Self-check · ZKB / vyhláška 410/2025

ZKB Readiness Check

Patří vaše firma mezi tisíce nových subjektů, které musí splnit povinnosti zákona o kybernetické bezpečnosti? Tento dotazník vám za pár minut řekne, kde stojíte — a co řešit jako první.

Dotazník vychází z klíčových povinností zákona č. 264/2025 Sb. (ZKB) a vyhlášky 410/2025 v rovině „nižší povinnosti". Pro každou otázku zaškrtnete Ano / Částečně / Ne, a na konci uvidíte:

Self-check není auditem — je to indikátor. Plnohodnotné posouzení dělá auditor s přístupem k vaší dokumentaci. Pokud máte zájem o profesionální assessment, ozvěte se po dokončení dotazníku.

01Governance

Máte určeného Manažera Kybernetické Bezpečnosti (MKB) nebo ekvivalentní roli s formálním pověřením od vedení?

ZKB vyžaduje jmenovaného odpovědného za kybernetickou bezpečnost na úrovni vedení.

02Řízení rizik

Vedete aktualizovaný registr kybernetických rizik s klasifikací (pravděpodobnost × dopad) a navázanými opatřeními?

Vyhláška 410/2025 § 5–6 ukládá metodiku řízení rizik podle NÚKIB.

03Aktiva

Máte evidenci aktiv (systémy, data, procesy, dodavatelé) s vlastníky a klasifikací důvěrnosti / integrity / dostupnosti?

Bez evidence aktiv nelze smysluplně řídit rizika ani odpovídat na incidenty.

04Reakce na incidenty

Máte zpracovaný a otestovaný Incident Response Plán (IRP) včetně eskalačních kontaktů a šablon hlášení pro NÚKIB?

Vyhláška 410/2025 § 17 — povinnost mít IRP s formálními postupy a kontakty.

05Reakce na incidenty

Víte přesně, jak a do kolika hodin máte hlásit kybernetický bezpečnostní incident NÚKIB (early warning 24h, finální zpráva 72h)?

Pokuty za neoznámení jdou do milionů. Procesní příprava před incidentem je klíčová.

06Provoz

Máte formální proces řízení změn (RFC, schválení, roll-back plán) pro změny v IT prostředí?

Vyhláška 410/2025 § 12 vyžaduje řízení změn s vazbou na rizika.

07Provoz

Vynucujete MFA na všech administrativních a vzdálených přístupech (VPN, RDP, cloud konzole, e-mail, admin účty)?

80 % útoků začíná kompromitací hesla. MFA je nejúčinnější jednotlivé opatření.

08Provoz

Máte definovaný proces patch managementu s lhůtami pro kritické / vysoké zranitelnosti (typicky 72h / 14 dní)?

Většina exploitovaných zranitelností má patch dostupný 6+ měsíců.

09Provoz

Máte zálohy podle pravidla 3-2-1 (3 kopie, 2 média, 1 offline / immutable) a pravidelně testujete jejich obnovu?

Online dostupné zálohy ransomware šifruje současně s produkcí. Offline / immutable je nutnost.

10Dodavatelé

Vedete registr dodavatelů třetích stran s posouzením jejich bezpečnostní úrovně (DPA, SOC 2 / ISO 27001, smluvní povinnosti)?

Vyhláška 410/2025 § 22 — řízení rizik dodavatelského řetězce.

11Lidé

Probíhají u vás pravidelná školení kybernetické bezpečnosti pro zaměstnance (víc než jednou ročně) a phishing simulace?

90 % ransomware kampaní začíná phishingem. Lidský faktor je nejslabším článkem.

12Detekce

Sbíráte centralizovaně bezpečnostní logy (AD, EDR, firewall, e-mail gateway) s minimálně 90denní retencí?

Bez logů je forenzní analýza po útoku slepá ulička.

13Governance

Máte schválené a formálně publikované bezpečnostní politiky (Information Security, Access Management, Acceptable Use, IRP) a zaměstnanci s nimi byli prokazatelně seznámeni?

Auditor se ptá: kdo schválil aktuální verzi a kteří zaměstnanci s ní byli seznámeni?

Vyhodnotit dotazník

Skóre uvidíte ihned. Pro plnou PDF zprávu s doporučeními zadejte e-mail níže.