Co musí mít MSP připraveno před zákaznickým auditem
Přišel e-mail od zákazníka: „Před prodloužením smlouvy budeme potřebovat vyplnit bezpečnostní dotazník a doložit dokumentaci." Pro MSP, kteří spravují IT zákazníků z regulovaných sektorů — bankovnictví, zdravotnictví, energetika — jsou zákaznické bezpečnostní audity realitou roku 2026. Firmy s...
Autor: Splnit.eu, Redakce Splnit.eu
Co zákaznický audit testuje
Zákazník při auditu MSP chce zjistit jednu věc: Pokud dojde k incidentu na vaší straně, jak moc to ohrozí nás?
Z toho vyplývají konkrétní oblasti:
- 1. Jak zabezpečujete přístupy do našich systémů?
- 2. Co se stane, když váš zaměstnanec nebo subdodavatel způsobí incident?
- 3. Jak rychle nás informujete, pokud dojde k bezpečnostní události?
- 4. Máte zavedené kontroly, které to dokazují?
- 5. Jste sami regulovaní pod nZKB?
Dokumenty, které auditor nejčastěji žádá
1. Certifikace nebo bezpečnostní přehled
Platný ISO 27001 certifikát nebo SOC 2 Type II zpráva jsou ideální. Pokud certifikaci nemáte, připravte stručný dokument (2–4 strany) popisující vaše klíčová bezpečnostní opatření. Potvrzení o registraci pod nZKB zákazníci z regulovaného sektoru vnímají pozitivně.
2. Přehled správy přístupů do zákaznických prostředí
Toto je oblast s největšími obavami zákazníků. Připravte:
- Politiku řízení přístupů — jak se přístupy udělují, mění a odebírají
- Potvrzení povinného MFA pro všechny přístupy do zákaznických prostředí
- Popis offboarding procesu — jak rychle jsou odebrány přístupy při odchodu technika
- Přehled osob s přístupem k jejich prostředí (seznam rolí nebo jmen)
3. Smlouva o zpracování osobních údajů (DPA)
Pokud přistupujete k systémům se zákaznickými osobními daty, zákazník potřebuje DPA. Mějte připravenou standardní šablonu k podpisu a přehled sub-zpracovatelů s přístupy.
4. Incident response postup a notifikační lhůty
Zákazník potřebuje vědět: co děláte při incidentu a jak rychle ho informujete. Smluvně zavažte lhůtu pro notifikaci (doporučeno 24–48 hodin). Připravte zkrácenou verzi incident response plánu a kontaktní list pro bezpečnostní záležitosti.
5. Seznam subdodavatelů s přístupy
Kdo kromě vašich zaměstnanců může mít přístup k jejich systémům? Připravte seznam a potvrzení, že na ně uplatňujete stejné bezpečnostní požadavky.
6. Plán kontinuity a SLA
Zkrácený BCP, SLA parametry pro dostupnost vaší služby a popis zálohovací architektury s RTO/RPO pro vaše vlastní systémy.
Audit balíček: jak se připravit jednou a být připraveni vždy
Sestavte složku s připravenými dokumenty. Při příchodu dotazníku nebudete hledat — jen zkontrolujete aktuálnost.
Jmenujte jednu zodpovědnou osobu, která dotazníky koordinuje. Bez toho dotazníky uvíznou v e-mailech. Aktualizujte balíček jednou ročně a při každé změně klíčových systémů nebo subdodavatelů.
/audit-balicek
/certifikace
- ISO-27001-certifikat.pdf nebo bezpecnostni-prehled.pdf
- NUKIB-registrace.pdf (pokud relevantní)
/pristupy
- politika-rizeni-pristupu.pdf
- onboarding-offboarding-proces.pdf
/gdpr
- dpa-sablona.docx
- seznam-sub-zpracovatelu.pdf
/incident-response
- ir-plan-zkraceny.pdf
- kontaktni-list-bezpecnost.pdf
/kontinuita
- bcp-zkraceny.pdf
- sla-parametry.pdfNejčastější situace, kdy MSP audit nezvládne
„Nemáme ISO 27001, zákazník to vyžaduje." Krátkodobě: stručný bezpečnostní přehled prokazující zavedené kontroly zákazníci mimo nejpřísnější sektory akceptují. Pro banky a pojišťovny certifikaci potřebujete.
„Zákazník se ptá, kdo má přístup k jejich systémům, a my to nevíme přesně." Toto je vážný problém — nejen pro audit, ale pro vaši vlastní bezpečnost. Okamžitě revidujte přístupové účty ve vašem RMM nástroji.
„Nemáme nic zdokumentované — přitom všechno děláme správně." Nejčastější situace. Audit neohodnocuje, co děláte — hodnotí, co dokážete doložit.
TL;DR
- Zákaznické bezpečnostní audity MSP jsou v roce 2026 standardem pro regulované sektory.
- Klíčové dokumenty: certifikace nebo bezpečnostní přehled, politika přístupů, DPA šablona, IR kontakt, seznam subdodavatelů, plán kontinuity.
- Sestavte audit balíček jednou — pak jen aktualizujte. Ušetříte hodiny při každém dotazníku.
- Dokumentace je stejně důležitá jako samotná opatření — bez ní audit ani tendr nevyhrajete.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma