Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS27 min24. května 2026

Co zákazník může delegovat na MSP a co musí řešit sám

Zákazník, který zjistí, že podléhá nZKB, se přímo zeptá: „Tak to vyřídíte za nás, ne? Vy přece spravujete naše IT." Je to pochopitelná reakce. A odpověď zní: hodně věcí ano — ale ne všechno. nZKB ukládá povinnosti zákazníkovi jako regulované entitě — a část z nich nemůže delegovat na nikoho, ani...

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Základní princip: zákazník odpovídá, MSP implementujeMapa delegování: co patří kamJak tuto hranici zakotvit ve smlouvěJak toto zákazníkovi vysvětlit, aniž ho odradíteTL;DR

Základní princip: zákazník odpovídá, MSP implementuje

nZKB ukládá povinnosti poskytovateli regulované služby — tedy zákazníkovi. NÚKIB nekomunikuje s MSP zákazníka, komunikuje přímo se zákazníkem. Pokutu nedostanete vy — dostane ji zákazník.

To neznamená, že MSP nemůže dělat většinu práce. Ale vždy jde o práci jménem zákazníka a pod jeho dohledem — ne o převzetí jeho zákonné odpovědnosti.

Mapa delegování: co patří kam

Co zákazník musí vlastnit sám — nelze delegovat

Samoidentifikace a registrace u NÚKIB Ohlášení regulované služby musí provést statutární orgán zákazníka nebo jím pověřený zástupce. MSP nemůže udělat toto za zákazníka — může ho provést a navigovat, ale zákazník musí mít aktivní roli.

Pověření zástupce a přístup na Portál NÚKIB Zákazník musí aktivně pověřit osoby, které za firmu jednají s NÚKIB. Toto je zákonný úkon, který vyžaduje identitu a datovou schránku zákazníka.

Odpovědnost vedení za kyberbezpečnost nZKB výslovně stanoví odpovědnost vedoucích osob — členů statutárního orgánu — za zavedení bezpečnostních opatření. Tato odpovědnost je osobní a nepřenosná.

Schválení rozsahu řízení kyberbezpečnosti Dokument definující rozsah musí schválit vedení zákazníka. MSP může dokument připravit — zákazník ho musí schválit a vlastnit.

Hlášení incidentů NÚKIB Hlášení probíhá přes Portál NÚKIB z účtu zákazníka. MSP může připravit podklady a asistovat — zákazník musí hlášení odeslat nebo k tomu výslovně pověřit zástupce.

Rozhodnutí o akceptaci rizik Kde zákazník rozhoduje, že určité riziko akceptuje a nepřijímá opatření — toto rozhodnutí musí formálně učinit a podepsat zákazník, ne MSP.

Co MSP může dělat jménem zákazníka — plně delegovatelné

Technická implementace bezpečnostních opatření Zavedení MFA, správa přístupů, nastavení záloh, konfigurace firewallu, patch management, monitoring — toto je jádro MSP práce a plně delegovatelné.

Příprava bezpečnostní dokumentace MSP může připravit politiky, plány, záznamy a šablony. Zákazník je schvaluje a podepisuje — ale psaní a strukturování je práce MSP.

Správa a aktualizace registru aktiv Inventura systémů, dat a procesů v rozsahu řízení KB.

Provádění hodnocení rizik MSP může provést hodnocení, připravit registr rizik a plán zvládání. Zákazník výsledky schvaluje.

Monitoring a alerting Průběžné sledování bezpečnostních událostí, správa SIEM, alerting.

Příprava podkladů pro hlášení incidentů MSP detekuje incident, připraví podklady a návrh hlášení — zákazník odešle nebo MSP odesílá jako pověřený zástupce.

Zálohovací služby a DR Provoz záloh, testování obnovy, disaster recovery plán.

Bezpečnostní školení zaměstnanců zákazníka Organizace a vedení školení, záznamy o účasti.

Vendor management Hodnocení dodavatelů zákazníka, příprava DPA šablon, vedení vendor registru.

Šedá zóna — závisí na smlouvě a dohodě

Pověřená osoba kyberbezpečnosti nZKB nevyžaduje, aby to byl zaměstnanec zákazníka — může to být externě zajištěno. MSP nebo konzultant může tuto roli zastávat jako outsourcovaná bezpečnostní role (virtual CISO). Toto musí být explicitně sjednáno ve smlouvě.

Komunikace s NÚKIB při incidentu Pokud je MSP pověřen jako zástupce zákazníka na Portálu NÚKIB, může komunikovat jménem zákazníka. Bez formálního pověření toto dělat nemůže.

Výběr a schválení dodavatelů MSP může doporučovat — ale finální schválení dodavatelů je rozhodnutí zákazníka.

Jak tuto hranici zakotvit ve smlouvě

Nejčastější příčina konfliktů mezi MSP a zákazníkem v oblasti compliance je mlhavá smlouva. Zákazník si myslel, že MSP „to vyřídí" — MSP si myslel, že jen implementuje. Výsledek: nedokončená compliance a spor o odpovědnost.

Minimální smluvní ujednání:

MSP zajišťuje:
- Implementaci technických bezpečnostních opatření dle specifikace
- Přípravu bezpečnostní dokumentace ke schválení zákazníkem
- Monitoring, alerting a přípravu podkladů pro hlášení incidentů
- [Seznam dalších konkrétních služeb]

Zákazník zajišťuje:
- Registraci regulované služby a komunikaci s NÚKIB
- Schválení a podpis interních politik a dokumentů
- Rozhodnutí o rozsahu řízení KB a akceptaci rizik
- Odeslání hlášení incidentů NÚKIB (nebo pověření MSP jako zástupce)
- Proškolení zaměstnanců a dodržování interních politik

MSP nepřebírá zákonnou odpovědnost zákazníka jako poskytovatele
regulované služby. Zákazník zůstává odpovědným subjektem
dle zákona č. 264/2025 Sb.

Jak toto zákazníkovi vysvětlit, aniž ho odradíte

Zákazník může slyšet „to musíte dělat sami" jako „nepomůžeme vám." Není to pravda — jen je důležité nastavit správná očekávání.

Doporučené znění:

„Velkou část práce uděláme za vás — techniku, dokumentaci, monitoring, školení. Ale zákon ukládá odpovědnost vám jako firmě, ne nám. Proto potřebujeme, abyste nás informovali, schvalovali klíčová rozhodnutí a komunikovali s NÚKIB svým jménem. My vás celým procesem provázíme — ale nemohu za vás podepsat to, co musíte podepsat vy."

TL;DR

  • nZKB ukládá povinnosti zákazníkovi, ne MSP. MSP implementuje — zákazník odpovídá.
  • Nelze delegovat: registrace u NÚKIB, odpovědnost vedení, schválení rozsahu, hlášení incidentů (bez pověření), rozhodnutí o akceptaci rizik.
  • Plně delegovatelné: technická implementace, příprava dokumentace, monitoring, školení, vendor management, zálohy.
  • Šedá zóna: role pověřené osoby KB, komunikace s NÚKIB při incidentu — to závisí na formálním pověření.
  • Zapište hranici do smlouvy explicitně — vyhne se to konfliktům při auditu nebo incidentu.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||