Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS27 min24. května 2026

Compliance jako prodejní argument: jak MSP vyhraje tender díky nZKB připravenosti

„Vybíráme nového MSP poskytovatele. Součástí hodnocení je bezpečnostní dotazník a doložení souladu s nZKB." Tato věta se v tendrech pro IT služby objevuje čím dál pravidelněji. Firmy v regulovaných sektorech — výroba, energie, zdravotnictví, finance — jsou samy pod tlakem nZKB a hledají MSP,...

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Proč compliance vstoupila do výběrových kritérií MSPCo zákazník v tendru konkrétně hodnotíJak compliance prezentovat v tendru — ne jen doložitCompliance pitch: jak ho zakomponovat do prezentaceJak reagovat, když nemáte certifikaciJak compliance zvyšuje cenu vaší nabídkyTL;DR

Proč compliance vstoupila do výběrových kritérií MSP

Před nZKB byl výběr MSP primárně o ceně, referencích a technické způsobilosti. Dnes přibyl čtvrtý rozměr: bezpečnostní způsobilost a regulatory compliance.

Důvody jsou přímé:

Regulovaný zákazník ručí za své dodavatele. nZKB vyžaduje hodnocení bezpečnostně významných dodavatelů pro vyšší režim. MSP, který spravuje IT zákazníka, je bezpečnostně významným dodavatelem. Zákazník musí doložit, že vás prověřil.

Incident přes MSP je incident zákazníka. Pokud útočník kompromituje váš RMM přístup a dostane se přes něj k zákazníkovi, zákazník hlásí incident NÚKIB — a zdůvodňuje, proč nevybral bezpečného MSP.

Enterprise procurement týmy mají nové checklisty. Bezpečnostní dotazníky pro dodavatele se v roce 2026 staly standardem. Bez uspokojivých odpovědí se k finančnímu vyjednávání nedostanete.

Co zákazník v tendru konkrétně hodnotí

Bezpečnostní část tendru typicky testuje těchto 6 oblastí:

1. Jste sami regulovaní pod nZKB?

Zákazník chce vědět, jestli vy sami máte zákonnou povinnost zavést bezpečnostní opatření — a jestli ji plníte. MSP, který je sám registrován u NÚKIB a má zavedená opatření, dává zákazníkovi silnější signál než MSP, který říká „my regulovaní nejsme."

Připravte: Potvrzení o registraci nebo výsledek samoidentifikace + stručný přehled zavedených opatření.

2. Jak zabezpečujete přístupy do zákaznických prostředí?

Toto je oblast s nejvyšším zájmem. Zákazník chce vidět, že přístupy jeho techniků jsou pod kontrolou.

Připravte: Politiku řízení přístupů, potvrzení povinného MFA, popis offboarding procesu, přehled nástrojů pro správu privilegovaných přístupů (PAM).

3. Certifikace nebo bezpečnostní audit

ISO 27001 nebo SOC 2 jsou nejsilnější signály. Pokud je nemáte, připravte alternativu.

Připravte: Certifikát (s platným datem a scope pokrývajícím MSP operace), nebo bezpečnostní přehled + výsledky posledního externího bezpečnostního auditu nebo penetračního testu.

4. Jak řešíte incidenty a jak nás informujete?

Připravte: Incident response plán (zkrácená verze), smluvní lhůtu pro notifikaci zákazníka (24–48 hodin), kontaktní list pro bezpečnostní záležitosti.

5. Jak hodnotíte vlastní dodavatele?

Připravte: Vendor risk registr nebo přehled klíčových subdodavatelů s jejich bezpečnostní způsobilostí.

6. Školení a bezpečnostní kultura

Připravte: Záznamy o bezpečnostním školení zaměstnanců, přehled témat a frekvence.

Jak compliance prezentovat v tendru — ne jen doložit

Doložit dokumenty je minimum. Vítězové tendrů dokáží compliance vypravovat jako příběh, který buduje důvěru.

Místo: „Přikládáme certifikát ISO 27001"

Říkejte: „Máme platnou certifikaci ISO 27001 se scope pokrývajícím naše MSP operace. To znamená, že každoročně procházíme nezávislým auditem, který ověřuje naše bezpečnostní kontroly. Přikládáme certifikát, SoA a výsledky posledního dozorového auditu."

Místo: „Máme MFA na přístupech"

Říkejte: „Každý přístup do zákaznického prostředí je chráněn MFA a logován. Při odchodu technika jsou přístupy odebrány do 4 hodin. Záznamy o přístupech uchováváme 12 měsíců a jsou dostupné zákazníkovi na vyžádání."

Místo: „Řešíme incidenty dle plánu"

Říkejte: „Náš incident response plán testujeme dvakrát ročně tabletop cvičením. Zákazníky informujeme o incidentech do 24 hodin od zjištění — to je smluvní závazek, ne jen interní politika."

Každá odpověď má tři části: co máte, proč to funguje, jak to zákazník pozná.

Compliance pitch: jak ho zakomponovat do prezentace

Pokud máte možnost prezentovat před výběrovou komisí, věnujte compliance jednu samostatnou sekci — ne ji rozptýlit do technického přehledu.

Struktura compliance sekce (5–8 minut):

  • 1. Naše vlastní bezpečnostní způsobilost — jsme sami regulovaní / certifikovaní. Tady je doklad.
  • 2. Jak chráníme přístupy do vašeho prostředí — konkrétní popis: MFA, PAM, offboarding, logování.
  • 3. Co se stane, když dojde k incidentu — kdo volá komu, do kdy, co děláme.
  • 4. Jak vám pomůžeme s vaší vlastní nZKB compliance — pokud tuto službu nabízíte.
  • 5. Reference — zákazník z regulovaného sektoru, pro kterého jste compliance řešili.

Jak reagovat, když nemáte certifikaci

Mnoho MSP ISO 27001 nemá — a přitom tendry vyhrává. Klíčem je transparentnost a kompenzace:

„ISO 27001 certifikaci nemáme, plánujeme certifikační audit v [datum]. Místo toho přikládáme přehled našich bezpečnostních opatření, výsledky posledního externího penetračního testu z [datum] a náš registr rizik. Jsme připraveni odpovědět na jakékoli detailní otázky vašeho security týmu."

Zákazníci z méně přísně regulovaného sektoru toto přijmou. Pro banky a pojišťovny certifikaci většinou potřebujete — nebo potřebujete partnera, který ji má.

Jak compliance zvyšuje cenu vaší nabídky

Compliance připravenost vám umožňuje obhájit vyšší cenu:

V tendru, kde cena je jedním z kritérií, ale ne jediným, je bezpečnostní způsobilost argument pro to, proč stojíte víc než nejlevnější nabídka.

  • Snižuje riziko zákazníka (a zákazník to ví)
  • Snižuje zákazníkovy náklady na vendor management (nemusí vás složitě prověřovat)
  • Umožňuje zákazníkovi ve svých vlastních auditech doložit prověřeného dodavatele

TL;DR

  • Compliance připravenost je v roce 2026 součástí výběrových kritérií MSP v regulovaných sektorech.
  • Zákazník hodnotí 6 oblastí: regulační status, správu přístupů, certifikace, incident response, vendor management, školení.
  • Nestačí dokumenty doložit — musíte je umět vypravovat jako příběh, který buduje důvěru.
  • Pokud nemáte ISO 27001: buďte transparentní, doložte alternativy a ukažte plán.
  • Compliance způsobilost obhajuje vyšší cenu a snižuje switching pressure od zákazníka.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||