compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

průvodce

NIS2 dokumentace: jaké dokumenty musíte mít a jak je vytvořit

Lukáš Vencálek·9. března 2026·6 min·Naposledy aktualizováno 9. března 2026

Vyhláška 410/2025 Sb. nestanovuje přesné šablony. Stanovuje co musí být zdokumentováno. Tady je přehled všech dokumentů, které potřebujete jako firma v nižším režimu – co každý obsahuje, proč ho potřebujete a jak ho připravit.

5 klíčových dokumentů

1. Přehled bezpečnostních opatření

Základ ve vyhlášce: §3 odst. 2, Příloha 1

Nejdůležitější dokument. Tabulka, kde ke každému ze 12 opatření vyhlášky uvedete:

SloupecCo tam patříPříklad
OpatřeníOdkaz na § vyhlášky§7 Řízení přístupu
StavZavedeno / V procesu / NezavedenoV procesu
PopisJak opatření plnítePřístupová práva řízena přes AD, MFA na VPN
TermínKdy bude zavedeno30. 6. 2026
Priorita1 (nízká) – 4 (kritická)3 (vysoká)
Odpovědná osobaKdo zodpovídáIng. Dvořák, IT

Proč je důležitý: NÚKIB z něj pozná celkový stav vaší bezpečnosti na jednom místě. Funguje na principu comply-or-explain – u každého opatření buď popíšete jak ho plníte, nebo zdůvodníte proč ne.

Pravidla:

  • Aktualizace minimálně jednou ročně
  • Archivace 4 roky
  • Musí pokrývat všech 12 opatření (ne jen ta, která splňujete)

2. Bezpečnostní politika

Základ ve vyhlášce: §3 odst. 3

Zastřešující dokument. Soubor zásad a pravidel, podle kterých firma chrání svá aktiva. Pokrývá všechny oblasti vyhlášky:

  • Řízení přístupu – kdo má kam přístup a za jakých podmínek
  • Ověřování identity – jak se uživatelé přihlašují, pravidla pro hesla
  • Bezpečnost sítí – segmentace, firewall, vzdálený přístup
  • Řízení aktiv – evidence systémů, pravidla pro zařízení
  • Kontinuita – zálohy, obnova, priority
  • Incidenty – hlášení, eskalace, reakce
  • Dodavatelé – bezpečnostní požadavky, smluvní ujednání
  • Lidské zdroje – školení, pravidla chování
  • Kryptografie – šifrování, správa klíčů

Proč je důležitá: Je to váš hlavní bezpečnostní dokument. Říká „takhle to u nás děláme". Bez ní ostatní dokumenty nedávají kontext.

Nemusí být dlouhá. Pro firmu s 80 zaměstnanci stačí 10–15 stran. Důležitá je konkrétnost – ne obecné fráze, ale reálný popis vaší situace.

3. Metodika posuzování incidentů

Základ ve vyhlášce: §10 písm. b), §14

Jak poznáte, že se něco stalo. Jak rozhodnete, jestli je to závažné. Komu to nahlásíte.

Obsahuje:

  • Eskalační cestu – kdo komu hlásí, jak rychle
  • Kritéria závažnosti – co je běžná událost vs závažný incident
  • 6 oblastí posouzení (§14 vyhlášky):
    • Provozní dopad na službu
    • Počet zasažených uživatelů
    • Zdroje potřebné pro obnovu
    • Typ postiženého aktiva
    • Citlivost zasažených dat
    • Příčina incidentu
  • Prahové hodnoty – od jaké finanční škody, od kolika uživatelů, od jakého výpadku je incident závažný
  • Postup hlášení k NÚKIBu – 72 hodin na oznámení, 30 dnů na závěrečnou zprávu

Proč ji potřebujete: Bez metodiky nemůžete rozhodnout, jestli máte hlásit NÚKIBu. A nenahlášení závažného incidentu je přestupek.

4. Registr dodavatelů

Základ ve vyhlášce: §3 odst. 5, Příloha 2

Seznam dodavatelů s přístupem k vašim systémům nebo datům. U každého:

  • Kdo to je a co dodává
  • Jaký přístup má k vašim systémům
  • Jak jste hodnotili bezpečnostní riziko
  • Co říká smlouva

Příloha 2 vyhlášky definuje 14 bodů, které by měly být ve smlouvách. Mezi nimi:

  • Pravidla důvěrnosti
  • Právo na audit dodavatele
  • Pravidla pro subdodavatele
  • Exit strategie (co se stane, když spolupráce skončí)
  • Řízení incidentů u dodavatele
  • SLA a bezpečnostní úroveň
  • Bezpečný vývoj (pokud dodavatel vyvíjí software)

Proč ho potřebujete: Dodavatelský řetězec je jedna z nejčastějších cest, kudy se útočníci dostanou dovnitř. Zákon to ví a vyžaduje, abyste měli přehled.

5. Implementační plán

Základ: Vyplývá z Přílohy 1 (sloupce "Termín" a "Priorita" u nezavedených opatření)

Co nesplňujete a co s tím uděláte. Pro každou oblast, kde stav není "Zavedeno":

  • Co konkrétně uděláte
  • Kdo za to zodpovídá
  • Do kdy
  • S jakou prioritou

Proč ho potřebujete: Zákon nepožaduje okamžité splnění všeho. Požaduje plán. Firma s implementačním plánem, která prokazatelně pracuje na nápravě, je v zásadně lepší pozici než firma bez jakéhokoli záměru.

Další dokumenty (vyhláška je vyžaduje implicitně)

Kromě pěti klíčových dokumentů vyhláška implicitně vyžaduje:

  • Plán školení (§5) – kdo, kdy, co. Evidence absolvovaných školení.
  • Pravidla bezpečného chování (§5, Příloha 3) – 25 témat pro zaměstnance.
  • Šablona závěrečné zprávy o incidentu (§10, §16 zákona) – pro případ, že budete hlásit NÚKIBu.
  • Záznam o pověření osoby (§4) – kdo je pověřená osoba, jaké má pravomoci.

Jak dokumenty vytvořit

Varianta A: Sami

Přečtete vyhlášku. Projdete všech 12 opatření. Ke každému napíšete jak ho plníte nebo proč ne. Vyplníte Přílohu 1. Napíšete bezpečnostní politiku.

Realistický odhad: 40–80 hodin práce pro člověka, který rozumí vyhlášce.

Varianta B: S konzultantem

Konzultant udělá analýzu, připraví dokumenty, pomůže s implementací. Typicky 80 000–200 000 Kč. Podrobnosti v srovnání nákladů.

Varianta C: S průvodcem

Odpovíte na otázky o své firmě. Průvodce vyhodnotí povinnosti a vygeneruje dokumenty na míru. 2–4 hodiny, zdarma v testovacím provozu.

Kvalita dokumentace: na co si dát pozor

Vyhláška je v tomto ohledu benevolentní. Nevyžaduje specifické formáty, názvy nástrojů ani výrobní čísla. Stačí:

  • Konkrétnost. "Zálohujeme denně na AWS S3" je lepší než "Pravidelně zálohujeme".
  • Úplnost. Pokryjte všech 12 opatření. I ty, které nesplňujete – tam napište proč a jaký máte plán.
  • Aktuálnost. Datum poslední revize. Dokumentace z roku 2024 bez aktualizace nevyhovuje.
  • Reálnost. Nepište co byste chtěli mít. Pište co máte. U toho co nemáte, pište jak to napravíte.

Jak často aktualizovat

DokumentMinimální frekvenceKdy mimo cyklus
Přehled opatření1× ročněPo významné změně
Bezpečnostní politika1× ročněPo reorganizaci, incidentu
Metodika incidentů1× ročněPo reálném incidentu
Registr dodavatelů1× ročněPři změně dodavatele
Implementační plánČtvrtletněPři změně priorit

Často kladené otázky

Musím mít všechny dokumenty v jednom formátu?

Ne. Vyhláška nestanovuje formát. Word, PDF, interní wiki – na formátu nezáleží. Záleží na obsahu a aktuálnosti.

Můžu sloučit víc dokumentů do jednoho?

Ano. Bezpečnostní politika může obsahovat i pravidla chování a plán školení. Důležité je, aby tam bylo vše co vyhláška vyžaduje.

Stačí kopírovat šablonu z internetu?

Ne. Šablona neznámá vaši firmu. Přehled opatření (Příloha 1) musí popisovat vaši situaci – vaše systémy, vaše dodavatele, vaše pravidla. Generický dokument NÚKIBu neobstojí.

Kdo má dokumenty schvalovat?

Statutární orgán (jednatel, představenstvo). Zákon v §4 vyžaduje, aby vedení firmy neslo odpovědnost za kyberbezpečnost. Podpis vedení na klíčových dokumentech je proto žádoucí.

Informace v článku vycházejí z vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026. Nenahrazují odborné poradenství.

Vyzkoušejte Compligen zdarma

Online průvodce vám vytvoří NIS2 dokumentaci na míru.

Začít vyplňovat
Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.
← Zpět na blog