Audity

Audit kybernetické bezpečnosti

Nezávislé posouzení připravenosti organizace v kyberbezpečnosti podle zákona. Ukáže slabá místa, klíčová rizika a navrhne konkrétní plán s prioritami a termíny.

Nezávazná konzultace

Koho se zákon týká

Nový zákon o kyberbezpečnosti číslo 264/2025 Sbírky a navazující vyhlášky 409/2025 pro vyšší režim a 410/2025 pro nižší režim platí od 1. listopadu 2025. Zavádí jednotnou kategorii poskytovatel regulované služby a dva režimy povinností. Více v přehledu zákona 264/2025.

Co dostanete

Jak je audit postavený

Audit probíhá ve třech navazujících fázích, na které volně navazuje obsazení povinných bezpečnostních rolí jako čtvrtý krok. Můžete si objednat všechny, nebo jen vybranou část.

1. Posouzení regulatorního zařazení

Vyhodnotí, zda organizace pod regulaci spadá, v jaké úrovni a co reálně musí splnit.

  • Posouzení zařazení podle kybernetického zákona, tedy nižší nebo vyšší úroveň.

  • Pomoc s přihlášením a následnou komunikací s NÚKIB.

2. Gap analýza

Posouzení reálného stavu organizace. Co skutečně funguje a kde jsou mezery.

  • Vstupní rozhovor s vedením a IT, analýza dokumentace a politik.

  • Přehled primárních i podpůrných aktiv a posouzení jejich důležitosti.

  • Kontrola hesel, dvoufaktorového ověřování, správy přístupů a administrátorských oprávnění.

  • Posouzení e-mailu, koncových zařízení a vzdáleného přístupu.

  • Kontrola záloh, scénáře obnovy a ochrany proti vyděračským útokům.

  • Posouzení dodavatelů a externě poskytovaných služeb.

  • Nakládání s citlivými daty a evidence zpracování.

  • Fyzická bezpečnost serverovny, vstupů a klíčových prostor, posuzovaná v terénu.

3. Plán implementace a dokumentace

Na základě gap analýzy návrh konkrétního postupu a příprava potřebné dokumentace.

  • Akční plán s prioritami a časováním: hned, do tří měsíců a do roka.

  • Návrh bezpečnostních politik a vzorové dokumentace.

  • Příprava povinné dokumentace podle zákona o kyberbezpečnosti.

  • Předání podkladů pro implementační tým klienta nebo třetí stranu.

4. Obsazení povinných bezpečnostních rolí

Zákon vyžaduje konkrétní bezpečnostní role s doložitelnou kvalifikací. Obsadíme je za vás z naší skupiny, nebo prověříme a doplníme vaše vlastní lidi. Rozsah a cenu řeší samostatná nabídka.

  • Nižší režim: manažer kybernetické bezpečnosti a jeho zástup.

  • Vyšší režim: navíc architekt, nezávislý auditor, garanti klíčových aktiv a výbor pro kyberbezpečnost.

Na co audit odpoví

Lhůty běží od 1. listopadu 2025 a jdou sekvenčně po sobě: samoidentifikace přes portál NÚKIB do 60 dní, doručení rozhodnutí, hlášení kontaktních údajů do 30 dní od doručení a zavedení opatření do jednoho roku od doručení.

  1. Spadáme pod kybernetický zákon, a v jaké úrovni?

    Posoudíme zařazení podle oboru a velikosti organizace a co z toho plyne.

  2. Co konkrétně musíme splnit a do kdy?

    Vyjasníme povinnosti pro váš režim a navážeme je na zákonné lhůty.

  3. Jak na tom reálně jsme a kde máme největší mezery?

    Gap analýza ukáže, co funguje a kde jsou slabá místa.

  4. Jaká jsou klíčová rizika a co se může pokazit jako první?

    Sestavíme seznam relevantních scénářů rizik s dopady.

  5. Co musíme udělat hned, co do tří měsíců a co do roka?

    Dostanete akční plán s prioritami a termíny.

Pravidla zapojení a etika

  • Auditor kybernetické bezpečnosti podle vyhlášky číslo 409/2025 Sbírky musí splňovat zákonné požadavky na vyškolení, alespoň tři roky odborné praxe a nestrannost vůči auditované organizaci.

  • Výstupem je manažerské shrnutí, technická zpráva pro IT a závěrečná prezentace pro vedení.

  • Pracujeme výhradně na základě podepsané autorizace statutárního orgánu. Citlivá data si nekopírujeme, po skončení práce prokazatelně skartujeme veškeré nálezy a po roce smažeme i interní pracovní materiály.

Vyšší a nižší režim

  • Manažer KB povinně v obou režimech
  • Architekt a auditor KB dobrovolně v nižším, povinně ve vyšším
  • Nezávislý audit dobrovolně v nižším, povinně ve vyšším
  • Hlášení incidentů jen významné v nižším, všechny ve vyšším
  • Sankce nižší režim do 7 mil. EUR nebo 1,4 % obratu
  • Sankce vyšší režim do 10 mil. EUR nebo 2 % obratu
  • Vyhláška 410/2025 nižší režim
  • Vyhláška 409/2025 vyšší režim

Více v přehledu Metodiky a certifikace.

Naše kvalifikace pro tento audit

Naši seniorní experti na kyberbezpečnost splňují zákonné požadavky na auditora podle vyhlášky číslo 409/2025 Sbírky. Kvalifikaci dokládáme certifikacemi od Národního úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIB, a od akreditovaného certifikačního orgánu TAYLLORCOX. Audit doplňujeme o silnou zkušenost lidí z bývalých speciálních jednotek v oblasti fyzické bezpečnosti budov.

  • NÚKIB kvalifikovaní auditoři kybernetické bezpečnosti
  • TAYLLORCOX akreditované školení a metodiky
  • 3 roky praxe a doložená nestrannost podle zákona
  • GBH Defence fyzická bezpečnost serverovny a budov

Cena a délka realizace

Ceny jsou bez DPH.

Ceník služby
Varianta Cena
Posouzení regulatorního zařazení při koupi analýzy nebo plánu zdarma do týdne 2 900 Kč
Gap analýza 1 až 2 měsíce od 49 000 Kč
Plán implementace a dokumentace 1 až 2 měsíce od 79 000 Kč
Komplexní audit ve všech třech fázích 5 až 7 měsíců od 128 000 Kč

Ceny jsou bez DPH a vychází z předpokládaného rozsahu. Po úvodní konzultaci vždy dáváme přesnou fixní cenu.

Časté dotazy

Stručné odpovědi na to, na co se nás u této služby ptáte nejčastěji.

Jak zjistím, jestli se nás zákon 264/2025 týká?

Rychlým posouzením regulatorního zařazení za 2 900 Kč do týdne určíme, zda organizace pod regulaci spadá, v jakém režimu a co konkrétně musíte splnit. Při koupi navazující analýzy nebo plánu je posouzení zdarma.

Jaký je rozdíl mezi vyšším a nižším režimem?

V nižším režimu je povinný manažer kybernetické bezpečnosti a hlásí se jen významné incidenty, sankce jdou do 7 milionů eur. Ve vyšším režimu je navíc povinný architekt, nezávislý auditor a audit, hlásí se všechny incidenty a sankce jdou do 10 milionů eur. Režim se řídí oborem a velikostí organizace.

Jaké jsou zákonné lhůty?

Lhůty běží od 1. listopadu 2025 sekvenčně: samoidentifikace přes portál NÚKIB do 60 dní, poté doručení rozhodnutí, hlášení kontaktních údajů do 30 dní od doručení a zavedení opatření do jednoho roku od doručení.

Splňujete požadavky na auditora podle zákona?

Ano. Naši auditoři splňují zákonné požadavky podle vyhlášky číslo 409/2025 Sbírky: vyškolení, alespoň tři roky odborné praxe a nestrannost. Kvalifikaci dokládáme certifikacemi od NÚKIB a od akreditovaného orgánu TAYLLORCOX.

Obsadíte za nás i povinné bezpečnostní role?

Ano. Povinné bezpečnostní role obsadíme z naší skupiny, nebo prověříme a doplníme vaše vlastní lidi. V nižším režimu jde o manažera kybernetické bezpečnosti a jeho zástup, ve vyšším navíc o architekta, nezávislého auditora a další role. Řeší to samostatná nabídka.

Audity

Pojďme upřesnit rozsah a cenu pro vás

Úvodní konzultace je nezávazná. Po ní dostanete přesnou fixní cenu a doporučený další krok.

Nezávazná konzultace Všechny služby

Související služby

Tyto služby na sebe často navazují. Vyberte, co řešíte dál.

Audity

Audit ICT

Technická inventura stavu zabezpečení bez vazby na konkrétní zákon.

Zobrazit službu Testování

Penetrační testy

Pravidelné penetrační testování je požadavkem vyššího režimu.

Zobrazit službu Školení

Školení kyberbezpečnosti

Pravidelné školení zaměstnanců je jedním z kontrolovaných bodů zákona.

Zobrazit službu

Ozveme se do 1 pracovního dne

Napište nám, co řešíte. Doporučíme další krok a navrhneme nezávaznou konzultaci.