Jak MSP nabídne compliance jako službu bez toho, aby přebral právní odpovědnost
nZKB compliance je pro MSP reálná příležitost. Zákazníci to nezvládnou sami — potřebují technickou implementaci, dokumentaci a průvodce procesem. Zákazníci za to platí. A marže jsou vyšší než u samotné správy infrastruktury. Ale jsou MSP, kteří tuto příležitost nevyužijí správně — protože se...
Autor: Splnit.eu, Redakce Splnit.eu
Proč compliance jako služba dává smysl pro MSP
Zákazníci to potřebují a nehledají SI firmu. Zákazník, který s vámi má vztah v oblasti správy IT, vám důvěřuje. Nechtějí si najímat neznámou poradenskou firmu pro compliance — chtějí, aby to vyřešil jejich MSP. Vy znáte jejich prostředí.
Jde o opakující se příjem. Compliance není jednorázový projekt. Politiky se revidují, audity se opakují, opatření se testují, školení se každoročně aktualizují. To je model opakujícího se měsíčního příjmu.
Odlišuje vás to od konkurence. MSP, který říká „spravujeme vám IT a zároveň vás provázíme compliance," hraje v jiné lize než MSP, který říká jen „spravujeme vám IT."
Tři modely compliance služby pro MSP
Model 1: Implementační projekt
Jednorázový projekt s jasně definovaným scope:
Výhoda: zákazník snáze schválí jednorázovou investici. Nevýhoda: po dokončení přijdete o příjem, pokud nemáte navazující model.
- Gap analýza
- Příprava dokumentace a politik
- Implementace technických opatření
- Příprava na audit nebo registraci
Model 2: Compliance retainer
Měsíční paušál za průběžnou péči:
Výhoda: opakující se příjem, dlouhodobý vztah. Nevýhoda: zákazník musí vidět hodnotu průběžně — musíte reportovat, co děláte.
- Aktualizace dokumentace při změnách
- Čtvrtletní přezkum politik
- Roční revize rozsahu a rizik
- Příprava záznámů ze školení
- Podpora při zákaznických auditech
Model 3: Bundled v managed service
Compliance je součástí základního MSP balíčku nebo prémiového tieru:
Výhoda: zákazník to vnímá jako kompletní řešení, switching cost je vyšší. Nevýhoda: musíte přesně kalkulovat, aby to nebylo prodělečné.
- Bezpečnostní monitoring + compliance dokumentace v jednom
- Zákazník neplatí zvlášť — je to součást ceny za spravované služby
Smluvní jazyk, který vás chrání
Toto jsou klíčové klauzule, které musí vaše compliance smlouva nebo její dodatek obsahovat:
Vymezení rozsahu
MSP poskytuje následující služby v oblasti kybernetické bezpečnosti
a regulatory compliance:
[explicitní seznam — co konkrétně děláte]
Služby MSP nepředstavují právní poradenství ani audit
kybernetické bezpečnosti. MSP nezaručuje, že implementovaná
opatření budou shledána jako dostatečná jakýmkoli regulátorem
nebo auditorem.Odpovědnost zákazníka
Zákazník bere na vědomí, že:
a) Zákazník je poskytovatelem regulované služby ve smyslu
zákona č. 264/2025 Sb. a nese plnou zákonnou odpovědnost
za soulad s tímto zákonem.
b) MSP jedná jako technický a metodický poskytovatel
— nepřebírá zákonnou odpovědnost zákazníka.
c) Zákazník je povinen schvalovat klíčové dokumenty, rozhodnutí
a komunikaci s NÚKIB.
d) Zákazník je povinen poskytnout MSP přesné a úplné informace
nezbytné pro výkon smluvených služeb.Omezení liability
Doporučení: Nechte smlouvu projít právníkem. Výše uvedené klauzule jsou ilustrativní — konkrétní formulace závisí na vašem obchodním modelu a právní formě.
Celková odpovědnost MSP za škodu vzniklou v souvislosti
s poskytováním compliance služeb je omezena na výši
smluvní odměny za posledních 12 měsíců. MSP neodpovídá
za škody vzniklé v důsledku rozhodnutí zákazníka,
neposkytnutí součinnosti zákazníkem nebo za sankce
uložené regulátorem zákazníkovi.Jak nastavit součinnost zákazníka jako podmínku
Největší riziko compliance projektu pro MSP není právní odpovědnost — je to situace, kdy zákazník nespolupracuje, ale chce výsledek. Politiky čekají na schválení. Školení se zákazník nechce zúčastnit. Dokumenty nikdo nepodepisuje.
Ošetřete to ve smlouvě a procesem:
Ve smlouvě:
Procesem:
- Každý dokument zasílejte s jasnou lhůtou pro schválení a jménem zodpovědné osoby
- Vedete log schválení — kdy byl dokument zaslán, kdy schválen, kým
- Měsíční nebo čtvrtletní status report zákazníkovi — co bylo hotovo, co čeká na jeho akci
Zákazník se zavazuje:
- Poskytovat MSP součinnost v dohodnutých termínech
- Schvalovat předložené dokumenty do [X] pracovních dnů
- Nominovat interní kontaktní osobu odpovědnou za compliance
- Zúčastnit se alespoň [X] hodin ročně na přezkumech a školeních
Pokud zákazník neposkytne součinnost ve stanoveném termínu,
MSP není v prodlení a termíny se posouvají o dobu prodlení zákazníka.Jak compliance službu prezentovat zákazníkovi
Zákazník nekupuje „compliance". Zákazník kupuje:
Přizpůsobte komunikaci tomu, co zákazníka motivuje:
- Klid — „Nebudeme mít problém s NÚKIB ani s kontrolou"
- Tendr — „Budeme moci doložit soulad s nZKB a vyhrávat zakázky"
- Ochranu — „Když dojde k incidentu, budeme vědět, co dělat"
- Čas — „Nebudeme to muset řešit sami"
| Profil zákazníka | Co ho motivuje | Jak prezentovat |
|---|---|---|
| Výrobní firma ve vyšším režimu | Vyhnout se pokutám | „Bez zavedených opatření riskujete pokutu až 250 mil. Kč. Pomůžeme vám to splnit v zákonné lhůtě." |
| IT firma usilující o enterprise | Vyhrávat tendry | „Zákazníci z regulovaného sektoru budou vyžadovat doložení nZKB souladu. Budete připraveni." |
| Rodinná firma s obavami z administrativy | Jednoduchost | „Uděláme maximum práce za vás. Vy jen schvalujete a podepisujete." |
TL;DR
- Compliance jako služba je pro MSP příležitost s vyšší marží a opakujícím se příjmem.
- Nabízíte implementaci a podporu — ne garanci zákonného souladu. Toto rozlišení musí být explicitní ve smlouvě.
- Klíčové smluvní prvky: vymezení scope, odpovědnost zákazníka, omezení liability MSP.
- Součinnost zákazníka musí být smluvní povinností — ne dobrým přáním.
- Zákazník nekupuje compliance — kupuje klid, tendry, ochranu a čas. Komunikujte podle toho.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma