Zjistím, co je doložené, co chybí a jak z toho udělat řízený plán.

GAP analýza pro režim nižších povinností nemá skončit obecným seznamem nedostatků. Projdu organizační, procesní i technická opatření, odliším doložený stav od domněnek a připravím výstup, se kterým může pracovat vedení, IT i osoba pověřená kybernetickou bezpečností.

Výstup není jen zpráva

Reálný výstupový balík stavím tak, aby po předání nevznikly další paralelní seznamy úkolů. Hlavní zpráva vysvětluje stav a rizika, přílohy určují rozsah, priority, důkazy a harmonogram, vzory dokumentů a XLSX přehled pomáhají převést doporučení do řízené dokumentace.

Právní rámec

264/2025 Sb. + 410/2025 Sb. režim nižších povinností

Hlavní balík

PDF + DOCX + XLSX zpráva, přílohy, vzory a evidence

Řízení změn

R0, vlny, důkazy plán navázaný na lhůty a kapacity

Kdy dává tato GAP analýza smysl

Největší hodnota vzniká ve chvíli, kdy potřebujete převést zákonné povinnosti do konkrétního rozsahu, priorit, důkazů a harmonogramu.

Situace Proč právě tento krok Co má být jasné potom
Máte rozhodnutí, R0 nebo jiný spouštěč a běží vám lhůta pro zavedení opatření. Nejdřív je potřeba potvrdit rozsah regulované služby, posuzované vrstvy a nejzazší termíny. Použitý rozsah hodnocení, otevřené předpoklady, vazba na R0 a realistický plán prvních kroků.
V organizaci už něco existuje, ale není jasné, co je skutečně prokazatelné. Formulace typu nebylo doloženo neznamená, že opatření neexistuje. Znamená, že chybí důkazní stopa nebo řízený artefakt. Rozlišení stavu zavedeno, v procesu a nezavedeno včetně důkazů, které chybí pro obhajitelné plnění.
Potřebujete plán pro vedení a zároveň pracovní podklady pro IT, dodavatele a osobu pověřenou KB. Samotný report nestačí. Implementace potřebuje jeden harmonogram, detailní evidenci opatření, vazby na vzory dokumentů a technický rozpad. Manažerské priority, implementační vlny, technický To-Do list a navazující dokumenty pro převzetí do řízené dokumentace.

Jaký problém řešíme

01

Chybí řídicí vrstva a důkazní stopa

Organizace často mají dílčí bezpečnostní prvky, ale chybí ucelená politika, přehled opatření, odpovědnosti, pravidelný přezkum a důkazní artefakty.

02

Regulace se míchá s provozní realitou

Vyhláška říká, co má být řízeno. GAP analýza musí ukázat, jak se to vztahuje k reálným službám, aktivům, dodavatelům, identitám, zálohám, incidentům a dokumentaci.

03

Po analýze nesmí vzniknout další chaos

Výstup proto odděluje manažerské priority, implementační harmonogram, technické kroky, evidenci opatření a dokumentační vzory. Každá část má jiný účel.

Co potřebuji před zahájením

Není potřeba mít všechno dokonale připravené. Důležité je vědět, co už existuje, co je doložitelné a kdo umí potvrdit provozní realitu.

Kdy GAP analýza není vhodná

Služba má jasné hranice. Nechci ji prodávat jako náhradu za právní stanovisko, penetrační test nebo kompletní technickou implementaci.

Potřebujete právní stanovisko

Hodnotím bezpečnostní a provozní připravenost. Právní závěry, registraci služby nebo závazný výklad povinností je potřeba řešit s právníkem.

Potřebujete penetrační test

GAP analýza nevydává technický důkaz zneužitelnosti zranitelností. Pokud je cílem ověřit konkrétní systém útokem, patří tam penetrační test nebo security review.

Chcete pouze obecnou šablonu dokumentace

Šablony dávají smysl až ve vazbě na reálný rozsah, role, dodavatele, aktiva a otevřené mezery. Samotný balík dokumentů bez hodnocení bývá slabý.

Jak vypadá výstup GAP analýzy

Výstup je rozdělený tak, aby každá část měla jasný účel. Vedení dostane srozumitelné shrnutí a priority, technický tým dostane konkrétní rozpad, důkazy a vazby na opatření.

Zpráva

Hlavní zpráva a technická část

Hlavní zpráva popisuje účel, rozsah, právní rámec, metodiku, stav opatření, rizika a doporučení. Technická část drží citlivější detaily odděleně.

Přílohy

Rozsah, stav, důkazy, dodavatelé a harmonogram

Přílohy R, A1, A2, B1, B2, B3, C a D převádějí analýzu do rozsahu hodnocení, stavu opatření, mapy důkazů, dodavatelského pohledu, školících témat, harmonogramu a technického To-Do listu.

Převzetí

Vzory dokumentů a XLSX přehled opatření

Navazující DOCX vzory a samostatný sešit opatření pomáhají převést závěry do řízené dokumentace, odpovědností, termínů, důkazů a pravidelných přezkumů.

Co dostanete

01

Hlavní GAP zpráva

Manažersky čitelný dokument s účelem, rozsahem, metodikou, hodnocením oblastí, hlavními riziky, doporučeními a vysvětlením, co je doložené a co nikoli.

02

Samostatná technická část

Oddělený výstup pro technické převzetí zjištění. Citlivé technické detaily se tak nemusí zbytečně šířit všem příjemcům hlavní zprávy.

03

Příloha R, A1 a A2

Rozsah hodnocení, stručný stav bezpečnostních opatření a manažerské priority implementace navázané na další části balíku.

04

Přílohy B1, B2 a B3

Mapa podkladů a důkazů, dodavatelská matice k požadavkům vyhlášky a matice témat bezpečnostního povědomí.

05

Příloha C a D

Implementační harmonogram ve vlnách a technický To-Do list pro uzavření konkrétních technických mezer a prokazatelnosti.

06

DOCX vzory a XLSX evidence

Sada dokumentačních vzorů pro řízenou dokumentaci a samostatný sešit přehledu bezpečnostních opatření pro termíny, odpovědnosti, stav a důkazy.

Kdy to řešit hned

GAP analýzu je vhodné řešit včas, dokud je prostor na věcnou prioritizaci, doplnění důkazů a rozumné naplánování kapacit.

Blíží se R0 + 12 měsíců

Harmonogram musí ukázat, co je nutné zavést jako první a co už může být jen stabilizace, přezkum nebo doplnění důkazní stopy.

Chybí osoba pověřená KB nebo vlastník programu

GAP analýza pomůže popsat odpovědnosti, rozhodovací body a pravidelný režim informování vedení.

Dodavatelé, identity nebo zálohy jsou nejasné

Právě tyto oblasti často rozhodují o tom, zda se opatření dají obhájit, řídit a technicky převzít.

Typický první krok

Předem si potvrdíme, zda má smysl dělat plnou GAP analýzu, nebo nejdřív menší rozsahové posouzení.

Potvrzení režimu, rozsahu a dostupných podkladů

V krátkém úvodním kroku si projdeme, jaká služba je posuzovaná, jaký je stav R0, kdo bude výstup používat, jaké podklady existují a co je potřeba doplnit, aby analýza nebyla založená na domněnkách.

Orientační cena

Cena se odvíjí od rozsahu regulované služby, počtu posuzovaných oblastí, dostupnosti podkladů, počtu rozhovorů a hloubky navazujících příloh a vzorů.

Plná GAP analýza s výstupovým balíkem

Typicky od 95 000 Kč pro menší až střední organizaci s jasně vymezeným rozsahem, dostupnými podklady a režimem nižších povinností.

Rozšíření o hlubší technické ověření

Vyšší rozsah dává smysl, pokud je potřeba detailněji ověřovat identity, logování, zálohy, síťovou segmentaci, dodavatele nebo technické důkazy.

Navazující implementace a osoba pověřená KB

Po předání lze navázat koordinací implementace, pravidelným dohledem, podporou dokumentace, školením nebo rolí osoby pověřené kybernetickou bezpečností.

Přesnou cenu navrhnu po potvrzení režimu povinností, velikosti organizace, dostupných podkladů a požadované hloubky výstupového balíku.

Jak probíhá spolupráce

01

Vymezení režimu, R0 a rozsahu

Potvrdíme právní a provozní rámec, referenční datum, regulovanou službu, hlavní aktiva, hranice hodnocení a otevřené předpoklady.

02

Sběr podkladů a rozhovory

Pracuji s organizačními a technickými dotazníky, interní dokumentací, smluvními podklady, technickými exporty a rozhovory s lidmi, kteří znají provoz.

03

Hodnocení vůči vyhlášce

U každé relevantní oblasti hodnotím stav, doložitelnost, riziko, nezbytná opatření a doporučenou praxi nad rámec minima.

04

Sestavení balíku výstupů

Připravím hlavní zprávu, technickou část, přílohy, harmonogram, technický To-Do list, vzory dokumentů a samostatný přehled opatření.

05

Předání a rozhodnutí o navázání

Vysvětlím, jak s balíkem pracovat, co převzít jako jeden harmonogram a jednu evidenci opatření a kde dává smysl navázat implementací nebo pravidelným dohledem.

Pro koho je služba vhodná

Navazující situace a služby

Časté otázky

Je to právní stanovisko k tomu, jestli na nás zákon dopadá?

Ne. Pracuji s bezpečnostním a provozním dopadem požadavků. Právní posouzení režimu, registrace nebo výkladu povinností má potvrdit právník.

Je to penetrační test nebo detailní technický audit?

Ne. GAP analýza hodnotí organizační, procesní a technická opatření vůči vyhlášce a dostupným důkazům. Pokud je potřeba ověřit zneužitelnost konkrétního systému, navazuje penetrační test nebo security review.

Co znamená, když je ve výstupu uvedeno, že něco nebylo doloženo?

Znamená to, že opatření nebylo prokázáno v poskytnutých podkladech nebo rozhovorech. Neznamená to automaticky, že v organizaci vůbec neexistuje. Pro další práci je potřeba doložit důkaz, zavést proces nebo potvrdit výjimku.

Dostane vedení jen dlouhý technický report?

Ne. Hlavní zpráva a manažerské přílohy jsou oddělené od technické části. Vedení má dostat stav, rizika, priority a rozhodnutí. Technické detaily patří jen lidem, kteří je potřebují k nápravě.

Lze po GAP analýze navázat implementací nebo rolí osoby pověřené KB?

Ano. Výstup je stavěný tak, aby se na něj dalo navázat koordinací implementace, pravidelným dohledem, školením, doplněním dokumentace nebo rolí osoby pověřené kybernetickou bezpečností.

Potřebujete z povinností udělat konkrétní plán?

Pošlete mi stručný kontext organizace, důvod, proč ZoKB/NIS2 řešíte, a informaci, zda už máte R0 nebo jiné rozhodnutí. Navrhnu vhodný rozsah GAP analýzy i podobu výstupového balíku.