Jak MSP stanoví rozsah řízení KB bez toho, aby zahrnul celou firmu
Po obdržení rozhodnutí o registraci od NÚKIB přijde chvíle, kdy musíte zodpovědět klíčovou otázku: Na co přesně se opatření vztahují? Pokud rozsah nestanovíte, zákon automaticky předpokládá, že opatření aplikujete na veškerá aktiva celé organizace. Pro firmu s 10 zaměstnanci a jedním produktem...
Autor: Splnit.eu, Redakce Splnit.eu
Proč je rozsah pro MSP složitější než pro jiné firmy
Většina firem řídí jen svá vlastní aktiva. MSP řídí:
Právě ten třetí bod je zdroj nejčastějšího zmatku: Patří zákaznická prostředí do vašeho rozsahu?
Krátká odpověď: Patří tam vaše systémy a přístupy, přes které zákaznická prostředí spravujete. Zákaznická prostředí samotná jsou v rozsahu zákazníka, ne vašem — pokud zákazník není součástí vaší regulované služby z pohledu nZKB.
- Vlastní interní infrastrukturu (kancelář, vývojové systémy, interní komunikace)
- Vlastní provozní systémy pro dodávku služeb (RMM nástroje, PSA, monitorovací platformy)
- Zákaznická prostředí — sítě, servery, koncová zařízení zákazníků, ke kterým máte privilegovaný přístup
Co do rozsahu MSP patří
Rozsah vychází z regulované služby — tedy z toho, co jste ohlásili NÚKIB. Typicky pro MSP zahrnuje:
1. Systémy pro dodávku regulované služby
Tato aktiva patří do rozsahu bezpodmínečně — kompromitace těchto systémů přímo ohrožuje všechny vaše zákazníky najednou.
- RMM platforma (např. NinjaRMM, ConnectWise, Datto) — přes ni spravujete zákazníky
- PSA systém — správa tiketů, SLA, fakturace
- Monitoring a alerting systémy
- Zálohovací infrastruktura (pokud je součástí spravované služby)
- SIEM nebo SOC platforma (pokud provozujete MSSP)
2. Přístupové systémy a identity management
Tyto systémy jsou kritické: útočník, který kompromituje váš přístupový systém, má automaticky přístup ke všem vašim zákazníkům.
- VPN infrastruktura pro vzdálený přístup do zákaznických prostředí
- Privileged Access Management (PAM) nebo správa servisních účtů
- MFA systémy
- Adresářové služby (Active Directory, Entra ID) používané pro přístupy k zákazníkům
3. Komunikační a orchestrační systémy
- E-mailové systémy používané pro komunikaci se zákazníky a pro automatizované alerty
- Skriptovací a automatizační nástroje nasazované do zákaznických prostředí
4. Lidé s přístupem k výše uvedeným systémům
- Technici a administrátoři s přístupy do zákaznických prostředí
- Externisté a subdodavatelé s privilegovanými přístupy
- IT administrátoři vašich vlastních systémů
Co do rozsahu nemusí patřit
Tato aktiva jsou legitimně mimo rozsah, pokud nemají přístup k regulovaným systémům nebo zákaznickým prostředím:
Klíčový test: Mohl by útočník, který kompromituje toto aktivum, dostat se ke zákaznickým prostředím nebo k systémům pro dodávku regulované služby? Pokud ano — patří do rozsahu.
- Marketingové systémy a web
- Účetnictví a fakturace (pokud jsou odděleny od PSA s přístupy)
- HR systémy
- Interní komunikační nástroje zaměstnanců bez přístupu k zákaznickým prostředím
- Vývojové systémy (pokud nevyvíjíte nástroje nasazované do zákaznických prostředí)
Jak rozsah dokumentovat
Rozsah musí být formálně zdokumentován — jako interní dokument schválený vedením firmy. Tento dokument je první věc, kterou NÚKIB nebo zákaznický auditor při kontrole vyžaduje.
Co dokument o rozsahu musí obsahovat
1. Definice regulované služby Přesný popis toho, jakou regulovanou službu poskytujete a komu. Příklad:
„Poskytování spravovaných IT služeb zahrnujících vzdálenou správu sítí, serverů a koncových zařízení zákazníků, provoz zálohovací infrastruktury a bezpečnostní monitoring pro zákazníky v segmentu SMB."
2. Soupis aktiv v rozsahu Tabulka nebo seznam:
3. Explicitní vyjmutí Vyjmenujte, co je mimo rozsah a proč:
„Z rozsahu jsou vyjmuty: marketingový web, HR systém Bamboo HR (bez přístupu k zákaznickým prostředím), interní Slack workspace zaměstnanců bez technického přístupu."
4. Schválení a verze Datum, verze dokumentu, podpis odpovědné osoby (CEO, CTO nebo pověřená osoba kyberbezpečnosti).
- Typ aktiva: RMM platforma; Konkrétní aktivum: NinjaRMM; Proč je v rozsahu: Přímý přístup ke všem zákaznickým prostředím
- Typ aktiva: Přístupový systém; Konkrétní aktivum: Privileged Access Management; Proč je v rozsahu: Správa servisních účtů u zákazníků
- Typ aktiva: Identita; Konkrétní aktivum: Azure AD (interní tenant); Proč je v rozsahu: Autentizace techniků do zákaznických prostředí
- Typ aktiva: Monitoring; Konkrétní aktivum: Zabbix instance; Proč je v rozsahu: Monitoruje zákaznická prostředí
- Typ aktiva: Zálohy; Konkrétní aktivum: Veeam + off-site storage; Proč je v rozsahu: Zálohovací služba zákazníkům
Specifický problém MSP: subdodavatelé a technici třetích stran
Mnoho MSP využívá externisty nebo subdodavatelské techniky. Pokud mají přístupy do zákaznických prostředí přes vaše systémy — patří do vašeho rozsahu a musejí splňovat vaše bezpečnostní požadavky.
To konkrétně znamená:
Pokud subdodavatel není schopen nebo ochoten tato pravidla splnit — je to bezpečnostní riziko, které musíte zdokumentovat a řešit.
- Musejí mít přidělen individuální přístupový účet (žádné sdílené přihlašovací údaje)
- MFA musí být povinné i pro ně
- Jejich přístupy musejí být auditovány a logovány
- Při ukončení spolupráce musejí být přístupy okamžitě odebrány
Jak rozsah nezaměnit s odpovědností zákazníka
Tady MSP nejčastěji chybují: rozsah vašeho řízení KB neznamená, že přebíráte právní odpovědnost za kybernetickou bezpečnost zákazníka.
Zákazník, který je sám regulovanou entitou pod nZKB, má své vlastní povinnosti. Vy za ně neplníte zákon — vy spravujete systémy, přes které zákazník svůj zákon plní.
Toto rozlišení musí být jasné:
- Ve smlouvě se zákazníkem
- Ve vašich interních dokumentech
- V komunikaci se zákazníkem, když se ptá „co za nás vyřídíte"
Praktický postup: jak rozsah stanovit krok za krokem
Krok 1: Vypište všechny systémy, přes které spravujete zákazníky nebo dodáváte regulovanou službu.
Krok 2: Pro každý systém: Mohl by útočník, který ho kompromituje, dostat se k zákaznickým prostředím? → Ano = do rozsahu.
Krok 3: Vypište všechny osoby (interní + externisté) s přístupy k výše uvedeným systémům.
Krok 4: Vypište co je explicitně mimo rozsah — a zdůvodněte proč.
Krok 5: Nechte dokument schválit vedením a naplánujte roční přezkum.
TL;DR
- Bez definovaného rozsahu platí opatření pro celou firmu — pro MSP to může být disproportionálně nákladné.
- Do rozsahu patří: RMM, PAM, monitorovací systémy, přístupová infrastruktura, technici s privilegovanými přístupy.
- Zákaznická prostředí samotná nejsou ve vašem rozsahu — ale vaše přístupy do nich ano.
- Subdodavatelé s přístupy do zákaznických prostředí patří do vašeho rozsahu a musejí splňovat vaše pravidla.
- Rozsah zdokumentujte formálně — je to první dokument, který auditor vyžaduje.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma