počáteční posouzení incidentu — závažnost, rozsah, dopad — a, což je klíčové, pokud jsou k dispozici, indikátory kompromitace (IoC). 72hodinová notifikace je místem, kde se uchování důkazů stává závazným: nemůžete popsat IoC, které jste nechali přepsat. Phishingové stránky, falešná přihlašovací rozhraní, škodlivé URL, znetvořené webové vlastnosti a další artefakty útoků na webu musí být zachyceny dříve, než zmizí během sanace po incidentu.

Fáze 3 — závěrečná zpráva do jednoho měsíce

Nejpozději jeden měsíc po hlášení incidentu musí subjekt podat závěrečnou zprávu. Ta obsahuje podrobný popis incidentu, včetně jeho závažnosti a dopadu, typu hrozby nebo příčiny, která ho pravděpodobně spustila, uplatněných a probíhajících zmírňujících opatření a tam, kde je to vhodné, přeshraničního dopadu. Závěrečná zpráva je dokument, ke kterému se dozorové orgány vrátí během jakékoli následné inspekce nebo auditu. Její kvalita určuje, zda bude vaše organizace vnímána jako profesionálně zvládající incident — nebo jako organizace, která zmeškala základy.

Průběžné zprávy na žádost CSIRT a zprávy o stavu pro probíhající incidenty

CSIRT nebo příslušný orgán mohou požádat o průběžné aktualizace kdykoli během fáze reakce. Pokud incident stále probíhá v okamžiku jednoho měsíce, subjekt místo závěrečné zprávy podává zprávu o stavu, přičemž další závěrečná zpráva je splatná do jednoho měsíce poté, co incident skutečně skončil. Průběžný mechanismus vytváří nepřetržitý dialog mezi subjektem a orgánem — a znamená, že schopnost subjektu produkovat na požádání věrohodné aktualizace podložené důkazy je trvalou schopností, ne jednorázovým úsilím.

Notifikace příjemců služeb (Článek 23(2))

Pokud je pravděpodobné, že významný incident nepříznivě ovlivní poskytování služeb příjemcům, musí subjekt informovat tyto příjemce bez zbytečného odkladu. To zahrnuje popis toho, co se stalo, jaké služby jsou ovlivněny a jaká zmírňující opatření by příjemci měli přijmout. Pro B2B poskytovatele to znamená notifikaci své zákaznické základny; pro poskytovatele zaměřené na spotřebitele to může znamenat veřejnou komunikaci. Notifikace samotná se stává součástí evidenčního záznamu — a jakmile je zveřejněna, je to, čeho se dozorový orgán bude vůči subjektu držet.

Co se počítá jako významný incident

Článek 23 se aktivuje pouze tehdy, je-li incident významný. Definice směrnice je široká: incident je významný, pokud způsobil nebo je schopen způsobit závažné provozní narušení služeb subjektu nebo finanční ztrátu subjektu, nebo pokud zasáhl nebo je schopen zasáhnout jiné fyzické nebo právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou škodu. Formulace „schopný způsobit“ je klíčová — subjekty nemohou čekat, až se škoda materializuje, aby začaly hlásit. Rozumná předvídatelnost stačí.

Prahy podle Prováděcího nařízení Komise 2024/2690

Pro určené subjekty digitálního sektoru (poskytovatele DNS, registry TLD, poskytovatele cloudu, datová centra, CDN, MSP, MSSP, online tržiště, vyhledávače, sociální sítě a poskytovatele služeb vytvářejících důvěru) stanoví Prováděcí nařízení Komise (EU) 2024/2690 ze 17. října 2024 konkrétní prahové hodnoty. Incident je významný tam, kde mimo jiné způsobí nebo je schopen způsobit finanční ztrátu přesahující 100 000 EUR nebo 5 % ročního obratu (podle toho, co je nižší), nebo kde zahrnuje úspěšný, podezřele zlovolný neoprávněný přístup k sítím a informačním systémům, nebo kde způsobí značnou reputační škodu. Nařízení se přímo vztahuje na jmenované sektory; pro ostatní subjekty slouží jako užitečné interpretační vodítko.

Reputační škoda a mediální pozornost jako faktory

Kritérium značné reputační škody není subjektivní. Regulátoři se dívají na konkrétní indikátory: zda byl incident hlášen v mainstreamových médiích, zda je pravděpodobné, že subjekt ztratí zákazníky v počtech materiálních pro jeho podnikání, zda nebude schopen splnit regulační požadavky jako následný důsledek a zda bylo postavení subjektu vůči partnerům a dozorovým orgánům měřitelně poškozeno. Útoky cílené na značku — phishingové stránky vydávající se za vaše služby, falešná přihlašovací rozhraní hostovaná na podvržených doménách — sedí přesně v této kategorii a generují artefakty na webu, které musí být uchovány jako důkazy.

Úspěšný neoprávněný přístup jako automatický spouštěč

Jedním z nejvíce provozně významných ustanovení CIR 2024/2690 je, že jakýkoli úspěšný, podezřele zlovolný neoprávněný přístup k sítím a informačním systémům je per se významný pro subjekty v působnosti nařízení. Tím odpadá debata o prazích: pokud útočník pronikl dovnitř a přístup je podezřelý ze zlovolnosti, je významný a 24hodinové hodiny začnou. Širší rozsah významnosti podle směrnice — finanční ztráta, reputační škoda, narušení služeb — se uplatňuje nad rámec této základní úrovně.

Opakující se incidenty a kumulativní práh

Série menších incidentů může kolektivně dosáhnout prahu významnosti, i když by každá jednotlivá událost samostatně nedosáhla. Recitály napříč prováděcími texty jasně uvádějí, že orgány očekávají, že subjekty budou opakující se incidenty posuzovat souhrnně, nikoli izolovaně. To je zvláště relevantní pro sektory čelící trvalým útokům kampaňového typu: sekvence pokusů o credential stuffing, série DDoS výbuchů o malém objemu nebo koordinované phishingové vlny mohou společně překročit práh. Dokumentování souvislostí mezi incidenty je samo o sobě výzvou pro uchování důkazů — výzvou, která závisí na konzistentním uchovávání logů a forenzním zachycení napříč časovou linií kampaně.

Proč se uchování důkazů rovná souladu s NIS2

Mezi nově NIS2-regulovanými organizacemi existuje tendence chápat hlášení incidentů jako papírovou záležitost — vyplnit šablonu, stisknout odeslat, jít dál. Toto pojetí zásadně nepochopilo, co 72hodinová notifikace skutečně vyžaduje a co dozorové orgány budou kontrolovat během inspekcí. 72hodinové hlášení incidentu vyžaduje zahrnutí indikátorů kompromitace, pokud jsou k dispozici. Závěrečná zpráva do jednoho měsíce vyžaduje popis kořenové příčiny a typu hrozby. Ani jedno není dosažitelné bez uchovaných forenzních důkazů — a tyto důkazy musí být zachyceny v okamžiku detekce, nikoli rekonstruovány o týdny později.

Technické pokyny ENISA k opatřením řízení rizik podle NIS2, zveřejněné v listopadu 2024 spolu s Prováděcím nařízením Komise 2024/2690, zdůrazňují uchování důkazů jako nedílnou součást zacházení s incidenty. Pokyny umisťují tuto povinnost vedle detekce, izolace a obnovy — nikoli jako volitelný doplněk. Logy musí být uchovány s dostatečnou integritou a délkou pro podporu post-incidentní rekonstrukce. Dvanáct měsíců loggingu odolného proti manipulaci je široce přijímanou základní úrovní; některé sektorové transpozice vyžadují více.

Trickier kategorií důkazů ale nejsou data logů — jsou to artefakty útoku na webu. Když vektor útoku zahrnuje phishingovou stránku vydávající se za vaše služby, falešné přihlašovací rozhraní, které zachytilo přihlašovací údaje vašich zákazníků, znetvořený firemní web nebo ransomware leak site zveřejňující vaše ukradená data, důkazy jsou hostovány na infrastruktuře, kterou nekontrolujete. Poskytovatel hostingu je v hodinách nebo dnech sundá. Útočník je opustí. DNS záznam je sinkholován. V době, kdy budete psát 72hodinovou notifikaci, jsou důkazy pryč, pokud jste je nezachytili během počáteční reakce.

Toto je přesně mezera, kterou platformy pro forenzní webové důkazy jako GetProofAnchor zaplňují. Zachycení provedené v okamžiku detekce incidentu produkuje balíček odolný proti manipulaci — kompletní HTML, vykreslený screenshot, extrahovaný obsah, síťová metadata, TLS řetězec — spojené dohromady kvalifikovaným elektronickým časovým razítkem podle Článku 42 eIDAS, nezávisle ukotvené v Bitcoin blockchainu prostřednictvím OpenTimestamps a propojené přes append-only kryptografický řetězec. Když dozorový orgán o dva měsíce později požádá o důkaz, že phishingová stránka existovala a vypadala tak, jak jste popsali, Evidence ZIP poskytne odpověď s matematickou jistotou.

Pointa není v tom, že každý NIS2 subjekt musí přijmout jeden konkrétní nástroj. Pointa je v tom, že uchování důkazů během fáze reakce na incident je prvotřídní povinností souladu podle NIS2 — a že organizace, které tuto schopnost nevybudovaly před incidentem, příliš pozdě zjistí, že absence uchovaných důkazů se stává sama o sobě hlasitelným selháním.

Forenzní zachycení důkazů o útocích na webu

Mnoho z nejběžnějších NIS2-významných incidentů zanechává svou primární forenzní stopu na veřejném internetu. Pochopit, které artefakty zachytit a jak je zachytit způsobem, který uspokojí očekávání dozorového orgánu, je jedna z nejvíce pákových provozních schopností, které může NIS2-regulovaný subjekt vyvinout. Zbytek této sekce projde pět kategorií důkazů o incidentech na webu a co pro každou znamená forenzní zachycení.

Phishingové stránky vydávající se za vaše služby

Když útočník zřídí phishingovou stránku na podvržené doméně, aby získal přihlašovací údaje od vašich zákazníků, stránka samotná je důkaz. Demonstruje cílení útočníka na vaši značku, technickou propracovanost kampaně a rozsah expozice zákazníků. Forenzní zachycení musí zahrnovat kompletní HTML, vizuální vykreslení (více viewportů, pokud existují varianty specifické pro mobil), síťová zachycení (HAR, DNS, TLS certifikační řetězec ukazující podvrženou doménu) a časové razítko zachycení kryptograficky vázané na všechny artefakty. Standardní screenshot nestačí — dozorový orgán a jakákoli následná žádost u orgánů činných v trestním řízení bude chtít podkladový DOM a síťovou identitu škodlivé infrastruktury.

Znetvořené firemní weby a neoprávněné úpravy obsahu

Incidenty znetvoření — kde útočníci upravují viditelný obsah vašeho veřejného webu, aby zobrazili propagandu, požadavky výkupného nebo prostě jen výsměch — typicky trvají hodiny před sanací. Sanační proces sám o sobě ničí důkazy: upravené stránky jsou přepsány obnoveným obsahem, serverové logy mohou být rotovány a forenzně relevantní artefakty mizí v cyklu záloh. Než sanace začne, znetvořený stav by měl být forenzně zachycen. Totéž platí pro nenápadné neoprávněné úpravy — jednotlivý vložený JavaScript exfiltrující data formuláře, skrytý iframe, modifikovaný platební endpoint — které vyžadují zachycení nejen viditelné stránky, ale také podkladových skriptů a síťových volání.

Ransomware leak sites a dark-web data dumps

Když útočník exfiltruje data a zveřejní je na leak site, aby vymohl platbu, leak site samotný je důkaz. Demonstruje materializaci rizika exfiltrace, rozsah dat, která útočník tvrdí, že má, a časovou linii vyjednávání. Většina ransomware skupin operuje na skrytých službách Tor a tyto služby přicházejí a odcházejí rychle. Forenzní zachycení stránky výpisu, struktury vzorových datových souborů, časovače a instrukcí k platbě výkupného se stává kritickým důkazem pro závěrečnou zprávu — a pro jakékoli následné zapojení orgánů činných v trestním řízení, pojišťovací nárok nebo navazující civilní řízení.

Účty na sociálních sítích vydávající se za značku a falešné podpůrné stránky

Vedle phishingu v užším smyslu jsou kampaně vydávání se za značku na sociálních sítích a prostřednictvím podvržených podpůrných stránek. Ty jsou obzvláště škodlivé, protože často probíhají paralelně s primárním průnikem — imitátor na sociálních sítích posílá provoz na phishingovou stránku hostovanou jinde — a protože rozšiřují rozsah zasažené zákaznické základny. Zachycení by mělo zahrnovat profil imitátora, všechny příspěvky, počty sledujících, propojenou phishingovou infrastrukturu a časovou linii pokusů o stažení a reakcí platforem.

Indikátory kompromitace dodavatelského řetězce na webu třetích stran

Mnoho NIS2 incidentů nepochází z infrastruktury, kterou subjekt vlastní, ale ze služeb třetích stran, které subjekt spotřebovává. Kompromitovaný SaaS poskytovatel, unesený CDN endpoint, poškozená softwarová aktualizace na webu dodavatele — každá z nich vyžaduje, aby subjekt zachytil důkazy o stavu třetí strany v okamžiku detekce, dříve než třetí strana provede sanaci a stopa je ztracena. Toto je jeden z opravdu nových evidenčních problémů, které NIS2 zavádí, protože subjekt musí prokázat něco, co nekontroloval. Jediným řešením je zachytit stav třetí strany jako forenzní snapshot v okamžiku uvědomění — s důvěryhodným časovým razítkem, které dokazuje, kdy bylo zachycení provedeno — a uchovat toto zachycení nezávisle na třetí straně.

Řetězec úschovy důkazů: ISO 27037 potkává NIS2

NIS2 samotná nepředepisuje konkrétní metodiku řetězce úschovy. Článek 21 vyžaduje vhodná a přiměřená opatření a recitály směrnice odkazují na evropské a mezinárodní normy jako praktický odkaz na to, co vhodný znamená. V oblasti digitálních důkazů je tímto odkazem ISO/IEC 27037:2012 — mezinárodní norma pro identifikaci, sběr, akvizici a uchování digitálních důkazů. Subjekty, které sladí své postupy zacházení s incidenty s ISO 27037, zjistí, že přirozeně uspokojují důkazní očekávání NIS2.

ISO 27037 definuje čtyři fáze pro zacházení s digitálními důkazy: identifikaci (rozpoznání, které datové položky jsou důkazy), sběr (fyzické shromáždění), akvizici (vytvoření forenzně zdravých kopií) a uchování (zachování integrity v čase). Pro webové důkazy se čtyři fáze čistě mapují na jedinou operaci forenzního zachycení — za předpokladu, že je zachycení navrženo tak, aby v jednom atomovém kroku vyprodukovalo artefakt, který je identifikovatelný, sebraný, získaný a připravený k uchování. To je designový cíl jakékoli seriózní platformy pro forenzní webové důkazy: zhroutit pracovní postup do jedné obhájitelné operace, dokumentovat každý parametr a vyprodukovat balíček, jehož integritu lze nezávisle ověřit.

Integritním primitivem je kryptografický hash. Každý artefakt v balíčku důkazů — screenshot, HTML, extrahovaný text, síťová zachycení, metadata — je hashován pomocí SHA-256 a hashe jsou zaznamenány v manifestu. Manifest samotný je hashován a tento konečný hash je vstupem pro kvalifikované elektronické časové razítko eIDAS podle Článku 42 Nařízení (EU) 910/2014. Kvalifikované časové razítko váže celý balíček ke konkrétnímu okamžiku v čase se stejným právním účinkem napříč všemi 27 členskými státy EU jako notářské ověření data. Jakákoli následná úprava jakéhokoli bajtu jakéhokoli artefaktu řetězec přeruší a je detekovatelná v sekundách během ověřování.

Ukotvení v Bitcoin blockchainu prostřednictvím OpenTimestamps poskytuje druhou, nezávislou vrstvu, která nezávisí na subjektu, poskytovateli služeb vytvářejících důvěru ani na žádné centralizované infrastruktuře. To je důležité pro přeshraniční incidenty, kde subjekt může potřebovat prokázat integritu důkazů orgánům v členském státě, jehož národní EU Trusted List má subjekt omezenou znalost. Blockchain ukotvení může ověřit kdokoli s přístupem k Bitcoin block headers — globálně, bez koordinace.

Třetí prvek, append-only kryptografický řetězec napříč všemi zachyceními, brání subjektu v tichém přepisování historie. Ani s plným administrátorským přístupem ke svým vlastním systémům nemůže subjekt vložit zpětně datovaný záznam — každý článek v řetězci závisí na hashi předchozího a jakákoli úprava kaskáduje skrz každý následující záznam. Pro dozorové orgány to mění integritu důkazů o incidentech z otázky důvěry regulovanému subjektu na otázku matematiky. Tento posun je to, co obhájitelný skutečně znamená.

Přeshraniční incidenty a evropská síť CSIRT

Málo významných kybernetických incidentů respektuje národní hranice. NIS2 to předvídá tím, že zřizuje koordinační architekturu zahrnující celou Unii: každý členský stát jmenuje jeden nebo více CSIRT (Computer Security Incident Response Teams) a jediné kontaktní místo pro přeshraniční záležitosti, přičemž všechny se účastní evropské sítě CSIRT spolu s ENISA. Evropská síť styčných organizací pro kybernetické krize — EU-CyCLONe — koordinuje strategickou úroveň reakce na rozsáhlé incidenty. Pro regulované subjekty to znamená, že hlášení incidentu podané národnímu CSIRT může rychle vyprodukovat dosah do více členských států a do samotné ENISA.

Článek 23(6) stanoví, že pokud se významný incident týká dvou nebo více členských států, přijímající CSIRT nebo příslušný orgán musí informovat ostatní dotčené členské státy a ENISA bez zbytečného odkladu. Článek 23(9) vyžaduje, aby jediná kontaktní místa předkládala ENISA anonymizované agregované zprávy každé tři měsíce a ENISA hlásí Skupině pro spolupráci a síti CSIRT každých šest měsíců. Praktickým efektem je, že subjekt působící ve více členských státech nemůže očekávat, že udrží incident omezený na regulátora jedné jurisdikce — architektura je navržena tak, aby sdílela informace napříč Unií.

Pro regulovaný subjekt z toho vyplývají dva provozní důsledky. Zaprvé, důkazy podporující původní notifikaci musí být přenosné přes jurisdikce. Členský stát CSIRT může požádat o dodatečné informace, další CSIRT členských států mohou podávat paralelní žádosti a ENISA může požádat o vstup do svých souhrnných zpráv. Balíček důkazů, který uspokojí jednoho regulátora, musí uspokojit všechny, což znamená, že musí být samostatný, nezávisle ověřitelný a nezávislý na pokračující dostupnosti nebo ochotě subjektu produkovat doplňující informace. Zadruhé, subjekt musí pochopit, který národní CSIRT je vhodným prvním kontaktním místem — obecně CSIRT členského státu hlavního sídla subjektu v Unii, ale se sektorovými variacemi.

Přeshraniční koordinace také sahá za vlastní architekturu NIS2. CSIRT jsou povinny sdílet informace s příslušnými orgány podle Směrnice CER ((EU) 2022/2557) pro subjekty identifikované jako kritické subjekty a vztah mezi NIS2 a GDPR (Nařízení (EU) 2016/679) znamená, že notifikace porušení osobních údajů podle Článku 33 GDPR mohou probíhat paralelně. Důkazy uchované s ověřitelnou integritou splňují všechny tyto požadavky současně; důkazy rekonstruované z paměti nesplňují žádné z nich.

Stav transpozice ve 27 členských státech (květen 2026)

Osmnáct měsíců po formálním termínu transpozice 17. října 2024 se obraz napříč Unií podstatně vyjasnil. Podle trackeru transpozice Evropské organizace pro kybernetickou bezpečnost (ECSO) k březnu 2026 dvacet jedna z dvaceti sedmi členských států dokončilo transpozici. Zbytek — Francie, Irsko, Lucembursko, Polsko, Španělsko a Bulharsko — je v různých pokročilých fázích legislativního procesu, s přijetím očekávaným během roku 2026.

Mezi nedávnými dokončeními si několik zaslouží zvláštní pozornost pro organizace působící napříč více jurisdikcemi. Implementační zákon NIS2 v Německu byl dokončen v prosinci 2025 a je aplikován prostřednictvím BSI jako příslušného orgánu. Švédský Cyber Security Act a doprovodné nařízení vstoupily v účinnost 1. ledna 2026. Český zákon o kybernetické bezpečnosti se začal aplikovat od 1. listopadu 2025, pod dohledem NÚKIB. Rakouský NISG 2026 vstupuje v účinnost 1. října 2026, ačkoli transpozice je již formálně dokončena. Portugalský finální návrh vstupuje v účinnost v dubnu 2026.

Dne 7. května 2025 Evropská komise vydala odůvodněná stanoviska devatenácti členským státům, formálně je upozorňující, že postoupení Soudnímu dvoru je dalším krokem. Do května 2026 většina z těchto devatenácti států buď transponovala, nebo se k tomu blíží, ale pro zbývající opozdilce právní tlak zesílil. Lednové úpravy NIS2 ze strany Komise — navrhující zjednodušení formulací souladu pro přibližně 28 700 subjektů včetně 6 200 mikropodniků a malých podniků — doprovázejí, nikoli nahrazují, úsilí o vymáhání. Úpravy činí soulad dosažitelnějším; nezdržují jej.

Pro vícejurisdikční subjekty je praktickým důsledkem to, že transponované členské státy plně fungují podle svých národních zákonů NIS2, zatímco dosud netransponované členské státy podléhají přímému účinku směrnice v některých ohledech a probíhajícímu řízení Komise podle Článku 258 SFEU. Subjekt působící v obou skupinách současně potřebuje postoj reakce na incidenty, který uspokojí nejpřísnější použitelnou transpozici a zároveň je adaptabilní vůči té, která se objeví ve zbývajících jurisdikcích. Základním předpokladem by mělo být, že všech 27 členských států bude plně v provozu nejpozději do konce roku 2026.

Stojí také za zmínku, že několik členských států použilo národní transpozici k rozšíření NIS2 nad rámec její minimální působnosti. Itálie a Slovinsko přidaly sektory. Belgie přidala posílené povinnosti správy a dohledu. Francouzský nevyřízený zákon zahrnuje sektorové spouštěče událostí pro energetiku a bankovnictví s kratšími lhůtami notifikace, než je 24hodinová základní úroveň. Vícejurisdikční subjekty by neměly předpokládat, že samotný text směrnice je dostatečným vodítkem — národní transpozice je operativním dokumentem a rozdíly mezi členskými státy mohou být materiální.

Sankce a osobní odpovědnost vedení

Finanční sankce podle NIS2 jsou kalibrovány tak, aby byly následkové na úrovni představenstva, ne absorbovatelné jako náklad podnikání. Pro základní subjekty stanoví Článek 34 maximální administrativní pokutu na 10 milionů eur nebo 2 % celosvětového ročního obratu subjektu v předchozím účetním roce, podle toho, co je vyšší. Pro důležité subjekty je strop 7 milionů eur nebo 1,4 % celosvětového obratu, podle toho, co je vyšší. Členské státy mohou — a několik z nich to udělalo — přidat národní sankce nad rámec těchto minimálních úrovní EU.

Tato čísla stojí vedle dalších regulačních režimů, které se mohou vztahovat na stejný incident. Sankce GDPR druhé úrovně dosahují 20 milionů eur nebo 4 % celosvětového obratu. DORA, použitelná pro finanční subjekty, zahrnuje pravidelné penalizační platby do výše 1 % průměrného denního celosvětového obratu subjektu. Jediný ransomwarový incident postihující základní subjekt zpracovávající osobní údaje by mohl pravděpodobně spustit sankce podle NIS2, GDPR a (pro subjekty finančního sektoru) DORA současně — přičemž každý regulátor posuzuje svou složku nezávisle.

Pozoruhodnější než finanční sankce je režim osobní odpovědnosti podle Článku 20. Členové řídících orgánů základních a důležitých subjektů jsou povinni schvalovat opatření řízení kybernetických rizik přijatá pro soulad s Článkem 21, dohlížet na jejich implementaci a absolvovat specifický trénink kybernetické bezpečnosti. Pokud řídící orgány v těchto povinnostech selhávají — zejména prostřednictvím hrubé nedbalosti — členské státy jsou povinny stanovit možnost individuální odpovědnosti členů řízení. Několik národních transpozic to implementovalo jako administrativní pokuty pro jednotlivé výkonné pracovníky; jiné implementovaly dočasné zákazy řídících funkcí.

Reputační důsledky sahají za rámec formálních sankcí. Mechanismus odůvodněných stanovisek, čtvrtletní agregované hlášení EU pro ENISA a ustanovení o notifikacích ve veřejném zájmu Článku 23(7) znamenají, že významné incidenty — zejména ty špatně zvládnuté — se stávají věcí veřejných záznamů. Trhy kybernetického pojištění reagovaly zpřísněním upisovacích podmínek pro subjekty regulované NIS2: pojišťovny stále více vyžadují dokumentovanou schopnost reakce na incidenty, včetně forenzního uchování důkazů, jako předpoklad krytí.

Kombinovaný efekt je takový, že NIS2 přesunula kybernetickou bezpečnost z technické funkce na funkci správy a řízení. Představenstvo je nyní odpovědné ze stejného důvodu, ze kterého je odpovědné za finanční výkaznictví: regulátoři to tak nastavili. A stejně jako u finančního výkaznictví je standard důkazu dokumentární. Slovní ujištění od CISO není standardem; dokumentované, datované důkazy se zachovanou integritou ano.

NIS2, DORA, CER a GDPR: překrývající se povinnosti

NIS2 nepůsobí izolovaně. Sedí v regulačním klastru — DORA, Směrnice CER, GDPR, nadcházející Akt o kybernetické odolnosti — z nichž každý se zabývá překrývající se tématikou z jiného úhlu. Pro jediný významný incident může subjekt čelit současným povinnostem podle dvou, tří, nebo dokonce čtyř z těchto rámců. Pochopení toho, jak do sebe zapadají, je zásadní pro vyhnutí se mezerám i duplicitnímu úsilí.

DORA — finanční služby, lex specialis

Akt o digitální provozní odolnosti (Nařízení (EU) 2022/2554) vstoupil v aplikaci 17. ledna 2025 a vztahuje se na finanční subjekty včetně bank, investičních firem, pojišťoven, poskytovatelů služeb krypto-aktiv a širokého spektra poskytovatelů ICT služeb třetích stran obsluhujících finanční sektor. DORA funguje jako lex specialis vůči NIS2 pro finanční subjekty v působnosti, což znamená, že kde DORA ukládá specifičtější povinnosti, má přednost. Hlášení ICT incidentů DORA podle Článku 19 má vlastní lhůty a definice prahů, které jsou podobné NIS2, ale ne identické.

Směrnice CER — fyzická odolnost kritických subjektů

Směrnice o odolnosti kritických subjektů (Směrnice (EU) 2022/2557) je fyzickým protějškem NIS2 — zabývá se odolností kritických subjektů proti všem rizikům, nejen kybernetickým. Členské státy identifikují kritické subjekty v jedenácti sektorech do značné míry překrývajících se s Přílohou I NIS2. Subjekt může podléhat jak NIS2 (kybernetická bezpečnost), tak CER (fyzická a provozní odolnost) a oba regulační režimy sdílejí informace na úrovni příslušných orgánů. Článek 23(10) NIS2 stanoví, že CSIRT musí informovat příslušné orgány CER o významných incidentech postihujících kritické subjekty identifikované podle CER.

Článek 33 GDPR — porušení osobních údajů

Pokud NIS2-významný incident zahrnuje porušení osobních údajů, notifikace podle Článku 33 GDPR — Úřadu pro ochranu osobních údajů do 72 hodin od uvědomění — probíhá paralelně. Hodiny jsou podobné, ale spouštěče jsou různé: NIS2 spouští na základě významného provozního dopadu; GDPR spouští na základě rizika pro práva a svobody subjektů údajů. Subjekt může potřebovat podat obojí a důkazy podporující obojí musí být uchovatelné ve formě, která uspokojuje nejpřísnější použitelné požadavky. Některé členské státy zřídily jednotná vstupní místa pro obě zprávy; to nemění věcné povinnosti.

Akt o kybernetické odolnosti — produkty s digitálními prvky

Akt o kybernetické odolnosti (Nařízení (EU) 2024/2847) vstoupil v platnost 10. prosince 2024 a plně se aplikuje od 11. prosince 2027. CRA se zabývá kybernetickou bezpečností produktů s digitálními prvky — hardware a software uvedený na trh EU — a zahrnuje povinnosti výrobců hlásit aktivně využívané zranitelnosti a závažné incidenty týkající se bezpečnosti jejich produktů. Výrobci produktů v působnosti, kteří jsou rovněž subjekty regulovanými NIS2, budou muset spravovat hlášení incidentů CRA a NIS2 na paralelních kolejích, jakmile se CRA stane plně použitelným.

Tvorba auditních stop, které dozorový orgán přijme

Hlášení incidentu je jedním dokumentem v mnohem větším evidenčním korpusu, který může dozorový orgán zkoumat během inspekcí NIS2. Základní subjekty podle Článku 32 čelí proaktivním inspekcím — na místě i mimo místo — a orgány jsou výslovně zmocněny vyžadovat bezpečnostní audity, skenování zranitelností a přístup k relevantním datům a dokumentaci. Důležité subjekty podle Článku 33 čelí inspekcím spuštěným indikacemi nesouladu, ale jakmile jsou spuštěny, rozsah je podobně široký. Kvalita auditní stopy subjektu určuje, jak tyto inspekce dopadnou.

Orgány obvykle kladou tři kategorie otázek. Zaprvé, správa a řízení: schválil řídící orgán opatření Článku 21, dohlížel na implementaci, dokončil požadovaný trénink, jsou zápisy ze schůzí dokumentovány a datovány? Zadruhé, technické: bylo deset opatření řízení rizik Článku 21 implementováno vhodně a přiměřeně, existují dokumentované kontroly, byly testovány, existují logy? Zatřetí, specifické pro incidenty: pro každý významný incident, bylo odesláno 24hodinové včasné varování, podána 72hodinová notifikace, podána závěrečná zpráva do jednoho měsíce a může subjekt produkovat důkazy podporující každý z nich?

Opakovaným režimem selhání při inspekcích NIS2 není absence dokumentace — většina regulovaných subjektů produkuje rozsáhlé politiky a postupy. Selháním je absence důkazů zachovávajících integritu pro přijatá opatření. Politické dokumenty datované libovolně, soubory logů obnovitelné, ale triviálně modifikovatelné, hlášení incidentů podaná, ale podkladové artefakty zachycení dávno přepsané — to jsou vzorce, které přitahují pozornost vymáhání. Lékem není více dokumentace, ale dokumentace, jejíž integritu lze nezávisle ověřit.

Nezávislá ověřitelnost je nejvyšším standardem. Znamená, že jakákoli třetí strana — dozorový orgán, soudem jmenovaný znalec, kybernetický pojistitel, protistrana ve sporu — může ověřit integritu důkazů subjektu pouze pomocí samotných důkazů a veřejně dostupných ověřovacích nástrojů. Toto je designový princip za formátem Evidence ZIP GetProofAnchor a MIT-licencovaným nástrojem příkazové řádky gpa-verify zveřejněným na PyPI: regulovaný subjekt předá ZIP a příjemce jej může ověřit offline ve svém vlastním izolovaném prostředí Pythonu, bez jakékoli závislosti na subjektu nebo na GetProofAnchor. Bez ohledu na to, zda subjekt přijme tento konkrétní nástroj, podkladovým principem by mělo být: navrhněte svůj evidenční pipeline tak, aby ověřovatel nemusel důvěřovat producentovi.

Dlouhodobé uchovávání je důsledkem. NIS2 nepředepisuje konkrétní dobu uchovávání, ale technické pokyny ENISA a několik národních transpozic naznačují, že dvanáct měsíců je rozumnou základní úrovní pro běžné logy, se sektorovými prodlouženími pro kategorie důkazů s vyšším rizikem. Pro forenzní zachycení webových důkazů souvisejících s incidenty by mělo uchovávání sahat do promlčecí lhůty pro jakákoli rozumně předvídatelná navazující řízení — administrativní, civilní nebo trestní — která mohou trvat sedm let nebo déle.

Kontrolní seznam důkazů pro NIS2 incidenty (15 bodů)

Následující kontrolní seznam konsoliduje praktické závěry z tohoto průvodce. Nenahrazuje právní poradenství ani specifické pokyny vašeho národního příslušného orgánu, ale zachycuje provozní priority, které odlišují dobře připravené subjekty NIS2 od těch, které jsou pouze na papíře.

• Určete svou klasifikaci NIS2 (základní, důležitý nebo mimo působnost) podle transpozice vašeho členského státu a zdokumentujte určení s podpůrným odůvodněním.
• Identifikujte svůj národní CSIRT a příslušný orgán, zaveďte předincidentní komunikační kanály a získejte šablony pro 24hodinové včasné varování, 72hodinovou notifikaci a závěrečnou zprávu do jednoho měsíce.
• Definujte interní klasifikační kritéria pro významný incident sladěná s Článkem 23(3) a, kde je to relevantní, s prahy Prováděcího nařízení Komise 2024/2690 — a přezkoumávejte je nejméně jednou ročně.
• Zajistěte schopnost detekce 24/7, aby 24hodinové hodiny mohly začít v okamžiku uvědomění, bez ohledu na pracovní dobu nebo víkendy.
• Jmenujte primárního odpovědného za hlášení incidentů a alespoň jednoho zástupce s plnou pravomocí podávat notifikace, abyste eliminovali jednotlivé body selhání v řetězci hlášení.
• Implementujte logging odolný proti manipulaci s dokumentovanými integritními primitivami (hash chains, kvalifikovaná časová razítka nebo ekvivalent) a uchováváním po dobu alespoň 12 měsíců jako základní úrovní.
• Pro každý webový artefakt incidentu — phishingové stránky, znetvořené weby, leak sites, falešná přihlašovací rozhraní — zaveďte forenzní postup zachycení, který produkuje důkazy s kvalifikovaným časovým razítkem eIDAS v okamžiku detekce.
• Svažte artefakty zachycení dohromady prostřednictvím kryptografických manifestů (SHA-256 přes všechny soubory) a předložte hash manifestu kvalifikovanému poskytovateli služeb vytvářejících důvěru podle eIDAS pro kvalifikované elektronické časové razítko podle Článku 42 Nařízení (EU) 910/2014.
• Ukotvete balíčky důkazů nezávisle — například prostřednictvím Bitcoin blockchainu přes OpenTimestamps — aby integritu bylo možné ověřit bez spoléhání na subjekt nebo jakéhokoli jediného poskytovatele služeb vytvářejících důvěru.
• Dokumentujte řetězec úschovy v souladu s fázemi ISO/IEC 27037:2012 (identifikace, sběr, akvizice, uchování), s rolemi, časovými razítky a akcemi zaznamenanými pro každý krok.
• Vyškolte řídící orgán o povinnostech Článku 20 NIS2, včetně schvalování opatření Článku 21 a dohledu nad implementací; zdokumentujte trénink s datovanými záznamy o docházce.
• Zmapujte překryv mezi NIS2 a dalšími použitelnými předpisy (GDPR, DORA, Směrnice CER, sektorové rámce), abyste se vyhnuli jak mezerám, tak duplicitním notifikacím, a zdokumentujte mapování.
• Zaveďte postupy pro důkazy z dodavatelského řetězce, aby incidenty zahrnující služby třetích stran mohly být zachyceny vůči stavu třetí strany v okamžiku uvědomění, dříve než třetí strana provede sanaci.
• Provádějte alespoň jedno tabletop cvičení ročně simulující celou časovou linii Článku 23, včetně zachycení důkazů, interní eskalace, notifikace CSIRT a komunikace s příjemci služeb.
• Učiňte všechny balíčky důkazů nezávisle ověřitelnými třetími stranami — dozorovými orgány, soudy, pojistiteli, protistranami — pomocí open-source nástrojů a bez závislosti na infrastruktuře produkujícího subjektu.

Časté otázky a závěr

Následující odpovědi řeší otázky, které vyvstávají nejčastěji, když organizace začínají operacionalizovat své povinnosti zacházení s důkazy podle NIS2. Jsou zamýšleny jako praktická orientace, nikoli jako právní poradenství pro jakoukoli konkrétní situaci.

Vymáhání NIS2 v roce 2026 není hypotetické. Doba odkladu skončila, transpozice je z velké části dokončena a dozorové orgány napříč Unií přecházejí z fáze budování rámce do fáze aplikace rámce. Pro regulované subjekty není praktickou zkouškou už to, zda existují dokumenty politik — téměř každý je má — ale zda lze produkovat důkazy v rámci hodin Článku 23 a ověřit je nezávislými třetími stranami.

Schopnosti, které odlišují dobře připravené subjekty NIS2, nejsou exotické. Jsou to detekce, klasifikace, forenzní uchování artefaktů incidentů, dokumentovaný řetězec úschovy, uchovávání logů zachovávající integritu a postoj správy a řízení na úrovni představenstva, který lze prokázat dozoru. Každá z nich je dosažitelná stávajícími nástroji a stávajícími normami. Rozhodujícím faktorem je, zda jsou na místě před incidentem — protože jakmile začnou 24hodinové hodiny, čas na budování schopností skončil.

GetProofAnchor existuje, aby učinil složku forenzního uchování v tomto stacku — konkrétně webové artefakty, které mizí nejrychleji v okamžicích po detekci — přímočarou, obhájitelnou a nezávisle ověřitelnou. Pokud vaše organizace buduje svou schopnost zacházení s důkazy podle NIS2 a chcete vidět, jak se forenzní zachycení webu s kvalifikovaným časovým razítkem integruje s vašimi postupy reakce na incidenty, nejpřímější cestou je vytvořit ukázkový důkaz z jakékoli veřejné URL a prohlédnout si Evidence ZIP. Ověřování je open-source a běží na jakémkoli laptopu. Standard je reprodukovatelný, protože musí být.