Jak vytvořit přehled bezpečnostních opatření dle § 3 odst. 2 vyhl. č. 410/2025 Sb.
Přehled bezpečnostních opatření je živý dokument podle § 3 odst. 2 vyhlášky č. 410/2025 Sb. Musí ukazovat zavedená, plánovaná i nezavedená opatření a být pravidelně aktualizovaný.
Autor: Marco Zoratto, zakladatel Splnit.eu
Co je přehled bezpečnostních opatření
Přehled bezpečnostních opatření je dokument, který zachycuje stav zavádění bezpečnostních opatření podle vyhlášky č. 410/2025 Sb. Není to jednorázový projekt. Musíte ho udržovat aktuální a jednotlivé verze uchovávat alespoň 4 roky.
NÚKIB ve svých podpůrných materiálech zdůrazňuje, že dokumentace má být přizpůsobena konkrétní organizaci. Mechanické přepsání požadavků vyhlášky bez vazby na praxi firmy nestačí.
Co musí přehled obsahovat
Vyhláška v § 3 odst. 2 stanoví tři skupiny informací: opatření zavedená, opatření plánovaná a opatření nezavedená. U každé skupiny je potřeba uvést konkrétní stav, nikoli jen obecné prohlášení.
Část 1: zavedená bezpečnostní opatření
Pro každé zavedené opatření uveďte název, odkaz na vyhlášku, popis zavedení a osobu odpovědnou za udržování.
Příklad: § 4 — Pověřená osoba kybernetické bezpečnosti. Jan Novák, IT manažer, jmenován rozhodnutím jednatele dne 15. 2. 2026. Školení NÚKIB absolvoval dne 20. 2. 2026. Pravomoci jsou uvedeny v bezpečnostní politice.
Část 2: plánovaná bezpečnostní opatření
Pro opatření, která ještě nejsou zavedena, ale plánujete je zavést, uveďte termín zavedení, prioritu a odpovědnou osobu.
Příklad: § 10 — Řešení kybernetických bezpečnostních incidentů. Termín zavedení 30. 6. 2026, priorita vysoká, odpovědný Jan Novák. Připravuje se interní směrnice pro hlášení incidentů.
Část 3: nezavedená bezpečnostní opatření
Tato část se týká vyhodnotitelných opatření, která jste se rozhodli nezavést. Uveďte zdůvodnění a vazbu na rozsah regulované služby.
Pozor: neopominutelná opatření jako § 3, § 4, § 5, § 6 a § 10 nelze jednoduše označit za nerelevantní. U nich potřebujete způsob zavedení nebo plán nápravy.
Neopominutelná vs. vyhodnotitelná opatření
Toto rozlišení rozhoduje, jak s opatřením v přehledu pracovat. Neopominutelná opatření řešíte vždy. U vyhodnotitelných opatření posuzujete relevanci a zdůvodňujete případné nezavedení.
| Opatření | Typ | Může být vynecháno? |
|---|---|---|
| § 3 Systém zajišťování minimální KB | Neopominutelné | Ne |
| § 4 Požadavky na vrcholné vedení | Neopominutelné | Ne |
| § 5 Bezpečnost lidských zdrojů | Neopominutelné | Ne |
| § 6 Řízení kontinuity | Neopominutelné | Ne |
| § 10 Řešení incidentů | Neopominutelné | Ne |
| § 7 Řízení přístupu | Vyhodnotitelné | Ano, se zdůvodněním |
| § 8 Řízení identit | Vyhodnotitelné | Ano, se zdůvodněním |
| § 9 Detekce událostí | Vyhodnotitelné | Ano, se zdůvodněním |
| § 11 Bezpečnost sítě | Vyhodnotitelné | Ano, se zdůvodněním |
| § 12 Aplikační bezpečnost | Vyhodnotitelné | Ano, se zdůvodněním |
| § 13 Kryptografie | Vyhodnotitelné | Ano, se zdůvodněním |
Jak přehled formátovat
Zákon nestanovuje jediný povinný formát. Přehled může být tabulka, dokument, PDF export nebo interní wiki, pokud je přehledný, identifikovatelný a dohledatelný.
Doporučené sloupce: číslo a název opatření, typ opatření, stav, popis zavedení nebo zdůvodnění nezavedení, datum zavedení nebo plánovaný termín, priorita a odpovědná osoba.
Jak přehled udržovat aktuální
Vyhláška vyžaduje aktualizaci alespoň jednou ročně. V praxi je bezpečnější aktualizovat přehled pokaždé, když zavedete nové opatření, změníte technickou infrastrukturu, nastane incident nebo NÚKIB vydá relevantní podpůrný materiál.
Nastavte si roční přezkum přehledu a průběžně ukládejte verze. Vrcholné vedení by mělo být se stavem plnění bezpečnostních opatření prokazatelně seznámeno.
Zjednodušená ukázka struktury
Níže je zkrácená ukázka pro malou výrobní firmu. V reálném přehledu by každý řádek měl mít vazbu na konkrétní důkaz nebo zdroj informace.
Organizace: Kovárna Novák s.r.o.
Verze: 1.2
Datum aktualizace: 22. 5. 2026
Odpovědný: Jan Novák, pověřená osoba KB
§ 3 — Systém zajišťování minimální KB
Stav: ZAVEDENO
Popis: Přehled bezpečnostních opatření veden v elektronické podobě.
Bezpečnostní politika schválena jednatelem dne 1. 3. 2026.
Odpovědný: Jan Novák
§ 4 — Pověřená osoba KB
Stav: ZAVEDENO
Popis: Jan Novák, jmenován dne 15. 2. 2026.
Školení NÚKIB absolvováno 20. 2. 2026.
Odpovědný: Jednatel
§ 8 — Řízení identit (MFA)
Stav: PLÁNOVÁNO
Termín: 30. 9. 2026
Priorita: Vysoká
Popis: MFA bude aktivováno pro všechny účty Microsoft 365.
Odpovědný: Jan NovákNejčastější chyby
Přehled je užitečný jen tehdy, když je konkrétní. Prázdné řádky, obecné popisy a chybějící termíny z něj dělají dokument, který při kontrole nepomůže.
- Prázdné řádky bez stavu a odůvodnění.
- Příliš obecné popisy typu MFA je zavedeno bez rozsahu a data.
- Nezaznamenané změny po zavedení nového opatření.
- Plánovaná opatření bez termínu, priority a odpovědné osoby.
Jak pomůže Splnit.eu
Splnit.eu generuje přehled bezpečnostních opatření dle § 3 odst. 2 vyhlášky č. 410/2025 Sb. z odpovědí, pracovních prostorů a doložených důkazů.
Automaticky ověřená opatření se zobrazují s datem ověření, manuálně deklarovaná opatření s popisem a nezavedená opatření s gapem nebo zdůvodněním. Výsledný export je připravený jako pracovní podklad pro interní kontrolu nebo komunikaci s poradcem.
Zdroje a poznámka
Právní základ: § 3 odst. 2 vyhlášky č. 410/2025 Sb., příloha č. 1 k vyhlášce a podpůrné materiály NÚKIB k bezpečnostní politice a dokumentaci.
Odkazy: https://www.zakonyprolidi.cz/cs/2025-410 a https://portal.nukib.gov.cz/storage/uploads/2026/03/31/rizeni-bezpecnostni-politiky-a-dokumentace-nizsi-rezim-v1_uid_69cbba7cdd71e.pdf.
Tento článek je praktický informační materiál. Nenahrazuje právní posouzení konkrétní regulované služby.
Související přehled předpisu
Otevřít přehled: ZoKB →Vygenerujte přehled bezpečnostních opatření
Splnit.eu převádí odpovědi, pracovní prostory a důkazy do exportu přehledu bezpečnostních opatření pro režim nižších povinností.
Vygenerovat přehled zdarma