Koho se nové povinnosti týkají
NIS2 a navazující zákon č. 264/2025 Sb. rozšiřují okruh povinných subjektů o energetiku, dopravu, zdravotnictví, vodu, digitální infrastrukturu, veřejnou správu, výrobu klíčových produktů, ICT služby a další. Pro mnoho organizací není jednoznačné, do které kategorie spadají, jaký režim povinností se na ně vztahuje a zda na ně dopadá i prostřednictvím dodavatelských řetězců.
První krok je proto určit, zda a v jakém režimu organizace spadá pod regulaci, a jak se to promítá do řízení, dokumentace a kontroly.
Jak zjistit skutečný dopad na organizaci
Šablona „máme směrnici" nestačí. Skutečný dopad se ukáže až v okamžiku, kdy regulátor nebo audit položí konkrétní otázku: kdo vlastní opatření, jak je doloženo, kdo o něm rozhoduje a v jakém intervalu se ověřuje. Provádím rozdílovou analýzu, která porovná požadavky regulace s reálným stavem — ne s tím, co je v dokumentech napsáno.
- klasifikace organizace dle ZKB a NIS2,
- identifikace klíčových aktiv a závislostí,
- posouzení existujících rolí, opatření a důkazů,
- určení mezery mezi požadavkem a praxí,
- seznam priorit s odhadem rozsahu nápravy.
Co musí organizace doložit
Regulátor a auditor zajímá doloženost, ne intence. Z toho plyne čtyři kategorie výstupů, které dnes potřebuje mít většina regulovaných subjektů srovnané a aktuální:
- Politiky a směrnice — schválené, datované, dohledatelné v rejstříku.
- Role a odpovědnosti — RACI nebo ekvivalent, s jasným vlastníkem každé kontrolní oblasti.
- Důkazy fungování opatření — záznamy, evidence, výstupy z procesů; ne tvrzení, že proces existuje.
- Reakce na incidenty — playbook, klasifikace, hlášení regulátorovi v zákonném termínu.
Typické chyby při přípravě
Z toho, co vidím u klientů opakovaně:
- Bezpečnost se předá výhradně IT — vedení organizace ztratí přehled o tom, co bylo slíbeno regulátorovi a co se reálně provozuje.
- Dokumentace je generovaná z šablon bez ohledu na to, jestli popsané procesy v organizaci skutečně existují.
- Chybí vlastník kontrolního opatření; v případě incidentu není kdo eskalovat a kdo rozhoduje.
- Dodavatelské závazky a smluvní bezpečnostní požadavky nejsou zmapované na konkrétní dodavatele.
Jaký výstup získáte
Konkrétní balík dokumentů a podkladů, se kterými lze dále pracovat v řízení, auditu i provozu — ne PowerPoint pro vedení:
- gap analýza vůči NIS2 a 264/2025 Sb.,
- katalog bezpečnostních požadavků s odpovědnostmi,
- návrh bezpečnostní dokumentace nebo její revize,
- roadmapa implementace s prioritami a termíny,
- manažerský souhrn pro statutární orgán,
- plán první auditní připravenosti.
Cílem není vytvořit formální dokumentaci bez provozní hodnoty. Cílem je nastavit takový systém řízení bezpečnosti, který bude srozumitelný pro vedení, použitelný pro provoz a obhajitelný při kontrole.