Zpráva o hodnocení stavu kybernetické bezpečnosti: co má obsahovat
Název „zpráva o hodnocení stavu kybernetické bezpečnosti“ zní oficiálně, ale u nižšího režimu je potřeba držet se vyhlášky č. 410/2025 Sb. Povinným jádrem je přehled bezpečnostních opatření, jeho aktualizace a uchování verzí.
Autor: Marco Zoratto, zakladatel Splnit.eu
Nejdřív opravme premisu
Pro poskytovatele v režimu nižších povinností vyhláška č. 410/2025 Sb. v § 3 popisuje přehled bezpečnostních opatření a jeho pravidelnou aktualizaci. Neznamená to, že každá firma musí mít dokument s přesným názvem „Zpráva o hodnocení stavu kybernetické bezpečnosti“.
Taková zpráva ale může být praktický export pro vedení, poradce nebo kontrolu, pokud jasně ukazuje, z čeho vychází a nenahrazuje právní posouzení.
Co by měl pracovní export obsahovat
Užitečná zpráva má být dohledatelná a konkrétní. Nestačí seznam obecných prohlášení. Každá oblast by měla mít stav, vlastníka, důkaz nebo zdůvodnění a další krok.
- Identifikace organizace, regulované služby a režimu povinností.
- Přehled opatření podle vyhlášky č. 410/2025 Sb. včetně zavedených, plánovaných a nezavedených opatření.
- Odpovědné osoby, datum poslední aktualizace a zdroj důkazu.
- Otevřené mezery, priorita a termín nápravy.
- Záznam, že vedení bylo se stavem seznámeno.
Co do zprávy nepatří
Neuvádějte tvrzení o certifikaci, auditu nebo schválení NÚKIB, pokud skutečně neexistují. Interní export není certifikát ani stanovisko úřadu.
Zdroje: vyhláška č. 410/2025 Sb. v e-Sbírce a podpůrné materiály NÚKIB pro režim nižších povinností.
Související přehled předpisu
Otevřít přehled: ZoKB →Stáhněte si podklad pro přehled opatření
Pro nižší režim začněte přehledem a gap analýzou podle vyhlášky č. 410/2025 Sb.; zprávu používejte jako pracovní export, ne jako certifikaci.
Stáhnout GAP analýzu