Tomáš Matějíček
ZoKB/NIS2 plán implementace

Pomohu oddělit nutné minimum od doporučení navíc a připravit realistický plán.

ZoKB/NIS2 není jen formální dokumentace. Největší riziko je špatně nastavený rozsah, nereálný harmonogram a opatření, která neodpovídají skutečnému provozu organizace.

Poptat GAP analýzu Domluvit vhodný první krok

Jaký problém řešíme

Organizace neví, odkud implementaci začít

Požadavků je hodně a bez gap logiky není jasné, co je povinné minimum, quick win a co bude větší projekt.

Chybí vazba mezi regulací a realitou prostředí

Nestačí jen odškrtat paragrafy. Je potřeba pochopit, co je v prostředí už splněné a co je jen formální deklarace.

Vedení potřebuje obhajitelný plán

GAP analýza má pomoci s prioritizací, rozpočtem, odpovědnostmi a dalším rozhodnutím, ne vytvořit další chaos.

Kdy to řešit hned

ZoKB/NIS2 je vhodné řešit dřív, než vznikne tlak na rychlou formální dokumentaci bez vazby na realitu prostředí.

Nově spadáte do povinností

Potřebujete určit, co se vás týká, co už splňujete a co má být první implementační krok.

Vedení chce rozpočet a harmonogram

Bez prioritizace hrozí, že plán bude příliš široký, drahý nebo neproveditelný.

Máte návrh dodavatele

Dává smysl ověřit, zda rozsah a pořadí kroků odpovídají povinnostem i provozním možnostem.

Ukázka struktury výstupu GAP analýzy

Výstup kombinuje regulatorní pohled s technickou a provozní realitou organizace.

Požadavky

Přehled oblastí, kde je největší mezera

Rozpad požadavků do tematických bloků s označením stavu, významu a doporučené priority.

Priorita

Plán povinného minima a navazujících kroků

Pořadí implementace podle regulatorního dopadu, rizika a schopnosti organizace změny zvládnout.

Rozhodnutí

Doporučení navazujících služeb a odpovědností

Jasný návrh, kde dává smysl další analýza, hardening, analýza identit nebo metodická podpora.

Co tato služba řeší pro schvalovatele i koordinátora

GAP analýza bývá vstupem pro vedení, koordinátora i technický tým. Důvody ke koupi se liší podle toho, kdo potřebuje výstup obhájit a kdo podle něj bude pracovat.

Pro vedení a schvalovatele

  • Obhajitelný podklad pro rozhodnutí
    Výstup je připravený tak, aby šel použít pro ředitele, vedení organizace nebo zřizovatele bez nutnosti překládat technický report.
  • Priorita, dopad a odpovědnost
    Zjištění jsou popsaná podle dopadu na provoz, riziko a další krok, ne jen jako seznam technických detailů.
  • Realistický plán místo přání
    Doporučení zohledňují kapacitu týmu, roli dodavatelů a to, co lze skutečně provést v příštích týdnech a měsících.

Pro správce a technický tým

  • Konkrétní nálezy bez zbytečné omáčky
    Výstup jde použít přímo pro konfiguraci, ověření změn, práci s dodavatelem nebo další technickou kontrolu.
  • Pořadí oprav a návaznosti
    Je jasné, co řešit jako první, co má závislosti a kde se vyplatí navázat další analýzou nebo nápravou.
  • Rozsah použitelný pro provozní realitu
    Doporučení počítají s omezeními produkčního prostředí, školního provozu i hybridních identit a cloudových služeb.

Co dostanete

Přehled mezer vůči požadavkům

Strukturované porovnání stavu organizace s požadavky zákona a vyhlášky v relevantních oblastech.

Prioritizovaný plán implementace

Návrh pořadí kroků s důrazem na povinné minimum, rychlé kroky a další návaznosti.

Manažerské i pracovní shrnutí

Výstup připravený tak, aby šel použít pro vedení, koordinátora kybernetické bezpečnosti i navazující realizaci.

Typický první krok

Detailní posouzení není bezplatná konzultace. Předem si potvrdíme rozsah, očekávaný výstup a dostupné podklady.

Úvodní workshop, analýza podkladů a plán

Prvním krokem bývá úvodní workshop, analýza dostupných podkladů, mapa priorit a praktický plán implementace.

Jak probíhá spolupráce

1

Vyjasnění regulačního kontextu a cíle

Potvrdíme, jaký režim organizace řeší, co je aktuální spouštěč a kdo bude výstup používat.

2

Porovnání stavu s požadavky

Projdu relevantní oblasti a porovnám skutečný stav organizace s požadavky zákona a vyhlášky.

3

Prioritizace mezer a doporučení

Výstup sjednotím do pořadí kroků, které dává smysl z hlediska regulatorního tlaku i provozní reality.

4

Navazující plán implementace

Doporučím, kde navázat hardeningem, analytickou službou nebo metodickou podporou pro konkrétní oblast.

Pro koho je služba vhodná

  • organizace, které nově spadají do regulatorního rámce
  • týmy, které potřebují rychle zorientovat stav implementace
  • prostředí, kde je potřeba převést paragrafy do konkrétních kroků

Potřebujete si předem potvrdit průběh GAP analýzy a typ výstupu?

Na těchto stránkách je rozepsané, jak se pracuje s podklady, jak se určuje priorita a co přesně dostane vedení i koordinátor k dalšímu rozhodnutí.

Jak probíhá spolupráce

Průběh vyjasnění rozsahu, práce s podklady, analytického ověření a navazující komunikace bez marketingové zkratky.

Jak vypadá výstup

Struktura výstupu pro vedení, správce i technický tým včetně toho, jak se z něj určuje další krok.

Domluvit vhodný první krok

Pokud už je rozsah zřejmý, pokračujte rovnou formulářem a doplňte prostředí, rozhodovací roli a očekávaný výstup.

Typické segmenty, kde tato služba dává smysl

Časté otázky

Nahrazuje GAP analýza plnou implementaci požadavků?

Ne. Je to vstupní krok, který pomůže určit, co řešit jako první a jak rozdělit další práci.

Dá se výstup použít pro vedení i technický tým?

Ano. Výstup je připravený tak, aby dával smysl pro prioritizaci rozpočtu i pro praktickou realizaci kroků.

Navážete i na konkrétní technická opatření?

Ano. Pokud z GAP analýzy vyjde potřeba analýzy identit, hardeningu nebo jiné technické služby, lze navázat konkrétním projektem.

Potřebujete rychle srovnat stav s požadavky ZoKB a vyhlášky?

Pošlete základní kontext organizace a důvod, proč GAP analýzu řešíte právě teď. Navrhnu vhodný rozsah i podobu výstupu.

Poptat GAP analýzu Domluvit vhodný první krok