// security consultant · Praha

Kybernetická bezpečnost, NIS2, DORA a AI governance.

Pomáhám organizacím převést regulatorní požadavky a bezpečnostní rizika do konkrétních rozhodnutí, odpovědností, dokumentace a proveditelného plánu. Srozumitelně pro vedení, přesně pro audit a použitelně pro IT.

Domluvit úvodní konzultaci Zobrazit oblasti služeb
// § 1 — služby

S čím pomáhám

Tři související oblasti. Regulace určuje povinnosti. Řízení rizik a implementace je převádí do provozu. AI governance řeší novou oblast rizik, odpovědností a kontrol, kterou řada organizací zatím nemá systematicky pokrytou.

§ 01

Regulace a bezpečnostní governance

NIS2, nový zákon o kybernetické bezpečnosti (264/2025 Sb.), vyhláška 409/2025 Sb. a DORA. Pomáhám vyhodnotit dopad regulace, navrhnout přiměřená opatření a připravit dokumentaci i důkazní podklady použitelné pro řízení, audit a kontrolu.

  • NIS2
  • ZKB
  • DORA
  • auditní připravenost
§ 02

Řízení rizik a implementace bezpečnosti

Zpracovávám analýzy rizik, rozdílové analýzy, návrhy procesů a bezpečnostní dokumentaci, která je použitelná v provozu, nikoli pouze formálně existující. Součástí může být školení týmů, tabletop cvičení, analýza příčin incidentů a návrh nápravných opatření.

  • analýzy rizik
  • implementace
  • školení
  • RCA
§ 03

AI governance a moderní bezpečnostní praxe

Pravidla pro bezpečné používání AI, LLM a agentních systémů. Ochrana dat, řízení odpovědností, omezení stínového používání AI a praktické kontrolní mechanismy bez plošných zákazů.

  • AI Act
  • LLM
  • agenti
  • stínová AI
// § 2 — výstupy

Typické výstupy

Výstupem spolupráce nejsou obecné prezentace. Připravuji konkrétní podklady, se kterými lze dále pracovat při řízení bezpečnosti, auditu, doložení souladu nebo v běžném provozu.

  • regulatorní gap analýzy
  • bezpečnostní politiky a směrnice
  • katalogy bezpečnostních požadavků
  • roadmapy dosažení souladu
  • rozhodovací podklady pro vedení
  • manažerské souhrny
  • RACI matice
  • kontrolní checklisty
  • auditní evidence
  • incident playbooky
  • podklady pro tabletop cvičení
// § 3 — pro koho

Pro koho je spolupráce určena

Spolupráce dává smysl zejména pro organizace, které potřebují rychle pochopit dopad nové regulace, zorientovat se v bezpečnostních povinnostech a připravit výstupy, které jsou auditovatelné, obhajitelné a použitelné v provozu.

  • regulované a potenciálně regulované organizace
  • finanční sektor — banky, pojišťovny, crowdfundingové platformy, poskytovatelé služeb souvisejících s kryptoaktivy
  • digitální služby a SaaS
  • střední a větší podniky
  • veřejný sektor
  • dodavatelé regulovaných subjektů
  • organizace zavádějící AI nástroje
// § 4 — postup

Jak pracuji

Nezačínám šablonou. Nejprve zjišťuji, co regulace skutečně znamená pro vaši organizaci, kde jste dnes a kdo má o čem rozhodovat. Teprve potom navrhuji opatření, která jsou auditovatelná, obhajitelná a proveditelná.

  1. 01

    Rychlá orientace v problému

    Co řešíte, kdo je vlastníkem problému, jaké jsou termíny a kdo o věci rozhoduje. Bez orientace se plánuje špatně.

  2. 02

    Určení regulatorního a bezpečnostního dopadu

    Co po vás regulace skutečně vyžaduje, čím se liší od existující praxe a co nestačí splnit pouze formálně.

  3. 03

    Posouzení současného stavu

    Skutečný stav procesů, dokumentace, rolí a aktiv. Ne to, co je v auditní matici, ale to, co reálně běží.

  4. 04

    Návrh priorit a odpovědností

    Co řešit nejdříve, kdo za opatření odpovídá a podle jakých kritérií se stanovuje priorita. Bez vlastníka není opatření.

  5. 05

    Příprava konkrétních výstupů

    Dokumenty, evidence, postupy. Pojmenované, verzované, srozumitelné pro provoz i audit.

  6. 06

    Kontrola konzistence a použitelnosti

    Že to drží pohromadě, dává smysl pod tlakem a obstojí při kontrole. Ne za rok — teď.

// § 5 — kdo to dělá

Proč Tomáš Mertl

Zaměřuji se na organizační a regulatorní rovinu kybernetické bezpečnosti. Pracuji s bezpečnostní governance, řízením rizik, bezpečnostní dokumentací a praktickou interpretací požadavků NIS2, ZKB, DORA a AI governance.

Propojuji bezpečnostní, ekonomický a regulatorní pohled. Výstupy připravuji tak, aby byly srozumitelné pro vedení, použitelné pro odborné týmy a obhajitelné při kontrole.

  • Cybersecurity Governance Consultant
  • organizační bezpečnost · governance · řízení rizik
  • lektor kybernetické bezpečnosti · Unicorn University
  • finanční instituce · KII · veřejná správa · digitální služby
  • Praha · EU
// § 6 — kontakt

Potřebujete ověřit dopad NIS2, DORA nebo AI governance na vaši organizaci?

Začneme krátkou úvodní konzultací — pochopit situaci, dopad a možné další kroky. Pokud dává smysl pokračovat, navrhnu fixně oceněný scoping v rozsahu 2–5 dní.

Zavolat