Co zákazník může delegovat na MSP a co musí řešit sám
Zákazník, který zjistí, že podléhá nZKB, se přímo zeptá: „Tak to vyřídíte za nás, ne? Vy přece spravujete naše IT." Je to pochopitelná reakce. A odpověď zní: hodně věcí ano — ale ne všechno. nZKB ukládá povinnosti zákazníkovi jako regulované entitě — a část z nich nemůže delegovat na nikoho, ani...
Autor: Splnit.eu, Redakce Splnit.eu
Základní princip: zákazník odpovídá, MSP implementuje
nZKB ukládá povinnosti poskytovateli regulované služby — tedy zákazníkovi. NÚKIB nekomunikuje s MSP zákazníka, komunikuje přímo se zákazníkem. Pokutu nedostanete vy — dostane ji zákazník.
To neznamená, že MSP nemůže dělat většinu práce. Ale vždy jde o práci jménem zákazníka a pod jeho dohledem — ne o převzetí jeho zákonné odpovědnosti.
Mapa delegování: co patří kam
Co zákazník musí vlastnit sám — nelze delegovat
Samoidentifikace a registrace u NÚKIB Ohlášení regulované služby musí provést statutární orgán zákazníka nebo jím pověřený zástupce. MSP nemůže udělat toto za zákazníka — může ho provést a navigovat, ale zákazník musí mít aktivní roli.
Pověření zástupce a přístup na Portál NÚKIB Zákazník musí aktivně pověřit osoby, které za firmu jednají s NÚKIB. Toto je zákonný úkon, který vyžaduje identitu a datovou schránku zákazníka.
Odpovědnost vedení za kyberbezpečnost nZKB výslovně stanoví odpovědnost vedoucích osob — členů statutárního orgánu — za zavedení bezpečnostních opatření. Tato odpovědnost je osobní a nepřenosná.
Schválení rozsahu řízení kyberbezpečnosti Dokument definující rozsah musí schválit vedení zákazníka. MSP může dokument připravit — zákazník ho musí schválit a vlastnit.
Hlášení incidentů NÚKIB Hlášení probíhá přes Portál NÚKIB z účtu zákazníka. MSP může připravit podklady a asistovat — zákazník musí hlášení odeslat nebo k tomu výslovně pověřit zástupce.
Rozhodnutí o akceptaci rizik Kde zákazník rozhoduje, že určité riziko akceptuje a nepřijímá opatření — toto rozhodnutí musí formálně učinit a podepsat zákazník, ne MSP.
Co MSP může dělat jménem zákazníka — plně delegovatelné
Technická implementace bezpečnostních opatření Zavedení MFA, správa přístupů, nastavení záloh, konfigurace firewallu, patch management, monitoring — toto je jádro MSP práce a plně delegovatelné.
Příprava bezpečnostní dokumentace MSP může připravit politiky, plány, záznamy a šablony. Zákazník je schvaluje a podepisuje — ale psaní a strukturování je práce MSP.
Správa a aktualizace registru aktiv Inventura systémů, dat a procesů v rozsahu řízení KB.
Provádění hodnocení rizik MSP může provést hodnocení, připravit registr rizik a plán zvládání. Zákazník výsledky schvaluje.
Monitoring a alerting Průběžné sledování bezpečnostních událostí, správa SIEM, alerting.
Příprava podkladů pro hlášení incidentů MSP detekuje incident, připraví podklady a návrh hlášení — zákazník odešle nebo MSP odesílá jako pověřený zástupce.
Zálohovací služby a DR Provoz záloh, testování obnovy, disaster recovery plán.
Bezpečnostní školení zaměstnanců zákazníka Organizace a vedení školení, záznamy o účasti.
Vendor management Hodnocení dodavatelů zákazníka, příprava DPA šablon, vedení vendor registru.
Šedá zóna — závisí na smlouvě a dohodě
Pověřená osoba kyberbezpečnosti nZKB nevyžaduje, aby to byl zaměstnanec zákazníka — může to být externě zajištěno. MSP nebo konzultant může tuto roli zastávat jako outsourcovaná bezpečnostní role (virtual CISO). Toto musí být explicitně sjednáno ve smlouvě.
Komunikace s NÚKIB při incidentu Pokud je MSP pověřen jako zástupce zákazníka na Portálu NÚKIB, může komunikovat jménem zákazníka. Bez formálního pověření toto dělat nemůže.
Výběr a schválení dodavatelů MSP může doporučovat — ale finální schválení dodavatelů je rozhodnutí zákazníka.
Jak tuto hranici zakotvit ve smlouvě
Nejčastější příčina konfliktů mezi MSP a zákazníkem v oblasti compliance je mlhavá smlouva. Zákazník si myslel, že MSP „to vyřídí" — MSP si myslel, že jen implementuje. Výsledek: nedokončená compliance a spor o odpovědnost.
Minimální smluvní ujednání:
MSP zajišťuje:
- Implementaci technických bezpečnostních opatření dle specifikace
- Přípravu bezpečnostní dokumentace ke schválení zákazníkem
- Monitoring, alerting a přípravu podkladů pro hlášení incidentů
- [Seznam dalších konkrétních služeb]
Zákazník zajišťuje:
- Registraci regulované služby a komunikaci s NÚKIB
- Schválení a podpis interních politik a dokumentů
- Rozhodnutí o rozsahu řízení KB a akceptaci rizik
- Odeslání hlášení incidentů NÚKIB (nebo pověření MSP jako zástupce)
- Proškolení zaměstnanců a dodržování interních politik
MSP nepřebírá zákonnou odpovědnost zákazníka jako poskytovatele
regulované služby. Zákazník zůstává odpovědným subjektem
dle zákona č. 264/2025 Sb.Jak toto zákazníkovi vysvětlit, aniž ho odradíte
Zákazník může slyšet „to musíte dělat sami" jako „nepomůžeme vám." Není to pravda — jen je důležité nastavit správná očekávání.
Doporučené znění:
„Velkou část práce uděláme za vás — techniku, dokumentaci, monitoring, školení. Ale zákon ukládá odpovědnost vám jako firmě, ne nám. Proto potřebujeme, abyste nás informovali, schvalovali klíčová rozhodnutí a komunikovali s NÚKIB svým jménem. My vás celým procesem provázíme — ale nemohu za vás podepsat to, co musíte podepsat vy."
TL;DR
- nZKB ukládá povinnosti zákazníkovi, ne MSP. MSP implementuje — zákazník odpovídá.
- Nelze delegovat: registrace u NÚKIB, odpovědnost vedení, schválení rozsahu, hlášení incidentů (bez pověření), rozhodnutí o akceptaci rizik.
- Plně delegovatelné: technická implementace, příprava dokumentace, monitoring, školení, vendor management, zálohy.
- Šedá zóna: role pověřené osoby KB, komunikace s NÚKIB při incidentu — to závisí na formálním pověření.
- Zapište hranici do smlouvy explicitně — vyhne se to konfliktům při auditu nebo incidentu.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma