Registrace je za vámi, máte potvrzení od NÚKIB, a teď koukáte na kalendář s nepříjemným pocitem v břiše. Máte rok na to, abyste zavedli bezpečnostní opatření podle zákona 264/2025 Sb. Jenže – kde sakra začít?
Odpověď je překvapivě jednoduchá: v příloze vyhlášky 410/2025 Sb. je tabulka, která vám řekne přesně co, kdy a jak. A dnes si ukážeme, jak z ní za jedno odpoledne vytáhnout kompletní přehled toho, co vám chybí.
Proč všichni mluví o GAP analýze
GAP analýza zní jako něco, co dělají velké korporace s týmy konzultantů za miliony korun. Ve skutečnosti je to docela jednoduchý koncept: vezmete seznam toho, co máte splňovat, a porovnáte ho s tím, co reálně děláte. Rozdíl – ten "gap" – je vaše práce na příštích dvanáct měsíců.
Problém většiny firem není v tom, že by nevěděly, co je ta GAP analýza vlastně zač. Problém je, že netuší, podle čeho ten seznam vůbec sestavit. Studovat paragraf po paragrafu? Najmout konzultanta za statisíce? Nebo prostě doufat, že se to nějak vyřeší?
Naštěstí existuje třetí cesta.
Příloha č. 1 vyhlášky 410/2025: Vaše mapa k pokladu
Vyhláška 410/2025 Sb. o bezpečnostních opatřeních pro poskytovatele v režimu nižších povinností obsahuje v příloze č. 1 něco, co vám ušetří týdny práce – kompletní tabulku bezpečnostních opatření, kterou máte povinně vyplnit a udržovat aktuální.
Tahle tabulka není jen formalita pro úředníky. Je to praktický nástroj, který vám říká: "Hele, tohle všechno musíš mít vyřešené. Zaškrtni, co už máš, napiš, co chybí, a urči, kdo to má do kdy dodělat."
Co tabulka obsahuje
Podle § 3 odst. 2 vyhlášky musí váš "přehled bezpečnostních opatření" obsahovat tři kategorie:
Opatření, která už máte zavedená – včetně popisu, jak konkrétně fungují. Nestačí napsat "máme firewall". Musíte popsat, jak je nakonfigurovaný, kdo ho spravuje, jak často se aktualizují pravidla.
Opatření, která teprve zavedete – tady uvádíte termín zavedení, prioritu a odpovědnou osobu. Tohle je ten akční plán, o kterém všichni mluví.
Opatření, která nezavedete – ano, některá opatření nemusíte zavádět, pokud pro vás nejsou relevantní. Ale musíte zdůvodnit proč. "Nemáme na to peníze" není validní důvod. "Nemáme žádná mobilní zařízení, proto nepotřebujeme politiku BYOD" už ano.
Praktický návod: Jak na to za odpoledne
Vezměte si tabulku z přílohy a projděte ji systematicky. Tady je postup, který funguje:
Krok 1: Inventura současného stavu (60 minut)
Projděte tabulku a u každého opatření si položte jednoduchou otázku: "Děláme tohle?" Odpovědi jsou jen tři: ano, částečně, ne.
Neřešte zatím detaily. Cílem je získat rychlý přehled. U většiny položek budete vědět odpověď okamžitě – buď zálohy děláte, nebo ne. Buď máte MFA, nebo nemáte.
Krok 2: Honba za důkazy (45 minut)
U položek, kde jste odpověděli "ano" nebo "částečně", si zapište, kde to máte zdokumentované. Máte směrnici o heslech? Kde leží? Kdo ji naposledy aktualizoval? Máte záznamy o školeních zaměstnanců?
Tohle je důležité – při kontrole NÚKIB nestačí říct "jo, to děláme". Musíte to doložit.
Krok 3: Prioritizace mezer (45 minut)
Teď přichází ta zajímavější část. U položek s odpovědí "ne" nebo "částečně" musíte rozhodnout, jak moc hoří. Vyhláška vám naštěstí dává vodítko – v příloze najdete i škálu priority od 1 (nízká) do 4 (kritická).
Kritéria pro prioritu jsou jasná: absence opatření, které by mělo okamžité a nevratné důsledky pro vaši službu, je kritická. Opatření, které je sice požadované, ale jeho absence nemá přímý dopad na provoz, má nižší prioritu.
Krok 4: Přiřazení odpovědností (30 minut)
Každá mezera potřebuje majitele. Ne "IT oddělení", ale konkrétní jméno. Člověk, který bude zodpovědný za to, že se opatření zavede do stanoveného termínu.
Tipněte si – většina problémů s implementací bezpečnostních opatření není technická. Je organizační. Nikdo neví, kdo má co dělat.
Co hodnotit a jak: Klíčové oblasti vyhlášky
Tabulka pokrývá všechny oblasti, které vyhláška 410/2025 požaduje. Tady jsou ty nejdůležitější:
Systém řízení bezpečnosti – Máte bezpečnostní politiku? Je schválená vedením? Kdo je odpovědný za kybernetickou bezpečnost?
Bezpečnost lidských zdrojů – Školíte zaměstnance? Máte o tom záznamy? Řešíte odchody zaměstnanců z pohledu přístupů?
Řízení přístupu – Kdo má přístup kam? Používáte vícefaktorovou autentizaci? Máte přehled o privilegovaných účtech?
Kontinuita činností – Máte zálohy? Testujete je? Víte, jak dlouho trvá obnova?
Detekce a reakce na incidenty – Zaznamenáváte bezpečnostní události? Máte postup pro hlášení incidentů? Víte, co je incident s významným dopadem?
Bezpečnost komunikačních sítí – Je vaše síť segmentovaná? Máte přehled o vzdálených přístupech?
Častá chyba: Dělat z toho vědu
Jsou firmy, které nad GAP analýzou strávily měsíce. Najaly konzultanty, sestavily pracovní skupiny, pořádaly workshopy. A výsledek? Stopadesátistránková zpráva, kterou nikdo nečte.
Příloha vyhlášky je záměrně jednoduchá. NÚKIB nechce, abyste psali romány. Chce, abyste měli přehled o tom, co děláte a co vám chybí. Tabulka, která se vejde na pár stránek, je mnohem užitečnější než elaborát, ve kterém se nikdo nevyzná.
Nezapomeňte na aktualizaci
Vyhláška říká jasně: přehled bezpečnostních opatření musíte aktualizovat alespoň jednou ročně. A uchovávat ho minimálně 4 roky. To není jen byrokracie – je to způsob, jak sledovat svůj pokrok a dokazovat, že bezpečnost berete vážně.
Nastavte si připomínku. Ideálně na stejné datum každý rok. A při aktualizaci se ptejte: splnili jsme, co jsme si naplánovali? Objevily se nové hrozby? Změnila se naše infrastruktura?
Jak vám může pomoct Kraita Cyber One
Ruční procházení tabulky funguje, ale zabere čas. Kraita Cyber One dokáže tento proces výrazně urychlit – automaticky porovná váš aktuální stav s požadavky vyhlášky a vygeneruje přehlednou zprávu o tom, co splňujete a co ne.
Výstupem je akční plán s prioritami, který můžete rovnou použít jako základ pro váš přehled bezpečnostních opatření. Místo odpoledne to zvládnete za hodinu. A místo tabulky v Excelu máte interaktivní nástroj, který vám připomene termíny a hlídá pokrok.
Vyzkoušejte demo na kraita.io a zjistěte, jak na tom vaše firma je. Nebo nás kontaktujte na nezávaznou konzultaci – rádi vám ukážeme, jak gap analýzu zvládnout bez stresu.