// o mně

Tomáš Mertl

Konzultant kybernetické bezpečnosti se zaměřením na organizační bezpečnost — governance, regulatorní požadavky, řízení rizik a bezpečnostní dokumentace.

Co dělám

Pracuji s organizacemi, které potřebují přeložit regulatorní požadavky a bezpečnostní rizika do konkrétních rozhodnutí, dokumentace a proveditelného plánu. Cílem není formální shoda, ale použitelný systém řízení bezpečnosti — srozumitelný pro vedení, přesný pro audit a praktický pro IT.

Specializuji se na organizační bezpečnost: governance, role a odpovědnosti, řízení rizik, bezpečnostní dokumentace, postupy reakce na incidenty, školení a tabletop cvičení.

Zaměření a expertiza

Soustředím se na čtyři hlavní oblasti, ve kterých propojuji bezpečnost s regulací, ekonomikou a reálným provozem organizace:

  • NIS2 a zákon č. 264/2025 Sb. — gap analýzy, dokumentace, plán implementace, auditní připravenost.
  • DORA — ICT risk management, řízení ICT třetích stran, evidence incidentů, testování odolnosti.
  • Řízení rizik a implementace — analýzy rizik, RACI, dokumentace, školení, tabletop cvičení, root cause analysis.
  • AI governance — pravidla pro LLM a agentní systémy, ochrana dat, kontrolní mechanismy.

Akademická činnost

Vyučuji předmět Kybernetická bezpečnost na Unicorn University. Akademie je sekundární linií činnosti — hlavní agendou je konzultační praxe. Učení mi ale pomáhá udržovat čerstvý přehled o tom, co dnešní studenti považují za pochopitelné a co je třeba vysvětlovat jinak.

Domény a kontext

Pracuji především v prostředích, kde má bezpečnost regulatorní rámec a doložitelné výstupy hodně váhy:

  • finanční instituce — banky, pojišťovny, crowdfunding, krypto,
  • kritická informační infrastruktura,
  • veřejná správa,
  • digitální služby a SaaS,
  • dodavatelé regulovaných subjektů,
  • organizace zavádějící AI nástroje do rozhodovacích procesů.

Jak pracuji

Nezačínám šablonou. Nejdřív zjišťuju, co regulace pro konkrétní organizaci znamená, kde dnes stojí a kdo má co rozhodovat. Teprve potom navrhuji opatření, která jsou auditovatelná, obhajitelná a proveditelná. Modus operandi je popsaný v postupu na hlavní stránce.

Většina projektů má fixní cenu za scoped balík (2–8 týdnů), ne hodinovou sazbu. Před tím vždy půldenní nebo půlhodinové review zdarma, abychom oba věděli, jestli má smysl pokračovat.

// kontakt

Pokud vám tohle dává smysl, můžeme to probrat.

Začneme krátkou úvodní konzultací — pochopit situaci, dopad a možné další kroky. Pokud dává smysl pokračovat, navrhnu fixně oceněný scoping v rozsahu 2–5 dní.

Zavolat