Právní rámec
264/2025 Sb. + 410/2025 Sb. režim nižších povinnostíZjistím, co je doložené, co chybí a jak z toho udělat řízený plán.
GAP analýza pro režim nižších povinností nemá skončit obecným seznamem nedostatků. Projdu organizační, procesní i technická opatření, odliším doložený stav od domněnek a připravím výstup, se kterým může pracovat vedení, IT i osoba pověřená kybernetickou bezpečností.
Výstup není jen zpráva
Reálný výstupový balík stavím tak, aby po předání nevznikly další paralelní seznamy úkolů. Hlavní zpráva vysvětluje stav a rizika, přílohy určují rozsah, priority, důkazy a harmonogram, vzory dokumentů a XLSX přehled pomáhají převést doporučení do řízené dokumentace.
Hlavní balík
PDF + DOCX + XLSX zpráva, přílohy, vzory a evidenceŘízení změn
R0, vlny, důkazy plán navázaný na lhůty a kapacityKdy dává tato GAP analýza smysl
Největší hodnota vzniká ve chvíli, kdy potřebujete převést zákonné povinnosti do konkrétního rozsahu, priorit, důkazů a harmonogramu.
Jaký problém řešíme
Chybí řídicí vrstva a důkazní stopa
Organizace často mají dílčí bezpečnostní prvky, ale chybí ucelená politika, přehled opatření, odpovědnosti, pravidelný přezkum a důkazní artefakty.
Regulace se míchá s provozní realitou
Vyhláška říká, co má být řízeno. GAP analýza musí ukázat, jak se to vztahuje k reálným službám, aktivům, dodavatelům, identitám, zálohám, incidentům a dokumentaci.
Po analýze nesmí vzniknout další chaos
Výstup proto odděluje manažerské priority, implementační harmonogram, technické kroky, evidenci opatření a dokumentační vzory. Každá část má jiný účel.
Co potřebuji před zahájením
Není potřeba mít všechno dokonale připravené. Důležité je vědět, co už existuje, co je doložitelné a kdo umí potvrdit provozní realitu.
- potvrzený nebo předpokládaný režim povinností, datum R0 a informace o regulované službě, pokud jsou známé
- organizační a technický dotazník nebo odpovědi lidí, kteří znají provoz, IT, dodavatele a interní pravidla
- dostupné interní dokumenty, směrnice, bezpečnostní pravidla, smlouvy s klíčovými dodavateli a provozní evidence
- přehled hlavních služeb, systémů, aktiv, poboček, rolí, identit, záloh a významných provozních závislostí
- technické exporty a podklady v rozsahu, který je pro posouzení bezpečný a účelný
- kontakt na vedení, IT nebo provoz a člověka, který bude výstup po předání skutečně řídit
Kdy GAP analýza není vhodná
Služba má jasné hranice. Nechci ji prodávat jako náhradu za právní stanovisko, penetrační test nebo kompletní technickou implementaci.
Potřebujete právní stanovisko
Hodnotím bezpečnostní a provozní připravenost. Právní závěry, registraci služby nebo závazný výklad povinností je potřeba řešit s právníkem.
Potřebujete penetrační test
GAP analýza nevydává technický důkaz zneužitelnosti zranitelností. Pokud je cílem ověřit konkrétní systém útokem, patří tam penetrační test nebo security review.
Chcete pouze obecnou šablonu dokumentace
Šablony dávají smysl až ve vazbě na reálný rozsah, role, dodavatele, aktiva a otevřené mezery. Samotný balík dokumentů bez hodnocení bývá slabý.
Jak vypadá výstup GAP analýzy
Výstup je rozdělený tak, aby každá část měla jasný účel. Vedení dostane srozumitelné shrnutí a priority, technický tým dostane konkrétní rozpad, důkazy a vazby na opatření.
Zpráva
Hlavní zpráva a technická část
Hlavní zpráva popisuje účel, rozsah, právní rámec, metodiku, stav opatření, rizika a doporučení. Technická část drží citlivější detaily odděleně.
Přílohy
Rozsah, stav, důkazy, dodavatelé a harmonogram
Přílohy R, A1, A2, B1, B2, B3, C a D převádějí analýzu do rozsahu hodnocení, stavu opatření, mapy důkazů, dodavatelského pohledu, školících témat, harmonogramu a technického To-Do listu.
Převzetí
Vzory dokumentů a XLSX přehled opatření
Navazující DOCX vzory a samostatný sešit opatření pomáhají převést závěry do řízené dokumentace, odpovědností, termínů, důkazů a pravidelných přezkumů.
Co dostanete
Hlavní GAP zpráva
Manažersky čitelný dokument s účelem, rozsahem, metodikou, hodnocením oblastí, hlavními riziky, doporučeními a vysvětlením, co je doložené a co nikoli.
Samostatná technická část
Oddělený výstup pro technické převzetí zjištění. Citlivé technické detaily se tak nemusí zbytečně šířit všem příjemcům hlavní zprávy.
Příloha R, A1 a A2
Rozsah hodnocení, stručný stav bezpečnostních opatření a manažerské priority implementace navázané na další části balíku.
Přílohy B1, B2 a B3
Mapa podkladů a důkazů, dodavatelská matice k požadavkům vyhlášky a matice témat bezpečnostního povědomí.
Příloha C a D
Implementační harmonogram ve vlnách a technický To-Do list pro uzavření konkrétních technických mezer a prokazatelnosti.
DOCX vzory a XLSX evidence
Sada dokumentačních vzorů pro řízenou dokumentaci a samostatný sešit přehledu bezpečnostních opatření pro termíny, odpovědnosti, stav a důkazy.
Kdy to řešit hned
GAP analýzu je vhodné řešit včas, dokud je prostor na věcnou prioritizaci, doplnění důkazů a rozumné naplánování kapacit.
Blíží se R0 + 12 měsíců
Harmonogram musí ukázat, co je nutné zavést jako první a co už může být jen stabilizace, přezkum nebo doplnění důkazní stopy.
Chybí osoba pověřená KB nebo vlastník programu
GAP analýza pomůže popsat odpovědnosti, rozhodovací body a pravidelný režim informování vedení.
Dodavatelé, identity nebo zálohy jsou nejasné
Právě tyto oblasti často rozhodují o tom, zda se opatření dají obhájit, řídit a technicky převzít.
Typický první krok
Předem si potvrdíme, zda má smysl dělat plnou GAP analýzu, nebo nejdřív menší rozsahové posouzení.
Potvrzení režimu, rozsahu a dostupných podkladů
V krátkém úvodním kroku si projdeme, jaká služba je posuzovaná, jaký je stav R0, kdo bude výstup používat, jaké podklady existují a co je potřeba doplnit, aby analýza nebyla založená na domněnkách.
Orientační cena
Cena se odvíjí od rozsahu regulované služby, počtu posuzovaných oblastí, dostupnosti podkladů, počtu rozhovorů a hloubky navazujících příloh a vzorů.
Plná GAP analýza s výstupovým balíkem
Typicky od 95 000 Kč pro menší až střední organizaci s jasně vymezeným rozsahem, dostupnými podklady a režimem nižších povinností.
Rozšíření o hlubší technické ověření
Vyšší rozsah dává smysl, pokud je potřeba detailněji ověřovat identity, logování, zálohy, síťovou segmentaci, dodavatele nebo technické důkazy.
Navazující implementace a osoba pověřená KB
Po předání lze navázat koordinací implementace, pravidelným dohledem, podporou dokumentace, školením nebo rolí osoby pověřené kybernetickou bezpečností.
Přesnou cenu navrhnu po potvrzení režimu povinností, velikosti organizace, dostupných podkladů a požadované hloubky výstupového balíku.
Jak probíhá spolupráce
Vymezení režimu, R0 a rozsahu
Potvrdíme právní a provozní rámec, referenční datum, regulovanou službu, hlavní aktiva, hranice hodnocení a otevřené předpoklady.
Sběr podkladů a rozhovory
Pracuji s organizačními a technickými dotazníky, interní dokumentací, smluvními podklady, technickými exporty a rozhovory s lidmi, kteří znají provoz.
Hodnocení vůči vyhlášce
U každé relevantní oblasti hodnotím stav, doložitelnost, riziko, nezbytná opatření a doporučenou praxi nad rámec minima.
Sestavení balíku výstupů
Připravím hlavní zprávu, technickou část, přílohy, harmonogram, technický To-Do list, vzory dokumentů a samostatný přehled opatření.
Předání a rozhodnutí o navázání
Vysvětlím, jak s balíkem pracovat, co převzít jako jeden harmonogram a jednu evidenci opatření a kde dává smysl navázat implementací nebo pravidelným dohledem.
Pro koho je služba vhodná
- organizace v režimu nižších povinností podle zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb.
- zdravotnictví, výroba, veřejná správa a další organizace, kde ZoKB/NIS2 spouští potřebu řízeného bezpečnostního programu
- vedení, které potřebuje obhajitelný přehled stavu, priorit, rizik a nákladů
- IT a provozní týmy, které potřebují vědět, jaké důkazy, dokumenty a technické kroky budou potřeba
- organizace, které nechtějí paralelní seznamy úkolů, ale jeden harmonogram, jednu evidenci opatření a jasnou vazbu na dokumentaci
Navazující situace a služby
Časté otázky
Je to právní stanovisko k tomu, jestli na nás zákon dopadá?
Ne. Pracuji s bezpečnostním a provozním dopadem požadavků. Právní posouzení režimu, registrace nebo výkladu povinností má potvrdit právník.
Je to penetrační test nebo detailní technický audit?
Ne. GAP analýza hodnotí organizační, procesní a technická opatření vůči vyhlášce a dostupným důkazům. Pokud je potřeba ověřit zneužitelnost konkrétního systému, navazuje penetrační test nebo security review.
Co znamená, když je ve výstupu uvedeno, že něco nebylo doloženo?
Znamená to, že opatření nebylo prokázáno v poskytnutých podkladech nebo rozhovorech. Neznamená to automaticky, že v organizaci vůbec neexistuje. Pro další práci je potřeba doložit důkaz, zavést proces nebo potvrdit výjimku.
Dostane vedení jen dlouhý technický report?
Ne. Hlavní zpráva a manažerské přílohy jsou oddělené od technické části. Vedení má dostat stav, rizika, priority a rozhodnutí. Technické detaily patří jen lidem, kteří je potřebují k nápravě.
Lze po GAP analýze navázat implementací nebo rolí osoby pověřené KB?
Ano. Výstup je stavěný tak, aby se na něj dalo navázat koordinací implementace, pravidelným dohledem, školením, doplněním dokumentace nebo rolí osoby pověřené kybernetickou bezpečností.
Potřebujete z povinností udělat konkrétní plán?
Pošlete mi stručný kontext organizace, důvod, proč ZoKB/NIS2 řešíte, a informaci, zda už máte R0 nebo jiné rozhodnutí. Navrhnu vhodný rozsah GAP analýzy i podobu výstupového balíku.