Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS27 min24. května 2026

Jak MSP stanoví rozsah řízení KB bez toho, aby zahrnul celou firmu

Po obdržení rozhodnutí o registraci od NÚKIB přijde chvíle, kdy musíte zodpovědět klíčovou otázku: Na co přesně se opatření vztahují? Pokud rozsah nestanovíte, zákon automaticky předpokládá, že opatření aplikujete na veškerá aktiva celé organizace. Pro firmu s 10 zaměstnanci a jedním produktem...

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Proč je rozsah pro MSP složitější než pro jiné firmyCo do rozsahu MSP patříCo do rozsahu nemusí patřitJak rozsah dokumentovatSpecifický problém MSP: subdodavatelé a technici třetích stranJak rozsah nezaměnit s odpovědností zákazníkaPraktický postup: jak rozsah stanovit krok za krokemTL;DR

Proč je rozsah pro MSP složitější než pro jiné firmy

Většina firem řídí jen svá vlastní aktiva. MSP řídí:

Právě ten třetí bod je zdroj nejčastějšího zmatku: Patří zákaznická prostředí do vašeho rozsahu?

Krátká odpověď: Patří tam vaše systémy a přístupy, přes které zákaznická prostředí spravujete. Zákaznická prostředí samotná jsou v rozsahu zákazníka, ne vašem — pokud zákazník není součástí vaší regulované služby z pohledu nZKB.

  • Vlastní interní infrastrukturu (kancelář, vývojové systémy, interní komunikace)
  • Vlastní provozní systémy pro dodávku služeb (RMM nástroje, PSA, monitorovací platformy)
  • Zákaznická prostředí — sítě, servery, koncová zařízení zákazníků, ke kterým máte privilegovaný přístup

Co do rozsahu MSP patří

Rozsah vychází z regulované služby — tedy z toho, co jste ohlásili NÚKIB. Typicky pro MSP zahrnuje:

1. Systémy pro dodávku regulované služby

Tato aktiva patří do rozsahu bezpodmínečně — kompromitace těchto systémů přímo ohrožuje všechny vaše zákazníky najednou.

  • RMM platforma (např. NinjaRMM, ConnectWise, Datto) — přes ni spravujete zákazníky
  • PSA systém — správa tiketů, SLA, fakturace
  • Monitoring a alerting systémy
  • Zálohovací infrastruktura (pokud je součástí spravované služby)
  • SIEM nebo SOC platforma (pokud provozujete MSSP)

2. Přístupové systémy a identity management

Tyto systémy jsou kritické: útočník, který kompromituje váš přístupový systém, má automaticky přístup ke všem vašim zákazníkům.

  • VPN infrastruktura pro vzdálený přístup do zákaznických prostředí
  • Privileged Access Management (PAM) nebo správa servisních účtů
  • MFA systémy
  • Adresářové služby (Active Directory, Entra ID) používané pro přístupy k zákazníkům

3. Komunikační a orchestrační systémy

  • E-mailové systémy používané pro komunikaci se zákazníky a pro automatizované alerty
  • Skriptovací a automatizační nástroje nasazované do zákaznických prostředí

4. Lidé s přístupem k výše uvedeným systémům

  • Technici a administrátoři s přístupy do zákaznických prostředí
  • Externisté a subdodavatelé s privilegovanými přístupy
  • IT administrátoři vašich vlastních systémů

Co do rozsahu nemusí patřit

Tato aktiva jsou legitimně mimo rozsah, pokud nemají přístup k regulovaným systémům nebo zákaznickým prostředím:

Klíčový test: Mohl by útočník, který kompromituje toto aktivum, dostat se ke zákaznickým prostředím nebo k systémům pro dodávku regulované služby? Pokud ano — patří do rozsahu.

  • Marketingové systémy a web
  • Účetnictví a fakturace (pokud jsou odděleny od PSA s přístupy)
  • HR systémy
  • Interní komunikační nástroje zaměstnanců bez přístupu k zákaznickým prostředím
  • Vývojové systémy (pokud nevyvíjíte nástroje nasazované do zákaznických prostředí)

Jak rozsah dokumentovat

Rozsah musí být formálně zdokumentován — jako interní dokument schválený vedením firmy. Tento dokument je první věc, kterou NÚKIB nebo zákaznický auditor při kontrole vyžaduje.

Co dokument o rozsahu musí obsahovat

1. Definice regulované služby Přesný popis toho, jakou regulovanou službu poskytujete a komu. Příklad:

„Poskytování spravovaných IT služeb zahrnujících vzdálenou správu sítí, serverů a koncových zařízení zákazníků, provoz zálohovací infrastruktury a bezpečnostní monitoring pro zákazníky v segmentu SMB."

2. Soupis aktiv v rozsahu Tabulka nebo seznam:

3. Explicitní vyjmutí Vyjmenujte, co je mimo rozsah a proč:

„Z rozsahu jsou vyjmuty: marketingový web, HR systém Bamboo HR (bez přístupu k zákaznickým prostředím), interní Slack workspace zaměstnanců bez technického přístupu."

4. Schválení a verze Datum, verze dokumentu, podpis odpovědné osoby (CEO, CTO nebo pověřená osoba kyberbezpečnosti).

  • Typ aktiva: RMM platforma; Konkrétní aktivum: NinjaRMM; Proč je v rozsahu: Přímý přístup ke všem zákaznickým prostředím
  • Typ aktiva: Přístupový systém; Konkrétní aktivum: Privileged Access Management; Proč je v rozsahu: Správa servisních účtů u zákazníků
  • Typ aktiva: Identita; Konkrétní aktivum: Azure AD (interní tenant); Proč je v rozsahu: Autentizace techniků do zákaznických prostředí
  • Typ aktiva: Monitoring; Konkrétní aktivum: Zabbix instance; Proč je v rozsahu: Monitoruje zákaznická prostředí
  • Typ aktiva: Zálohy; Konkrétní aktivum: Veeam + off-site storage; Proč je v rozsahu: Zálohovací služba zákazníkům

Specifický problém MSP: subdodavatelé a technici třetích stran

Mnoho MSP využívá externisty nebo subdodavatelské techniky. Pokud mají přístupy do zákaznických prostředí přes vaše systémy — patří do vašeho rozsahu a musejí splňovat vaše bezpečnostní požadavky.

To konkrétně znamená:

Pokud subdodavatel není schopen nebo ochoten tato pravidla splnit — je to bezpečnostní riziko, které musíte zdokumentovat a řešit.

  • Musejí mít přidělen individuální přístupový účet (žádné sdílené přihlašovací údaje)
  • MFA musí být povinné i pro ně
  • Jejich přístupy musejí být auditovány a logovány
  • Při ukončení spolupráce musejí být přístupy okamžitě odebrány

Jak rozsah nezaměnit s odpovědností zákazníka

Tady MSP nejčastěji chybují: rozsah vašeho řízení KB neznamená, že přebíráte právní odpovědnost za kybernetickou bezpečnost zákazníka.

Zákazník, který je sám regulovanou entitou pod nZKB, má své vlastní povinnosti. Vy za ně neplníte zákon — vy spravujete systémy, přes které zákazník svůj zákon plní.

Toto rozlišení musí být jasné:

  • Ve smlouvě se zákazníkem
  • Ve vašich interních dokumentech
  • V komunikaci se zákazníkem, když se ptá „co za nás vyřídíte"

Praktický postup: jak rozsah stanovit krok za krokem

Krok 1: Vypište všechny systémy, přes které spravujete zákazníky nebo dodáváte regulovanou službu.

Krok 2: Pro každý systém: Mohl by útočník, který ho kompromituje, dostat se k zákaznickým prostředím? → Ano = do rozsahu.

Krok 3: Vypište všechny osoby (interní + externisté) s přístupy k výše uvedeným systémům.

Krok 4: Vypište co je explicitně mimo rozsah — a zdůvodněte proč.

Krok 5: Nechte dokument schválit vedením a naplánujte roční přezkum.

TL;DR

  • Bez definovaného rozsahu platí opatření pro celou firmu — pro MSP to může být disproportionálně nákladné.
  • Do rozsahu patří: RMM, PAM, monitorovací systémy, přístupová infrastruktura, technici s privilegovanými přístupy.
  • Zákaznická prostředí samotná nejsou ve vašem rozsahu — ale vaše přístupy do nich ano.
  • Subdodavatelé s přístupy do zákaznických prostředí patří do vašeho rozsahu a musejí splňovat vaše pravidla.
  • Rozsah zdokumentujte formálně — je to první dokument, který auditor vyžaduje.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||