Přehled bezpečnostních opatření (Příloha 1): jak vyplnit tabulku pro NÚKIB
Přehled bezpečnostních opatření je nejdůležitější dokument, který jako firma v nižším režimu vytváříte. NÚKIB z něj na jednom místě uvidí, jak na tom s bezpečností jste.
Vyhláška 410/2025 Sb. definuje jeho strukturu v Příloze 1. Tabulka se 6 sloupci, jeden řádek pro každé opatření. Tady je jak ji vyplnit.
Struktura tabulky
| Sloupec | Co tam patří |
|---|---|
| 1. Bezpečnostní opatření | Odkaz na § vyhlášky |
| 2. Stav zavedení | Zavedeno / V procesu / Nezavedeno |
| 3. Popis implementace | Jak konkrétně opatření plníte (nebo proč ne) |
| 4. Termín zavedení | Datum – jen pro „V procesu" a „Nezavedeno" |
| 5. Priorita | Nízká (1) / Střední (2) / Vysoká (3) / Kritická (4) |
| 6. Odpovědná osoba | Kdo za opatření zodpovídá |
Sloupec po sloupci
1. Bezpečnostní opatření
Tady se odkazujete na konkrétní paragraf vyhlášky. Celkem 12 řádků (řízení rizik se na nižší režim nevztahuje):
- §3 Systém řízení bezpečnosti
- §4 Požadavky na vedení
- §5 Bezpečnost lidských zdrojů
- §6 Kontinuita činností
- §7 Řízení přístupu
- §8 Ověřování identity
- §9 Detekce a logování
- §10 Řešení incidentů
- §11 Bezpečnost sítí
- §12 Aplikační bezpečnost
- §13 Kryptografie
- §14 Stanovení významnosti dopadu
Můžete mít i podřádky – například §3 má 5 dílčích požadavků (přehled opatření, politika, aktiva, dodavatelé, změnové řízení). Záleží na vaší úrovni detailu.
2. Stav zavedení
Tři možnosti:
Zavedeno – opatření funguje, je zdokumentované, dodržujete ho.
V procesu – víte co musíte udělat, pracujete na tom, máte termín.
Nezavedeno – zatím nic. Musíte uvést důvod (proč se vás netýká nebo proč jste nezačali) a termín kdy to napravíte.
Stav „V procesu" je legitimní. Zákon počítá s postupnou implementací. Důležité je, aby termín byl realistický a odpovědná osoba skutečná.
3. Popis implementace
Nejdůležitější sloupec. Tady rozhoduje konkrétnost.
Špatně:
„Firma má zavedená bezpečnostní opatření."
Dobře:
„Přístup do serverovny řízen kartovým systémem. AD řídí přístupy k síťovým sdílením. MFA aktivní pro VPN a email. Přístupy revidovány čtvrtletně IT manažerem. Při odchodu zaměstnance blokace účtu do 24h."
Pro stav „Nezavedeno" – comply-or-explain:
„Firma neprovádí pravidelné skenování zranitelností. Důvod: IT infrastruktura provozována externím dodavatelem, který skenování zajišťuje v rámci SLA. Ověření: roční audit dodavatele. Plán: zavést vlastní skenování do Q3 2026."
Vyhláška je benevolentní – nevyžaduje názvy nástrojů, výrobní čísla ani technologie. Stačí co děláte, jak to děláte, kdo za to odpovídá.
4. Termín zavedení
Vyplňujte jen pro stav „V procesu" a „Nezavedeno". Konkrétní datum nebo alespoň kvartál:
- 30. 6. 2026
- Q3 2026
- „Co nejdříve"
- „Plánujeme"
- Prázdné pole
Termín musí být v rámci 12 měsíců od registrace. Pokud máte opatření s termínem za hranicí deadline, zdůvodněte proč.
5. Priorita
Čtyřstupňová škála:
| Stupeň | Význam | Příklad |
|---|---|---|
| 1 – Nízká | Může počkat, minimální riziko | Označování firemních zařízení štítky |
| 2 – Střední | Důležité, ale ne urgentní | Zavedení pravidelného školení |
| 3 – Vysoká | Mělo by se řešit brzy | Segmentace sítě, MFA na kritické systémy |
| 4 – Kritická | Okamžitě, zásadní bezpečnostní riziko | Chybějící zálohy, nezabezpečený vzdálený přístup |
Priorita pomáhá vám i NÚKIBu pochopit, jak řešíte pořadí implementace. Kritická opatření by měla mít nejbližší termíny.
6. Odpovědná osoba
Jméno a role. Konkrétní člověk, ne oddělení.
- Ing. Martin Dvořák, IT manažer
- Jana Nováková, jednatelka
- „IT oddělení"
- „Vedení"
- Prázdné
Příklad vyplněného řádku
| Opatření | Stav | Popis | Termín | Priorita | Odpovědná osoba |
|---|---|---|---|---|---|
| §7 Řízení přístupu | V procesu | Přístupy řízeny přes AD. Administrátorské účty odděleny od běžných. MFA na VPN. Chybí: pravidelná revize přístupů, formální proces pro odchod zaměstnance. | 30.6.2026 | 3 (vysoká) | Ing. M. Dvořák, IT |
Pravidla pro dokument
- Aktualizace: Minimálně jednou ročně (§3 odst. 2 vyhlášky)
- Archivace: 4 roky – uchovávejte i starší verze
- Pokrytí: Všech 12 opatření – i ta, která nesplňujete
- Formát: Vyhláška nespecifikuje. Tabulka v Wordu, Excelu, PDF – záleží na obsahu, ne na formátu
Nejčastější chyby
- Vágní popisy. „Máme zavedeno" nic neříká. Popište CO máte zavedeno.
- Chybějící termíny. U stavu „V procesu" MUSÍ být termín. Jinak je to fakticky „Nezavedeno".
- Neúplné pokrytí. Přeskočit opatření, které nesplňujete, je horší než ho uvést s poctivým „Nezavedeno" a plánem nápravy.
- Nerealistické termíny. Všechno do příštího měsíce? NÚKIB pozná, že to je nesplnitelné.
- Generické odpovědnosti. „IT oddělení" není osoba. Uveďte konkrétní jméno.
Comply-or-explain v praxi
Opatření §7–§9 a §11–§13 fungují na principu comply-or-explain. V Příloze 1 to vypadá takto:
Splňujete (comply): Stav „Zavedeno". V popisu konkrétně jak.
Nesplňujete, ale máte důvod (explain): Stav „Nezavedeno" nebo „V procesu". V popisu:
- Proč nesplňujete (důvod)
- Jaká alternativní opatření máte
- Kdy to napravíte (termín)
NÚKIB posoudí, jestli je vaše zdůvodnění přiměřené. „Nemáme čas" není zdůvodnění. „Infrastrukturu provozuje dodavatel, který opatření zajišťuje v rámci SLA – doloženo smlouvou" je.
Jak na to nejefektivněji
Vyplnit Přílohu 1 od nuly zabere zkušenému člověku 8–16 hodin. Musíte projít 12 opatření, ke každému popsat stav, doplnit termíny a odpovědnosti.
Nebo můžete odpovědět na otázky v průvodci Compligen. Ten se zeptá na vaši firmu, systémy, dodavatele a bezpečnostní opatření – a Přílohu 1 vygeneruje automaticky, včetně stavů, popisů a priorit.
Informace v článku vycházejí z vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026.