Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítě a zabezpečení, upozorňuje, že směrnice NIS2 nepředstavuje pouze zásadní posun v odpovědnostech a očekáváních kladených na evropský energetický sektor, ale na provozovatele kritické infrastruktury jako celku. Regulační požadavky přitom přicházejí v době, kdy energetický sektor prochází jednou z největších transformačních vln v historii, která zahrnuje masivní integraci obnovitelných zdrojů, decentralizaci aktiv, nejistoty v dodavatelském řetězci a postupnou konvergencí informačních technologií (IT) a provozních technologií (OT). To vše zvyšuje složitost architektury a zároveň rozšiřuje spektrum kybernetických hrozeb.
Z dokumentu Fortinetu 2026 Energy Cybersecurity Outlook pro region EMEA a z diskuzí s vedením velkých energetických skupin v regionu vyplývají dvě klíčové slabiny, které dlouhodobě zvyšují náklady spojené s kybernetickým rizikem: odolnost ekosystému dodavatelů a schopnost škálovat a integrovat bezpečnost napříč více zeměmi a generacemi provozních technologií.
„Směrnice NIS2 vynucuje razantnější postoj. Očekává, že organizace budou přistupovat k bezpečnosti dodavatelského řetězce jako ke klíčovému opatření řízení rizik. Jedná se o zdánlivě nenápadný, avšak zásadní posun: vedení firem by mělo přejít od příležitostných ujišťování k rámci, který řídí každodenní kontroly – jak jsou třetí strany připojeny, k čemu mají přístup a jak rychle lze tento přístup omezit nebo odebrat,“ říká Ondřej Šťáhlavský, regionální senior ředitel společnosti Fortinet pro střední a východní Evropu.
Dodavatelský řetězec: největší slepé místo energetiky
Vedení energetických podniků si zpravidla uvědomuje závislost na dodavatelích, avšak provozní model, jak s touto závislostí řídit riziko, nebývá dostatečně rozvinutý. Konkrétním příkladem byl ransomwarový útok na rumunský Oltenia Energy Complex v prosinci 2025, který částečně narušil provozní aktivity a zasáhl klíčové firemní IT systémy, včetně ERP, e-mailu a webu. Přestože výroba energie pokračovala, dopad na rozhodování, koordinaci a náklady na obnovu byl zásadní – systémy pro nákup, plánování, komunikaci a řízení incidentů bývají při útocích kompromitovány jako první.
Fortinet identifikuje tři klíčové výzvy, které musí energetické podniky v oblasti dodavatelského řetězce řešit:
- Identifikace dodavatelů s reálným vlivem na dostupnost, bezpečnost provozu a dobu obnovy – ne jen těch s největšími kontrakty.
- Přehodnocení „důvěry jako výchozího nastavení“ u přístupů dodavatelů: důvěra musí být výjimkou, časově omezenou a odůvodněnou.
- Vybudování schopnosti řízeného odvolání přístupů třetích stran jako měřitelné provozní způsobilosti – nikoli jako pouhé teoretické možnosti.
Škálování bezpečnosti napříč zeměmi a generacemi OT
Druhým závažným problémem je škálování bezpečnosti. Velké energetické skupiny působí ve více jurisdikcích, s různými generacemi OT technologií a odlišnými provozními kulturami – jednotná skupinová politika proto automaticky neznamená jednotnou odolnost. NIS2 zároveň zdůrazňuje význam panevropské spolupráce, včetně mechanismů jako CSIRT a EU-CyCLONe, neboť incidenty stále častěji překračují hranice organizací i států.
V prostředí tradiční OT architektury však velké energetické firmy nedokáží reagovat dostatečně rychle. Bezpečnostní a provozní omezení, realita záplatování systémů i plánované odstávky omezují prostor pro rychlé změny – a to ještě před zohledněním rozdílů v národních transpozicích NIS2 a dohledových očekáváních v jednotlivých zemích.
„Selhání, která pozorujeme, jsou předvídatelná: organizace standardizují dokumentaci, nikoli výsledky. Mohou sjednotit doložky pro dodavatele a šablony pro reportování, ale ponechají nevyrovnané riziko napříč lokalitami. Výsledkem je, že kvalita segmentace se liší, cesty přístupu třetích stran jsou nekonzistentní, identity jsou roztříštěné a pokrytí logování je neúplné. Organizace tak vynakládají spoustu peněz a úsilí bez úměrného snížení rizika,“ upozorňuje Ondřej Šťáhlavský z Fortinetu.
Jak skutečně snížit náklady na kybernetické riziko pod NIS2
Aby NIS2 v energetice skutečně vedla ke snížení nákladů spojených s kybernetickým rizikem, nestačí upravit smlouvy a dokumentaci. Fortinet doporučuje zaměřit se na konkrétní exekuční kroky, které dokáží reálně změnit rozsah potenciálních škod:
- Dynamická mapa závislostí: jasná definice toho, kteří dodavatelé mají přístup do IT, OT a cloudových prostředí, spolu s explicitními hranicemi oprávnění.
- Segmentace pro zadržení incidentu: přístup vycházející z předpokladu, že ke kompromitaci již došlo, a navrhující systémy tak, aby se šíření útoku co nejvíce omezilo.
- Řízení přístupů třetích stran: princip nejmenších oprávnění, časově omezený přístup a robustní kontrola identit.
- Minimalizace provozní složitosti: snížení počtu bezpečnostních politik a zjednodušení řídicích rovin.
Podle Fortinetu není úkolem platforem pouze přidávat funkce, ale umožnit jejich důsledné vynucování. Společná vrstva pro segmentaci a prosazování politik napříč prostředími zajistí, že kontroly třetích stran budou konzistentní a auditovatelné – přesně to, co NIS2 vyžaduje při inspekci nebo po incidentu.
„NIS2 zvýhodní organizace, které dokáží pod tlakem prokázat skutečnou kontrolu: vědí, na jakých závislostech záleží, omezují šíření incidentů a jsou schopné rychle odebrat přístupy třetích stran, jakmile se situace změní,“ uzavírá Ondřej Šťáhlavský, regionální senior ředitel společnosti Fortinet pro střední a východní Evropu.