Jak provést NIS2 audit sami: Krok za krokem průvodce pro firmy

Zákon č. 264/2025 Sb. o kybernetické bezpečnosti vstoupil v účinnost v říjnu 2025 a přinesl s sebou povinnost provádět systematické bezpečnostní audity. Přibližně 6 000 organizací v České republice musí doložit soulad s požadavky NIS2. Otázka, která zajímá každého ředitele bezpečnosti nebo IT manažera, zní: co si dokáže firma udělat sama a kde potřebuje externího experta?

Odpověď závisí na vaší velikosti, interní kapacitě a komplexnosti prostředí. Tento průvodce vám ukáže, jak NIS2 audit provést krok za krokem – a kde jsou hranice svépomoci.

Co NIS2 audit vlastně obnáší?

NIS2 audit není jednorázová akce, ale strukturovaný proces, jehož výsledkem je přesná znalost vašeho stavu kybernetické bezpečnosti a srozumitelný plán, jak dosáhnout shody se zákonem. Vyhláška č. 409/2025 Sb. (prováděcí předpis k zákonu 264/2025 Sb.) specifikuje 13 oblastí bezpečnostních opatření, které musejí regulované subjekty pokrýt.

Audit se typicky skládá ze čtyř hlavních oblastí:

• Rozsah (scope): Které systémy, procesy a organizační části spadají pod NIS2?
• Aktiva: Co vlastníte, co provozujete a co je kritické pro vaše klíčové služby?
• Rizika: Jaké hrozby a zranitelnosti ohrožují vaše aktiva?
• Opatření: Jaká bezpečnostní opatření máte a jaká chybí dle vyhlášky 409/2025?

5-krokový postup NIS2 auditu

Krok 1: Určení rozsahu (Scoping)

Prvním krokem je vymezení, co všechno audit pokrývá. Ne všechny systémy ve vaší firmě jsou stejně důležité z pohledu NIS2. Zákon rozlišuje základní služby (essential services) – ty musíte identifikovat přesně.

Při scoping fázi si odpovězte:

• Jaké jsou vaše klíčové služby, na nichž závisí vaše podnikání nebo vaši zákazníci?
• Které IT systémy tyto služby podporují?
• Jaké jsou závislosti na dodavatelích a třetích stranách?
• Vztahuje se na vás zákon jako na zásadní subjekt (Příloha I) nebo důležitý subjekt (Příloha II)?

Co zvládnete sami: Interní workshopy s klíčovými manažery, tvorba diagramu klíčových procesů a systémů.

Kde potřebujete experta: Právní výklad, zda váš sektor a velikost skutečně zakládají povinnost, a přesné zařazení do kategorie zásadního nebo důležitého subjektu.

Krok 2: Inventář aktiv

Bez přesného přehledu aktiv nelze řídit rizika. Inventář aktiv zahrnuje veškerý hardware, software, data, procesy a lidi, kteří jsou relevantní pro vaše klíčové služby.

Strukturujte inventář do kategorií:

• Hardwarová aktiva: servery, síťová zařízení, koncová zařízení zaměstnanců
• Softwarová aktiva: aplikace, operační systémy, cloudové služby
• Datová aktiva: databáze, zálohy, dokumentace
• Procesní aktiva: klíčové business procesy a postupy
• Lidská aktiva: klíčové role, know-how, přístupy

Každé aktivum ohodnoťte z hlediska důvěrnosti, integrity a dostupnosti (CIA triáda). Nástroje: NÚKIB metodika pro inventář aktiv, Excel šablony dostupné na webu NÚKIB nebo prostřednictvím SecureOn audit nástroje.

Krok 3: Analýza rizik

Analýza rizik je srdcem celého NIS2 auditu. Pro každé klíčové aktivum identifikujete hrozby a zranitelnosti, odhadujete pravděpodobnost jejich realizace a potenciální dopad na vaše podnikání.

Základní metodika pracuje se vzorcem:

Riziko = Pravděpodobnost × Dopad

Typické hrozby pro regulované subjekty zahrnují ransomware útoky, phishingové kampaně, selhání dodavatele, výpadky napájení nebo přírodní katastrofy. Podrobný postup analýzy rizik popisujeme v samostatném článku Analýza rizik pro NIS2: Jak ji správně udělat.

Krok 4: Gap analýza vůči vyhlášce 409/2025

Gap analýza porovnává váš aktuální stav s požadavky vyhlášky č. 409/2025 Sb. Vyhláška definuje konkrétní bezpečnostní opatření ve 13 oblastech:

1. Řízení rizik kybernetické bezpečnosti
2. Bezpečnost dodavatelského řetězce
3. Řízení aktiv
4. Řízení přístupu a autentizace
5. Fyzická bezpečnost
6. Kryptografie a šifrování
7. Bezpečnost sítí a informačních systémů
8. Detekce kybernetických bezpečnostních událostí
9. Zvládání kybernetických bezpečnostních incidentů
10. Kontinuita činností (BCM)
11. Školení a osvěta v oblasti kybernetické bezpečnosti
12. Bezpečné vývojové prostředí
13. Zveřejňování zranitelností

Pro každou oblast zakreslete, co máte zavedeno, co částečně a co zcela chybí. Výsledkem je přehledná matice mezer. Bezplatný online audit vám pomůže rychle zmapovat tyto mezery – vyzkoušejte check.nis2ok.cz.

Krok 5: Akční plán

Na základě gap analýzy sestavíte prioritizovaný akční plán náprav. Každou mezeru přiřaďte do kategorie dle naléhavosti:

• Kritické (do 3 měsíců): Absence incident response plánu, chybějící MFA pro privilegované účty, nezabezpečené přístupy z internetu
• Vysoké (do 6 měsíců): Neúplný inventář aktiv, chybějící školení zaměstnanců, nezavedený patch management
• Střední (do 12 měsíců): Optimalizace logování, rozšíření bezpečnostního monitoringu, formalizace supplier management

Co si zvládnete udělat sami

Menší organizace s interní IT kapacitou dokáží vlastními silami zvládnout: tvorbu inventáře aktiv, základní klasifikaci rizik, porovnání s checklistem NIS2 požadavků a přípravu akčního plánu. K tomu slouží:

• NÚKIB metodika: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal bezplatné průvodce a šablony na svém webu nukib.gov.cz
• Excel šablony: Tabulkové šablony pro inventář aktiv, registr rizik a gap matici
• Online audit nástroj: SecureOn / nis2ok.cz – bezplatný strukturovaný dotazník, který vás provede klíčovými oblastmi a vyprodukuje zprávu o vašem stavu

Kde potřebujete experta

Existují oblasti, kde svépomocný přístup nestačí a kde chyba může mít právní důsledky. Expertní pomoc doporučujeme pro:

• Penetrační testování: Odhalení skutečných zranitelností vyžaduje specializované nástroje a znalosti etického hackingu
• Technická opatření: Implementace SIEM, SOAR, detekce anomálií nebo zero-trust architektury
• Právní výklad: Potvrzení, zda vaše firma skutečně spadá pod zákon a v jaké kategorii — nejdříve si ověřte na NIS2OK.cz bezplatným auditem
• Incident response plán: Sestavení a otestování plánu reakce na incidenty dle požadavků NÚKIB
• Certifikace a audit: Pokud potřebujete formální doklad o souladu pro zákazníky nebo regulátora
• NIS2 konzultant: Pro komplexní doprovázení celým procesem compliance kontaktujte NIS2Expert.cz

Jak začít ještě dnes

NIS2 audit nemusí být zdrcující, pokud k němu přistoupíte systematicky. Začněte scoping workshopem (trvá 2–4 hodiny), pokračujte inventářem aktiv a pak si spusťte bezplatný online audit na nis2ok.cz, který vám za 10 minut ukáže, kde jsou vaše největší mezery.

SecureOn.cz nabízí jak samostatný audit nástroj pro svépomocné hodnocení, tak plnohodnotné profesionální audity s finální zprávou a doporučeními. Více informací na secureon.cz.