Jak MSP vysvětlí nZKB zákazníkovi, který o tom neslyšel
„Co je to nZKB? My přece jen provozujeme e-shop." Nebo: „To se týká jen velkých firem, ne?" Nebo, nejčastěji: mlčení a přesunutí tématu. Většina zákazníků MSP — majitelé středních firem, ředitelé provozu, IT manažeři bez právního zázemí — o nZKB buď neslyšeli, nebo o něm slyšeli a nevědí, co s...
Autor: Splnit.eu, Redakce Splnit.eu
Proč je ten rozhovor důležitý pro vás jako MSP
Nejde jen o pomoc zákazníkovi. Jde o váš byznys:
Zákazník, který plní nZKB, potřebuje od vás víc. Bezpečnostní opatření, dokumentaci, monitoring, incident response — to jsou přidané služby, které zákazník bez vašeho vedení sám nevyřeší.
Zákazník, který neplní nZKB a dostane pokutu nebo incident, bude hledat viníka. Pokud jste spravovali jeho IT a neupozornili jste ho na zákonné povinnosti, bude ten rozhovor obtížnější, než byl původní.
Zákazník, který díky vám compliance zvládne, je loajálnější a platí víc. Compliance poradenství a implementace jsou vyšší marže než samotná správa infrastruktury.
Koho se nZKB týká — přehled pro zákazníka
Než začnete rozhovor, zjistěte, jestli se zákon na zákazníka vůbec vztahuje. Pokud ano — ve kterém sektoru podniká a jak velký je.
nZKB se vztahuje na firmy v těchto sektorech (výběr nejrelevantnějších pro MSP zákazníky):
Zákazník, který podniká v jiném sektoru a je menší firma — pravděpodobně regulovaný není. Ale ověřte to přes samoidentifikaci na Portálu NÚKIB, ne odhadem.
| Sektor | Příklady |
|---|---|
| Digitální infrastruktura | Cloudoví provideři, datacentra, DNS, CDN |
| Digitální služby | E-commerce platformy nad prahem, online tržiště |
| Výroba | Výrobci kritických produktů (zdravotnické přístroje, chemikálie, automobily) |
| Energie | Elektřina, plyn, teplo, ropa |
| Doprava | Letectví, železnice, lodní a silniční doprava |
| Zdravotnictví | Nemocnice, laboratoře, farmaceutika |
| Vodohospodářství | Pitná voda, odpadní vody |
| Veřejná správa | Státní a krajské orgány |
| Finance | Banky, pojišťovny, finanční infrastruktura |
Rámec rozhovoru: čtyři kroky
Krok 1: Zjistěte, co zákazník ví
Nezačínejte přednáškou. Začněte otázkou:
*„Slyšeli jste o novém zákoně o kybernetické bezpečnosti? Víte, jestli se na vás vztahuje?"*
Odpovědi jsou typicky tři:
- „Ne, vůbec nevím, co to je" → jděte na Krok 2
- „Slyšeli jsme, ale nevíme, co s tím" → jděte rovnou na Krok 3
- „Ano, řešíme to" → zjistěte, co konkrétně řeší, a nabídněte pomoc tam, kde mají mezery
Krok 2: Vysvětlete zákon jednoduše
Nepotřebují znát číslo paragrafu. Potřebují pochopit podstatu.
Doporučené znění:
„Od listopadu 2025 platí v Česku zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. Týká se firem, které poskytují služby nebo provozují systémy, jejichž výpadek by měl závažný dopad na ekonomiku nebo společnost. Pokud do této kategorie patříte, máte povinnost zavést bezpečnostní opatření, hlásit kybernetické incidenty a registrovat se u NÚKIB — Národního úřadu pro kybernetickou bezpečnost. Sankce za neplnění jsou vysoké — až 250 milionů korun."
Pak přidejte konkrétnost pro jejich situaci:
„V případě vaší firmy — vy poskytujete [typ služby] zákazníkům z [sektoru]. To znamená, že pravděpodobně regulaci podléháte. Chcete, abychom to společně prověřili?"
Krok 3: Zjistěte jejich aktuální stav
Než cokoliv doporučíte, zjistěte kde jsou. Tři otázky, které vám dají přesný obrázek:
Odpovědi vám ukáží, jestli jsou na začátku (nic neudělali), uprostřed (udělali registraci, neví co dál) nebo blízko cíle (mají základ, chybí doladění).
- 1. *„Provedli jste samoidentifikaci na Portálu NÚKIB? Dostali jste rozhodnutí o registraci?"*
- 2. *„Máte nějakou dokumentaci k bezpečnosti — politiky, plány, záznamy?"*
- 3. *„Kdo u vás za kybernetickou bezpečnost odpovídá?"*
Krok 4: Navrhněte konkrétní první krok — ne celý projekt
Zákazník, který právě slyší o nZKB poprvé, nerozhodne o roční compliance zakázce na místě. Navrhněte malý, konkrétní a bezrizikový první krok:
„Jako první bychom mohli společně projít samoidentifikaci na Portálu NÚKIB — zjistíme, jestli a v jakém režimu jste regulovaní. Trvá to hodinu a dáme vám jasnou odpověď na otázku, co musíte řešit a co ne. Chcete to naplánovat?"
Malý první krok snižuje rozhodovací bariéru a zároveň otevírá dveře k dalším službám.
Jak reagovat na nejčastější námitky
„My jsme malá firma, tohle se nás netýká."
„Zákon nereguluje podle velikosti firmy, ale podle typu služby a sektoru. Pokud poskytujete [typ služby] — a vy ano — regulace se na vás může vztahovat i přes menší velikost. Ověřit to přes samoidentifikaci nám zabere hodinu."
„To je pro nás příliš složité a drahé."
„Záleží na vašem režimu. Firmy v nižším režimu mají 13 opatření — část z nich pravděpodobně už dělají, jen to není zdokumentované. Nejdřív zjistíme, kde jste. Teprve pak budeme mluvit o nákladech."
„To vyřeší náš IT tým sám."
„Technická opatření váš IT tým zvládne. Ale nZKB vyžaduje také dokumentaci, politiky, formální hodnocení rizik a hlášení incidentů — to je nad rámec běžné IT správy. Právě tam vám můžeme pomoct."
„Počkáme, jak to dopadne s ostatními firmami."
„Lhůty jsou zákonné a nevztahují se na to, jestli ostatní plní nebo ne. Pokud jste regulovaní a neregistrujete se, sankce mohou přijít bez ohledu na to, co dělají konkurenti. Navíc firmy, které compliance zvládnou dřív, mají výhodu v tendrech."
Co zákazníkovi říct o vaší roli — a co ne
Říkejte:
Neříkejte:
Toto rozlišení je důležité nejen eticky — je důležité pro váš vlastní právní základ. Viz také článek o tom, jak nabídnout compliance jako službu bez převzetí právní odpovědnosti.
- „Pomůžeme vám s implementací technických opatření"
- „Připravíme dokumentaci a politiky"
- „Budeme monitorovat a hlásit incidenty za vás"
- „Provázíme vás celým procesem registrace a přípravy"
- „Vyřídíme to za vás" — zákon ukládá povinnosti zákazníkovi, ne vám
- „Vy za nic neodpovídáte" — odpovídá, jen vám může delegovat technické provádění
- „Garantujeme soulad s nZKB" — garanci zákonného souladu nesmíte dávat, pokud nejste certifikovaný právník nebo auditor
TL;DR
- Zákazník, který o nZKB neslyšel, potřebuje jednoduché vysvětlení, ne přednášku o paragrafech.
- Rámec rozhovoru: zjistěte co ví → vysvětlete zákon jednoduše → zmapujte jejich stav → navrhněte malý první krok.
- Nejsilnější první krok: „Udělejme spolu samoidentifikaci — hodina práce, jasná odpověď."
- Mějte připravené odpovědi na typické námitky — zákazník vždy hledá důvod proč čekat.
- Jasně rozlišujte, co děláte za zákazníka a za co on sám odpovídá — chrání vás to i zákazníka.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma