Představte si tuhle scénu. Pondělí ráno, porada vedení. CEO se obrátí na IT ředitele: „Tak co, jak jsme na tom s kybernetickou bezpečností? Máme to v pořádku?" IT ředitel přikývne: „Máme. Loni jsme dělali audit, předloni pentest, navíc nám každý měsíc běží automatické skeny." CEO spokojeně přejde k dalšímu bodu.
A o měsíc později útočník přečte 40 GB účetnictví, protože v jedné nepoužívané webové aplikaci, kterou IT zapomnělo zařadit do rozsahu posledních testů, je triviální SQL injection. Audit ji nezachytil (audit neřeší aplikace). Pentest ji nezachytil (nebyla v rozsahu). Skenování ji teoreticky najít mělo, ale výsledek leží v Jira ticketu z března 2024 se statusem „Won't Fix".
Tohle není výjimečný případ. Je to průměr. A vzniká úplně banální záměnou tří různých nástrojů, které mají tři různé cíle. Tenhle text je o tom, jak je rozlišit – a proč na tom u kybernetické bezpečnosti reálně záleží.
Skenování, pentest, audit. Tři věci, tři smysly, tři ceny
Začneme tam, kde se to obvykle zaplete: terminologií. Dodavatelé používají všechny tři pojmy zaměnitelně, marketingové brožury jejich rozdíly stírají, a zákazník skončí s tím, že si objedná „bezpečnostní test" a dostane to, co je pro dodavatele nejziskovější.
Skenování zranitelností
Co to je: Automatizovaný nástroj projede vaše systémy a porovná jejich verze, konfigurace a otevřené porty se znalostní bází známých zranitelností (CVE). Nástrojů je řada – Nessus, Qualys, OpenVAS, Greenbone, mnohé další.
Co umí: Najít známé chyby. Zastaralou verzi knihovny Apache. Otevřený port RDP. Špatně nakonfigurovaný TLS protokol.
Co neumí: Najít chyby v byznysové logice. Najít chyby, které vyžadují řetězení několika kroků. Posoudit, co je u vás důležité a co nikoli.
Trvání: Hodiny až desítky hodin (záleží na rozsahu).
Cena: Nejnižší ze tří. Nástroj jako licence stojí v řádu desítek tisíc Kč ročně, jednorázový sken externí infrastruktury jako služba se dá pořídit od desítek tisíc.
Povinnost podle českého práva: Alespoň jednou ročně podle § 24 odst. 4 vyhlášky 409/2025 (vyšší režim) a § 12 vyhlášky 410/2025 (nižší režim).
Penetrační testování
Co to je: Skutečný člověk, etický hacker, simuluje útok. Používá kombinaci nástrojů a vlastní hlavy. Cílem není odškrtnout seznam, ale projít systémem tak, jak by procházel skutečný útočník – hledat řetězce, slabá místa v byznysové logice, kombinace, které samotný nástroj nevidí.
Co umí: Najít chyby, které sken nenajde. Najít cestu k vašim citlivým datům přes několik kroků. Demonstrovat reálný dopad.
Co neumí: Pokrýt vše. Pentest je vždy navzorkováním – tester si vybere reprezentativní cíle. Pokud máte 200 aplikací a pentestujete tři, druhá ze 197 zbývajících může mít stejný problém.
Trvání: Typický pentest webové aplikace nebo API trvá v české praxi 8–12 pracovních dnů (tak to deklaruje například Integra, podobné rozsahy uvádějí i ostatní). Komplexní infrastruktura výrazně více.
Cena: Cenovky se v ČR z principu nezveřejňují – dodavatelé tvrdí, že každý projekt je individuální. Z praxe: typický pentest webové aplikace ve standardním rozsahu se pohybuje v řádu nižších stovek tisíc Kč. Velký pentest komplexní infrastruktury může jít do milionu i výš.
Povinnost podle českého práva: Alespoň jednou za 2 roky podle § 24 odst. 5 vyhlášky 409/2025 (vyšší režim). V odůvodněných případech lze rozdělit do systematických celků s plným pokrytím do 5 let. Pro nižší režim není pentest explicitně předepsán, ale doporučený.
Audit kybernetické bezpečnosti
Co to je: Tady přichází velký kámen úrazu. Audit není technický test. Je to formální posouzení, zda máte zavedena bezpečnostní opatření požadovaná zákonem a vyhláškou – a zda to máte zdokumentované, schválené a vykonávané podle pravidel.
Auditor neprolomí váš firewall. Auditor přečte vaši bezpečnostní politiku, podívá se na zápisy z risk assessmentu, ověří, že máte plán kontinuity, zkontroluje, zda vaši zaměstnanci absolvovali bezpečnostní školení podle plánu rozvoje bezpečnostního povědomí, a vystaví zprávu o souladu (nebo nesouladu) se zákonem 264/2025 a vyhláškou 409.
Co umí: Vystavit nezávislé osvědčení o tom, kde plníte a kde neplníte regulatorní požadavky.
Co neumí: Najít, že máte v aplikaci SQL injection. To není jeho úkol.
Trvání: Desítky hodin pro menší organizaci, mnohem víc pro velkou. Často probíhá v iteracích.
Cena: Komplexní audit ISMS podle vyhlášky 409 se v řádu pohybuje od nižších stovek tisíc Kč nahoru, podle velikosti organizace.
Povinnost podle českého práva: Alespoň jednou za 2 roky podle § 16 vyhlášky 409/2025 (pouze vyšší režim). Lze rozdělit po systematických celcích do 5 let. Musí ho provádět nezávislá osoba, která splňuje podmínky § 5 odst. 4 – tedy je odborně způsobilá a není ze stejné organizace, která bezpečnost implementovala.
Co tedy v praxi každá z nich najde
Vidíte ten rozdíl. Skenování a pentest jsou technické testy (s rozdílnou hloubkou). Audit je papírová kontrola shody. Když firma řekne „máme bezpečnost v pořádku, máme audit" – říká vám, že má v pořádku dokumentaci. O reálné technické bezpečnosti vám tím vůbec nic neříká.
A obráceně. Když firma má skvělý pentest s nálezem osmi kritických chyb, které opravila, ale nemá zdokumentované, jak se to stalo, kdo to schválil a jak to spadá do jejího plánu zvládání rizik – audit jí to vrátí. Z pohledu zákona je to v rozporu s povinnostmi.
Pointa pro management: Tři nástroje neplníte zaměnitelně. Plníte je všechny tři, protože každý hlídá něco jiného. A jakmile někdo ve vaší firmě používá tyhle pojmy zaměnitelně, máte první signál, že se peníze utrácejí špatně.
Pět typických chyb českých firem
V této sekci se posuneme od teorie k tomu, co se reálně děje. Pět chyb, které vidíme opakovaně a které stojí buď peníze (vyhozené z okna), nebo přímo bezpečnost (díry, které byste byli odhalili).
Chyba 1: Stejný pentest stejné aplikace každé dva roky. Zákon vás zavazuje pentest provést jednou za 2 roky, ale neříká, že to má být tentýž rozsah a tentýž scénář. První kolo pentestu obvykle najde sbírku chyb a dodavatel je popíše. Vy je opravíte. Druhé kolo o dva roky později testuje stejné věci stejným způsobem a logicky nic nenajde, protože jste je opravili. Třetí kolo opět nic. Vy si gratulujete, jak jste bezpeční. Ve skutečnosti za poslední čtyři roky nikdo nikdy netestoval nové funkce, které mezitím přibyly. Pentest musí být progresivní – pokaždé jinou metodikou, jiným rozsahem, jinou kombinací technik.
Chyba 2: Pentest jako checkbox pro audit. Některé firmy kupují pentest s jediným cílem: získat razítko, že proběhl. Rozsah se napíše minimální, výstupní zprávu nikdo nečte do hloubky, opravy se evidují, ale neprovedou. Audit pak přijde a uvidí: „proběhl pentest, výstup existuje, opravy jsou v plánu" – razítko. Ale aplikace zranitelnost stále má. Pentest musí mít smysl pro vás, ne pro auditora.
Chyba 3: Audit od dodavatele, který vám bezpečnost implementoval. Tohle je explicitní konflikt zájmů, který paragraf 5 odst. 4 vyhlášky 409 přímo zakazuje – auditor musí nezávisle hodnotit správnost a účinnost zavedených bezpečnostních opatření. Když si jednu velkou firmu objednáte na implementaci ISMS, a tu samou na audit, audit z principu nemůže být nezávislý. Některé velké poradenské firmy mají to oddělené uvnitř (jeden tým implementuje, druhý audituje), ale i tak je to riziko – a NÚKIB to v případě kontroly může napadnout.
Chyba 4: Žádný retest po opravách. Pentest najde 12 chyb. Vaše IT je za měsíc opraví. Razítko, hotovo? Ne. Paragraf 24 odst. 6 vyhlášky 409 přímo vyžaduje opětovné otestování nálezu, abyste ověřili, že oprava funguje. V praxi to znamená, že do rozpočtu na pentest patří i menší retest po pár měsících. Bez něj nevíte, jestli oprava funguje, nebo jen vypadá, že funguje.
Chyba 5: Pentest bez business kontextu. Tester přijde, dostane URL, začne pracovat. Najde 15 chyb. Vy se ale dozvíte, že kritická byla šestá – injection v reportovacím modulu. Co tester nevěděl: ten modul má přístup k databázi s nepublikovanými finančními výsledky před zveřejněním. Kritičnost by tím vzrostla dramaticky. Před pentestem musíte testerovi říct, co je u vás cenné. Bez kontextu testují všichni stejně, výsledek je generický a kritičtější nálezy se mohou skrývat v podružných modulech.
Sankce, které nikdo neříká nahlas
Když to firma neudělá správně a NÚKIB přijde na kontrolu, čísla nejsou triviální. Pro vyšší režim povinností je pokuta podle § 59 odst. 4 zákona 264/2025 až 250 milionů Kč nebo 2 % čistého celosvětového ročního obratu – podle toho, co je vyšší (orientačně tedy cca 10 mil. EUR). Pro nižší režim: až 175 milionů Kč nebo 1,4 % obratu (cca 7 mil. EUR).
To není teoretická hrozba. NÚKIB v roce 2023 zaznamenal rekordních 262 kybernetických bezpečnostních incidentů – téměř dvojnásobek oproti roku 2022 (146 incidentů). V roce 2024 to bylo 268. Zákon 264/2025 nabyl účinnosti 1. listopadu 2025 a od tohoto data NÚKIB postupně rozjíždí dohled. První tlak je na evidenci v Portálu NÚKIB a hlášení incidentů (24 hodin), ale audit a pentest jsou další v řadě.
Nemluvě o vedlejších nákladech: pokud incident nastane a vyjde najevo, že jste tři roky nedělali pentest, který měl probíhat každé dva, vaše pojistka kybernetické odpovědnosti vám může výplatu odmítnout. Pojišťovny si tohle kontrolují.
Čtyři otázky, které si položte před zaplacením
Ať už audit, pentest nebo skenování, čtyři otázky, které vám ušetří peníze a zlepší výsledek:
Otázka první: Co přesně je rozsah? Konkrétní URL, IP rozsahy, aplikace, segmenty sítě. Pokud dodavatel uvádí jen „bezpečnost vaší organizace", utečte. Dobré nabídky obsahují explicitní seznam, co se testuje a co ne.
Otázka druhá: Jaký je přístup – Black, Grey nebo White Box? Black Box (tester nemá nic) simuluje vnějšího útočníka, ale často nezachytí hluboké zranitelnosti. White Box (tester má zdrojový kód, dokumentaci, přístupy) je dražší, ale objeví dramaticky víc. Grey Box je kompromis. Pro většinu produktových aplikací se vyplatí Grey nebo White – Black Box je vhodnější pro periodické testy, zda se po roce v perimetru neobjevilo nové slabé místo.
Otázka třetí: Je v ceně retest? Pokud ne, počítejte s tím, že to budete řešit po pár měsících znova. Vyžádejte si retest opravených nálezů jako součást základní ceny.
Otázka čtvrtá: Kdo bude číst závěrečnou zprávu? Pokud má jít jen k technickému vedoucímu, stačí klasický technický report. Pokud má jít na představenstvo nebo do banky před úvěrem, vyžádejte si manažerský souhrn – stručná stránka nebo dvě, srozumitelné bez technického žargonu. Většina dodavatelů to nabízí, ale jen když si to vyžádáte.
Závěr a další díl
Pokud řešíte, jak vaši organizaci připravit na požadavky zákona 264/2025 a vyhlášky 409, aniž byste skončili s rozpočtem, který firmu zruinuje, nebo s razítky, která pokrývají díry – Kraita Cyber One je nástroj, který provazuje, co máte fakticky zavedeno, s tím, co musíte podle zákona doložit. Není to audit, není to pentest. Je to gap analýza – mapa, kde stojíte a co vám chybí. Většinou je to první krok dřív, než utratíte peníze za drahého auditora nebo pentestera, aby zjistili totéž.
Nebo si rezervujte 15 minut nezávazně s naším týmem.
Příště se vrátíme se ke skutečným příběhům – případ, kdy konkrétní firma utratila šest milionů za pentest, ale chybělo jí to nejdůležitější. Bude to zajímavé.
Zdroje
- Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, § 15, § 16
- Vyhláška č. 409/2025 Sb., § 5 odst. 4, § 16 (audit), § 24 (skenování a pentest), § 24 odst. 6 (retest)
- Vyhláška č. 410/2025 Sb., § 12 (aplikační bezpečnost – nižší režim)
- NÚKIB: Portál pro evidenci regulovaných služeb (portal.nukib.gov.cz)
- NÚKIB Výroční zpráva 2023 (262 incidentů)
- Integra: doba trvání pentestů webových aplikací (8–12 pracovních dnů)
- CZ.NIC / CSIRT: penetrační testy se slevou pro veřejný sektor a neziskové organizace
- Tržní pozorování českých dodavatelů (ESET, BDO, EY, Sec4good, Integra)