Implementační fáze
15 h / měsíc průměrný rozsah, skutečná pracnost může mezi měsíci kolísatPomohu vám zavést a udržet kyberbezpečnostní opatření v pravidelném provozu
Role osoby pověřené kybernetickou bezpečností dává smysl ve chvíli, kdy už víte, co je potřeba řešit, ale potřebujete někoho, kdo bude držet priority, evidenci, dokumentaci, školení, reporting a rozhodnutí vedení v jednom pracovním rytmu.
Služba je navržená jako praktická role, ne jako formální titul
V implementaci pomáhám rozběhnout systém práce. Po dokončení implementace přechází spolupráce do menšího pravidelného provozního dohledu.
Provozní fáze
10 h / měsíc pravidelný dohled, reporting, kontrolní témata a menší změnyPráce nad rámec
2 000 Kč / h větší dokumenty, školení, incidenty nebo technická implementaceKdy zvolit externí osobu pověřenou kybernetickou bezpečností
Tato služba je vhodná pro organizace, které potřebují odborně řídit kyberbezpečnostní agendu, ale nedává jim smysl hned budovat interní bezpečnostní roli na plný úvazek.
Jaký problém řešíme
Osoba pověřená kybernetickou bezpečností má držet systém práce pohromadě. Nestačí mít dokumenty, pokud se podle nich neřídí priority, změny a odpovědnosti.
Opatření nemají stabilního vlastníka
Někdo připraví analýzu nebo seznam úkolů, ale v běžném provozu chybí člověk, který hlídá termíny, vazby, výjimky, důkazy a rozhodnutí.
Vedení nedostává použitelný stav
Technické detaily jsou důležité, ale vedení potřebuje hlavně vědět, co je riziko, kde je potřeba zdroj nebo rozhodnutí a co se změnilo od minulého měsíce.
Dokumentace a evidence nežijí s provozem
Bez měsíční údržby se registry aktiv, rizik, dodavatelů, opatření, incidentních kontaktů a výjimek rychle stanou neaktuálními.
Co potřebuji před převzetím role
Aby role nebyla jen formální, musí být od začátku jasné, z čeho vycházíme, kdo rozhoduje a jak se budou předávat úkoly, rizika a výstupy.
- aktuální GAP analýzu, audit, plán opatření nebo alespoň pracovní seznam otevřených bezpečnostních témat
- potvrzení režimu povinností, rozsahu regulované služby a očekávané návaznosti na ZoKB a vyhlášku č. 410/2025 Sb.
- kontaktní osoby pro vedení, IT, provoz, dodavatele a bezpečnostní incidenty
- existující bezpečnostní dokumentaci, evidence aktiv, rizik, dodavatelů, incidentů, výjimek a školení, pokud existují
- očekávaný měsíční rozsah, způsob reportingu a pravidla pro schvalování práce nad rámec
Kdy tato služba sama o sobě nestačí
Role pomáhá odborně řídit a koordinovat bezpečnostní agendu. Nemůže nahradit vedení organizace, provozní odpovědnost ani technickou práci, která musí být samostatně zadána.
Vedení nechce rozhodovat
Pokud nejsou dostupná rozhodnutí o prioritách, rozpočtu, odpovědnostech a riziku, role se zablokuje v doporučeních bez dopadu.
Očekává se převzetí celé odpovědnosti
Pomáhám nastavovat, koordinovat a kontrolovat agendu. Odpovědnost za provoz, lidi, dodavatele a rozhodnutí zůstává v organizaci.
Chybí vstupní přehled stavu
Pokud není jasné, kde začít, je vhodnější nejdřív udělat GAP analýzu nebo úvodní posouzení a až potom nastavit měsíční roli.
Jak vypadá výstup spolupráce
Výstup nemá být šanon dokumentů. Smyslem je pravidelný, stručný a použitelný přehled pro řízení bezpečnosti.
Stav opatření
Přehled úkolů, rizik a důkazů
Co je hotové, co je otevřené, kdo je vlastníkem, kde chybí důkaz a které body jsou po termínu.
Vedení
Měsíční informace pro rozhodnutí
Stručný souhrn hlavních rizik, změn, doporučených rozhodnutí a priorit na další období.
Provoz
Aktualizovaná dokumentace a evidence
Dokumentace, registry, kontakty, eskalační postupy a kontrolní témata udržované podle reálného provozu.
Co role typicky pokrývá
Rozsah se liší podle fáze. Implementační fáze nastavuje systém práce, provozní fáze ho udržuje a pravidelně kontroluje.
Implementační fáze
Převzetí výstupů GAP analýzy, návrh priorit, nastavení odpovědností, evidence aktiv, rizik, dodavatelů a opatření, základní dokumentace, incidentní postup, školení a měsíční reporting.
Provozní fáze
Měsíční koordinační schůzka, aktualizace opatření, rizik a úkolů, stručná informace pro vedení, konzultace změn v IT, procesech a dodavatelích, údržba dokumentace a kontrolní téma měsíce.
Roční rytmus kontrolních témat
Postupné vracení se k prioritám, rozsahu, aktivům, dodavatelům, incidentům, dokumentaci, školení, přístupům, zálohám, logování, rozpočtu a ročnímu shrnutí.
Práce nad rámec
Větší dokumentační práce, rozsáhlejší školení, auditní podpora, významný incident, rozsáhlé dodavatelské změny nebo technická implementace se řeší samostatně.
Typický první krok
Nejdřív je potřeba potvrdit, zda se má navázat na existující GAP analýzu, nebo zda je nutné vstupní stav nejdřív zmapovat.
Vyjasnění režimu, výstupů a měsíčního rytmu
Projdu dostupné podklady, potvrdíme režim povinností, očekávání vedení, kontaktní osoby, hlavní rizika a rozsah měsíční práce. Potom navrhnu implementační nebo provozní model spolupráce.
Orientační cena
Vycházím ze sazby 1 900 Kč/h u pravidelné spolupráce. Paušál má odpovídat reálnému rozsahu práce, ne vytvořit neomezenou dostupnost.
Implementační fáze od 28 500 Kč / měsíc
Typicky průměrně 15 hodin měsíčně. Skutečný rozsah se může mezi měsíci lišit podle implementace; nejde o pevný strop pro každý měsíc.
Provozní fáze od 19 000 Kč / měsíc
Po dokončení implementace typicky 10 hodin měsíčně pro běžný dohled, aktualizace, reporting, kontrolní témata a konzultace menších změn.
Práce nad rámec od 2 000 Kč / hod
Používá se pro větší samostatné výstupy, rozsáhlejší školení, významné incidenty, technickou implementaci nebo práci mimo sjednaný měsíční rozsah.
Konkrétní nabídku potvrzuji až podle fáze, rozsahu, očekávaných výstupů a toho, co už má organizace připravené.
Jak spolupráce probíhá
Spolupráci stavím tak, aby bylo zřejmé, co se řeší pravidelně, co je práce nad rámec a kdy má vedení udělat rozhodnutí.
Potvrdíme vstupní stav
Projdu GAP analýzu, audit, existující dokumentaci a seznam otevřených opatření. Pokud přehled chybí, navrhnu nejdřív úvodní posouzení.
Nastavíme implementační plán
Určíme priority, odpovědnosti, evidence, reporting, školení, incidentní kontakty a způsob schvalování práce nad rámec.
Držím měsíční rytmus
Každý měsíc aktualizuji stav opatření, rizik a úkolů, připravím stručnou informaci pro vedení a řeším konzultace změn.
Přechod do provozní fáze potvrdíme
Jakmile jsou hlavní implementační práce hotové, spolupráce se zmenší na provozní dohled, kontrolní témata a podporu běžných změn.
Pro koho je služba vhodná
- organizace v režimu nižších povinností podle ZoKB, které potřebují odbornou roli bez interního plného úvazku
- zdravotnické, výrobní, veřejné nebo příspěvkové organizace, které zavádějí bezpečnostní opatření a potřebují provozní rytmus
- vedení a IT týmy, které potřebují spojit dokumentaci, rizika, dodavatele, školení a technické změny do jednoho řízeného procesu
Navazující situace a služby
Časté otázky
Je lepší začít touto službou, nebo GAP analýzou?
Pokud už máte použitelnou GAP analýzu nebo plán opatření, lze navázat rovnou. Pokud ne, je rozumnější nejdřív zjistit stav a priority.
Znamená tato role převzetí odpovědnosti za kyberbezpečnost organizace?
Ne. Jde o odbornou, metodickou, koordinační a poradenskou roli. Rozhodnutí vedení, provoz systémů, zaměstnanci, rozpočet a realizace opatření zůstávají na organizaci.
Co když v některém měsíci vyjde práce výrazně nad paušál?
Běžné výkyvy v implementační fázi jsou očekávané. Pokud bude zřejmé, že práce významně překročí sjednaný rozsah, upozorním na to a další práci odsouhlasíme jako práci nad rámec.
Patří do služby i školení?
Ano, přiměřené základní školení nebo bezpečnostní povědomí je součástí implementační i provozní práce. Větší školení pro více skupin se řeší jako samostatný rozsah.
Potřebujete obsadit roli osoby pověřené kybernetickou bezpečností prakticky a udržitelně?
Pošlete mi stručný kontext organizace, režim povinností, dostupné podklady a představu o měsíčním rozsahu. Navrhnu vhodný první krok.