Nový zákon o kyberbezpečnosti (264/2025 Sb.) platí od 11/2025 — zjistěte, zda se týká vaší firmy →
NIS2 a dodavatelský řetězec – připravenost

Odběratel po vás chce doklad o zabezpečení sítě? Připravíme vás tak, abyste zakázku neztratili.

Většina malých a středních firem pod nový zákon o kybernetické bezpečnosti přímo nespadá – ale jejich regulovaní odběratelé po nich zabezpečení a doklady stejně vyžadují. Posoudíme, kam ve skutečnosti patříte, a doděláme přesně to, co potřebujete vykázat – ne víc, ne míň.

Chci posoudit připravenost Ceník

V čem je problém

Přišel vám od odběratele bezpečnostní dotazník nebo dodatek ke smlouvě a v něm otázky na MFA, segmentaci, firewall, zálohy a řízení rizik – a vy nevíte, jak na to odpovědět, aniž byste lhali. Nebo vás pojišťovna podmínila kybernetické pojištění opatřeními, která reálně nemáte. Kolem zákona č. 264/2025 Sb. (transpozice NIS2, účinný od 1. 11. 2025) je navíc plno strašení, ze kterého není jasné, jestli se vás vůbec týká – přitom přímo regulovaných je v celé ČR jen kolem 6000 organizací. Riziko ale není abstraktní: bez doložitelného zabezpečení vypadnete z výběrka u velkého zákazníka, nedostanete pojistku, nebo si necháte na síti díru, přes kterou přijde ransomware a stojí provoz.

Co konkrétně uděláme

  • Jasně určíme, zda jste přímo regulovaný subjekt podle zák. 264/2025 Sb. (typicky obce, školy, zdravotnictví, vybraná výroba), nebo zda řešíte požadavky odběratelů v dodavatelském řetězci – postup je pro každý případ jiný a neplatíte za nadbytečné věci
  • U regulovaných provedeme readiness check proti reálným povinnostem zákona: řízení rizik, bezpečnostní politika a dokumentace, zvládání bezpečnostních incidentů – a srozumitelně řekneme, co chybí
  • U firem mimo NIS2 přeložíme bezpečnostní dotazník odběratele nebo podmínky pojišťovny do konkrétního seznamu opatření na vaší síti – co máte, co chybí a co stačí doplnit
  • Doplníme chybějící technická opatření, na která se nejčastěji ptají: MFA, segmentace sítě, správně nastavený firewall, bezpečná VPN, oddělení Wi-Fi pro hosty a zálohování
  • Připravíme doklady, kterými prokážete zabezpečení – přehled opatření, schéma sítě a stručnou bezpečnostní dokumentaci, kterou odběrateli nebo pojišťovně předložíte
  • Nastavíme proces hlášení a zvládání incidentů, abyste věděli, co dělat, když se něco stane – ne aby ležel papír v šuplíku
  • Pomůžeme posoudit, zda na zabezpečení a digitalizaci dosáhnete na dotaci, a vyznáme se ve formulacích, které grantové výzvy vyžadují

Jak to probíhá

  1. 1

    Vstupní rozhovor a zařazení

    Zjistíme, kdo po vás co chce – odběratel, pojišťovna, nebo zákon – a určíme, jestli jste regulovaný subjekt nebo řešíte požadavky řetězce. Tím se rozhodne celý další postup.

  2. 2

    Audit připravenosti

    Projdeme vaši síť a stávající opatření proti konkrétnímu měřítku: u regulovaných proti zákonu, u ostatních proti dotazníku odběratele nebo podmínkám pojistky. Výstupem je seznam mezer seřazený podle rizika.

  3. 3

    Plán a odhad

    Dostanete jasný plán, co doplnit, v jakém pořadí a za kolik – bez paušálu naslepo. Vy rozhodnete, co řešíme my a co případně zvládnete sami.

  4. 4

    Realizace opatření

    Doplníme chybějící technická a organizační opatření na síti a připravíme dokumentaci. Pracujeme tak, aby vás to nevyřadilo z provozu.

  5. 5

    Doklady a dohled

    Předáme doklady o zabezpečení, které odběrateli nebo pojišťovně předložíte. Pokud chcete, převezmeme síť do nepřetržitého dohledu, ať stav vydrží a nesklouzne zpět.

Spravujeme a dohlížíme i vzdáleně

Compliance není jednorázový papír – stav sítě se časem rozjede a u dalšího auditu odběratele nebo obnovy pojistky vás díry zaskočí. Proto na připravenost navazujeme nepřetržitým vzdáleným dohledem: hlídáme firewall, segmentaci a kritická nastavení, abyste doklady, které jste jednou předali, mohli kdykoli podložit reálným stavem. Dohled běží jako měsíční služba z našeho dohledového centra a vidíte z něj, že síť opravdu zůstává pod kontrolou.

Co dostanete

  • Jednoznačné zařazení: zda spadáte přímo pod zák. 264/2025 Sb., nebo řešíte požadavky odběratelů – černé na bílém, ať víte, na čem jste
  • Audit připravenosti se seznamem mezer seřazeným podle rizika a dopadu na provoz
  • Konkrétní akční plán s prioritami, odhadem nákladů a rozdělením, co uděláme my a co je na vás
  • Doplněná technická opatření na síti (podle potřeby MFA, segmentace, firewall, VPN, oddělení Wi-Fi, zálohy)
  • Sadu dokladů o zabezpečení – přehled opatření, schéma sítě, stručná bezpečnostní dokumentace – kterou předložíte odběrateli nebo pojišťovně
  • Postup pro hlášení a zvládání bezpečnostních incidentů, srozumitelně sepsaný pro vaše lidi
  • Vyplněné nebo podklady pro vyplnění bezpečnostního dotazníku odběratele

Pro koho je služba

Malé a střední firmy (10–250 zaměstnanců), které dodávají regulovaným odběratelům a dostaly bezpečnostní dotazník nebo dodatek ke smlouvě – výroba, sklady, e-shopy, servis, IT dodavateléFirmy, které žádají o kybernetické pojištění nebo jim ho pojišťovna podmínila konkrétními opatřenímiObce, školy a zdravotnická zařízení, která spadají přímo pod zák. 264/2025 Sb. a potřebují readiness checkVybraná výroba a další subjekty v kritických odvětvích, které musí prokázat řízení rizik a bezpečnostní politikuFirmy, které neví, jestli se jich NIS2 vůbec týká, a nechtějí platit za zbytečnou compliance ani podcenit reálný požadavek

Časté dotazy

Spadá naše firma vůbec pod NIS2?

Pravděpodobně ne přímo. Zákon č. 264/2025 Sb. (transpozice NIS2, účinný od 1. 11. 2025) dopadá v celé ČR jen na zhruba 6000 organizací – hlavně střední a velké subjekty ve vyjmenovaných odvětvích jako energetika, doprava, zdravotnictví, voda, digitální infrastruktura, veřejná správa a vybraná výroba. Většina běžných malých a středních firem pod něj přímo nespadá. Při vstupním rozhovoru vám to řekneme jednoznačně – a pokud nespadáte, neplatíte za compliance, kterou nepotřebujete.

Když pod zákon nespadáme, proč to vůbec řešit?

Protože tlak nejde od státu, ale od trhu. Regulovaní odběratelé musí mít pod kontrolou svůj dodavatelský řetězec, takže zabezpečení a doklady vyžadují po svých dodavatelích – tedy po vás. K tomu kybernetické pojištění běžně podmiňuje krytí opatřeními jako MFA, zálohy, segmentace a firewall. Bez doložitelného zabezpečení můžete přijít o zakázku nebo o pojistku.

Co konkrétně po nás odběratel chce a umíte to dodat?

Nejčastěji bezpečnostní dotazník s otázkami na vícefaktorové ověřování, segmentaci sítě, firewall, zálohy, řízení přístupů a postup při incidentu. Dotazník vám přeložíme do konkrétních opatření na vaší síti, doplníme to, co chybí, a připravíme doklady, kterými odpovědi podložíte. Nejde o to napsat hezké odpovědi, ale aby seděly se skutečným stavem.

Jsme obec/škola/zdravotnické zařízení – platí pro nás něco jiného?

Ano. Pokud jste regulovaný subjekt, máte přímé povinnosti ze zákona: řízení rizik, bezpečnostní politiku a dokumentaci a zvládání bezpečnostních incidentů. Pro vás děláme readiness check proti těmto povinnostem a doplníme, co chybí. Mluvíme srozumitelně, ale u vás nevynecháme ani stránku paragrafů, kterou potřebujete mít pořádně.

Neprodáte nám zbytečně víc, než potřebujeme?

Ne. Celý postup začíná zařazením, které určí, co je u vás reálně potřeba – a podle toho navrhneme jen ta opatření, která odběratel, pojišťovna nebo zákon skutečně vyžadují. Dostanete plán s prioritami a odhadem nákladů předem, takže rozumíte, za co platíte, a sami rozhodnete o rozsahu.

NIS2 a dodavatelský řetězec – připravenost

Začneme krátkým rozhovorem a zjistíme, jestli vůbec spadáte pod zákon, nebo řešíte požadavky odběratelů. Bez závazku, bez strašení paragrafy.

Chci posoudit připravenost