Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS27 min24. května 2026

Co musí mít MSP připraveno před zákaznickým auditem

Přišel e-mail od zákazníka: „Před prodloužením smlouvy budeme potřebovat vyplnit bezpečnostní dotazník a doložit dokumentaci." Pro MSP, kteří spravují IT zákazníků z regulovaných sektorů — bankovnictví, zdravotnictví, energetika — jsou zákaznické bezpečnostní audity realitou roku 2026. Firmy s...

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Co zákaznický audit testujeDokumenty, které auditor nejčastěji žádáAudit balíček: jak se připravit jednou a být připraveni vždyNejčastější situace, kdy MSP audit nezvládneTL;DR

Co zákaznický audit testuje

Zákazník při auditu MSP chce zjistit jednu věc: Pokud dojde k incidentu na vaší straně, jak moc to ohrozí nás?

Z toho vyplývají konkrétní oblasti:

  • 1. Jak zabezpečujete přístupy do našich systémů?
  • 2. Co se stane, když váš zaměstnanec nebo subdodavatel způsobí incident?
  • 3. Jak rychle nás informujete, pokud dojde k bezpečnostní události?
  • 4. Máte zavedené kontroly, které to dokazují?
  • 5. Jste sami regulovaní pod nZKB?

Dokumenty, které auditor nejčastěji žádá

1. Certifikace nebo bezpečnostní přehled

Platný ISO 27001 certifikát nebo SOC 2 Type II zpráva jsou ideální. Pokud certifikaci nemáte, připravte stručný dokument (2–4 strany) popisující vaše klíčová bezpečnostní opatření. Potvrzení o registraci pod nZKB zákazníci z regulovaného sektoru vnímají pozitivně.

2. Přehled správy přístupů do zákaznických prostředí

Toto je oblast s největšími obavami zákazníků. Připravte:

  • Politiku řízení přístupů — jak se přístupy udělují, mění a odebírají
  • Potvrzení povinného MFA pro všechny přístupy do zákaznických prostředí
  • Popis offboarding procesu — jak rychle jsou odebrány přístupy při odchodu technika
  • Přehled osob s přístupem k jejich prostředí (seznam rolí nebo jmen)

3. Smlouva o zpracování osobních údajů (DPA)

Pokud přistupujete k systémům se zákaznickými osobními daty, zákazník potřebuje DPA. Mějte připravenou standardní šablonu k podpisu a přehled sub-zpracovatelů s přístupy.

4. Incident response postup a notifikační lhůty

Zákazník potřebuje vědět: co děláte při incidentu a jak rychle ho informujete. Smluvně zavažte lhůtu pro notifikaci (doporučeno 24–48 hodin). Připravte zkrácenou verzi incident response plánu a kontaktní list pro bezpečnostní záležitosti.

5. Seznam subdodavatelů s přístupy

Kdo kromě vašich zaměstnanců může mít přístup k jejich systémům? Připravte seznam a potvrzení, že na ně uplatňujete stejné bezpečnostní požadavky.

6. Plán kontinuity a SLA

Zkrácený BCP, SLA parametry pro dostupnost vaší služby a popis zálohovací architektury s RTO/RPO pro vaše vlastní systémy.

Audit balíček: jak se připravit jednou a být připraveni vždy

Sestavte složku s připravenými dokumenty. Při příchodu dotazníku nebudete hledat — jen zkontrolujete aktuálnost.

Jmenujte jednu zodpovědnou osobu, která dotazníky koordinuje. Bez toho dotazníky uvíznou v e-mailech. Aktualizujte balíček jednou ročně a při každé změně klíčových systémů nebo subdodavatelů.

/audit-balicek
  /certifikace
    - ISO-27001-certifikat.pdf nebo bezpecnostni-prehled.pdf
    - NUKIB-registrace.pdf (pokud relevantní)
  /pristupy
    - politika-rizeni-pristupu.pdf
    - onboarding-offboarding-proces.pdf
  /gdpr
    - dpa-sablona.docx
    - seznam-sub-zpracovatelu.pdf
  /incident-response
    - ir-plan-zkraceny.pdf
    - kontaktni-list-bezpecnost.pdf
  /kontinuita
    - bcp-zkraceny.pdf
    - sla-parametry.pdf

Nejčastější situace, kdy MSP audit nezvládne

„Nemáme ISO 27001, zákazník to vyžaduje." Krátkodobě: stručný bezpečnostní přehled prokazující zavedené kontroly zákazníci mimo nejpřísnější sektory akceptují. Pro banky a pojišťovny certifikaci potřebujete.

„Zákazník se ptá, kdo má přístup k jejich systémům, a my to nevíme přesně." Toto je vážný problém — nejen pro audit, ale pro vaši vlastní bezpečnost. Okamžitě revidujte přístupové účty ve vašem RMM nástroji.

„Nemáme nic zdokumentované — přitom všechno děláme správně." Nejčastější situace. Audit neohodnocuje, co děláte — hodnotí, co dokážete doložit.

TL;DR

  • Zákaznické bezpečnostní audity MSP jsou v roce 2026 standardem pro regulované sektory.
  • Klíčové dokumenty: certifikace nebo bezpečnostní přehled, politika přístupů, DPA šablona, IR kontakt, seznam subdodavatelů, plán kontinuity.
  • Sestavte audit balíček jednou — pak jen aktualizujte. Ušetříte hodiny při každém dotazníku.
  • Dokumentace je stejně důležitá jako samotná opatření — bez ní audit ani tendr nevyhrajete.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||