Přeskočit na obsah

NIS2 Checklist

Deadline: 11.11.2026

Část B: NIS2 Compliance

#	Aktivita	Reference	Fáze	Popis
B1	NIS2 Scope Determination	Čl. 2, 3, Annex I/II	Příprava	Spadáme pod NIS2? Jaký režim? (Essential/Important)
B1.1	– Kategorizace služby	Čl. 3, Annex I/II	Příprava	Cloud computing, ICT service, DNS, email, nebo jiné?
B1.2	– Size threshold analýza	Čl. 2(1)	Příprava	Počet zaměstnanců, obrat (medium/large enterprise)
B1.3	– Registrace NÚKIB	Čl. 3(4)	Příprava	Zaregistrovat se u NÚKIB (pokud applicable)
B2	GAP Analýza	Čl. 21	Analýza	Posouzení současného stavu vs. NIS2 požadavky
B2.1	– Current state assessment	Čl. 21	Analýza	Audit současných bezpečnostních opatření
B2.2	– Gap identification	Čl. 21(2)	Analýza	Identifikace mezer vs. 10 základních opatření
B2.3	– Remediation roadmap	Čl. 21	Analýza	Plán nápravy s prioritami
B3	Governance & Management	Čl. 20	Governance	Odpovědnost managementu za kybernetickou bezpečnost
B3.1	– Management accountability	Čl. 20(1)	Governance	Schválení bezpečnostní politiky boardem
B3.2	– Management training	Čl. 20(2)	Governance	Školení managementu v kybernetické bezpečnosti
B3.3	– Security committee	Čl. 20	Governance	Bezpečnostní výbor s pravidelným reportingem
B4	ISMS Setup	Čl. 21	Implementace	Zavedení řízení bezpečnosti dle NIS2 + ISO 27001
B4.1	– Security policy	Čl. 21(2)(a)	Implementace	Politika bezpečnosti informací
B4.2	– Asset Inventory	Čl. 21(2)(a)	Implementace	Inventura: HW, SW, data, sítě – co je kritické?
B4.3	– Risk Assessment	Čl. 21(2)(a)	Implementace	Risk assessment dle NIS2 metodologie
B4.4	– Risk Treatment Plan	Čl. 21(2)(a)	Implementace	Mitigate/Avoid/Accept/Transfer + timeline
B5	Technical Controls (10 opatření)	Čl. 21(2)	Implementace	Implementace 10 základních bezpečnostních opatření
B5.1	– Risk management policies	Čl. 21(2)(a)	Implementace	Politiky a postupy pro řízení rizik
B5.2	– Incident handling	Čl. 21(2)(b)	Implementace	Procesy pro řešení incidentů
B5.3	– Business continuity	Čl. 21(2)(c)	Implementace	BCP, DRP, crisis management
B5.4	– Supply chain security	Čl. 21(2)(d)	Implementace	Bezpečnost dodavatelského řetězce
B5.5	– Network security	Čl. 21(2)(e)	Implementace	Zabezpečení sítí a informačních systémů
B5.6	– Vulnerability handling	Čl. 21(2)(e)	Implementace	Vulnerability management, disclosure
B5.7	– Security effectiveness	Čl. 21(2)(f)	Implementace	Měření efektivity bezpečnostních opatření
B5.8	– Cyber hygiene & training	Čl. 21(2)(g)	Implementace	Základní kybernetická hygiena, školení
B5.9	– Cryptography	Čl. 21(2)(h)	Implementace	Politiky pro kryptografii a šifrování
B5.10	– HR security	Čl. 21(2)(i)	Implementace	Bezpečnost lidských zdrojů, access control
B5.11	– MFA & secure auth	Čl. 21(2)(j)	Implementace	Vícefaktorové ověřování, secure comms
B6	Technical Controls Detail	Čl. 21(2)	Implementace	Specifické technické kontroly
B6.1	– Encryption at rest	Čl. 21(2)(h)	Implementace	AES-256 pro data at rest
B6.2	– Encryption in transit	Čl. 21(2)(h)	Implementace	TLS 1.3 pro data in transit
B6.3	– Access Control (MFA + RBAC)	Čl. 21(2)(i,j)	Implementace	MFA pro všechny admin účty, RBAC
B6.4	– Patch Management	Čl. 21(2)(e)	Implementace	Patch SLA <30 dní pro kritické
B6.5	– Monitoring & Logging (SIEM)	Čl. 21(2)(b)	Implementace	SIEM, 1 rok retention
B6.6	– Backup & Recovery	Čl. 21(2)(c)	Implementace	3-2-1 backup, testováno čtvrtletně
B6.7	– Firewall & IDS/IPS	Čl. 21(2)(e)	Implementace	Perimeter a internal firewall, IDS/IPS
B6.8	– Endpoint protection	Čl. 21(2)(e)	Implementace	EDR/XDR na všech endpoints
B6.9	– Network segmentation	Čl. 21(2)(e)	Implementace	Segmentace sítí, microsegmentation
B7	Incident Response	Čl. 21(2)(b), 23	Implementace	Incident Response Plan a procesy
B7.1	– Incident Response Plan	Čl. 21(2)(b)	Implementace	Dokumentovaný IRP
B7.2	– Incident Response Team	Čl. 21(2)(b)	Implementace	Definovaný IRT s rolemi
B7.3	– On-call rotace	Čl. 21(2)(b)	Implementace	24/7 dostupnost pro kritické incidenty
B7.4	– Incident classification	Čl. 23(3)	Implementace	Klasifikace závažnosti incidentů
B7.5	– Evidence preservation	Čl. 21(2)(b)	Implementace	Forensics, chain of custody
B8	Incident Reporting (NÚKIB)	Čl. 23	Reporting	Hlášení incidentů dle NIS2 timeline
B8.1	– Early warning (24h)	Čl. 23(4)(a)	Reporting	Předběžné hlášení do 24 hodin
B8.2	– Incident notification (72h)	Čl. 23(4)(b)	Reporting	Hlášení incidentu do 72 hodin
B8.3	– Final report (1 měsíc)	Čl. 23(4)(d)	Reporting	Závěrečná zpráva do 1 měsíce
B8.4	– NÚKIB contact established	Čl. 23	Reporting	Kontakt na NÚKIB, registrace v portálu
B9	Business Continuity	Čl. 21(2)(c)	Implementace	BCM/DRP plány
B9.1	– Business Impact Analysis	Čl. 21(2)(c)	Implementace	BIA pro kritické služby
B9.2	– Business Continuity Plan	Čl. 21(2)(c)	Implementace	BCP dokumentace
B9.3	– Disaster Recovery Plan	Čl. 21(2)(c)	Implementace	DRP s RTO/RPO
B9.4	– RTO/RPO definovány	Čl. 21(2)(c)	Implementace	RTO <4h, RPO <1h pro critical
B9.5	– DR testing (annual)	Čl. 21(2)(c)	Testování	Roční testování DR plánů
B10	Supply Chain Security	Čl. 21(2)(d)	Implementace	Bezpečnost dodavatelů a třetích stran
B10.1	– Vendor risk assessment	Čl. 21(2)(d)	Implementace	Risk assessment pro všechny kritické vendors
B10.2	– Security questionnaire	Čl. 21(2)(d)	Implementace	Standardizovaný security questionnaire
B10.3	– Vendor certifikace (ISO/SOC)	Čl. 21(2)(d)	Implementace	Požadavek na ISO 27001 / SOC 2
B10.4	– Vendor access control	Čl. 21(2)(d)	Implementace	Řízení přístupu vendorů, JIT access
B10.5	– Vendor monitoring	Čl. 21(2)(d)	Implementace	Průběžný monitoring vendorů
B11	Vulnerability Management	Čl. 21(2)(e)	Testování	Správa zranitelností
B11.1	– Vulnerability scanning	Čl. 21(2)(e)	Testování	Měsíční vulnerability scanning
B11.2	– Penetration testing	Čl. 21(2)(e)	Testování	Roční penetrační testy
B11.3	– Patch SLA defined	Čl. 21(2)(e)	Implementace	Critical <7d, High <30d, Medium <90d
B11.4	– Vulnerability disclosure	Čl. 21(2)(e)	Governance	Coordinated vulnerability disclosure policy
B12	Training & Awareness	Čl. 21(2)(g)	Training	Školení zaměstnanců v kybernetické bezpečnosti
B12.1	– Security awareness program	Čl. 21(2)(g)	Training	Pravidelné awareness školení
B12.2	– Phishing simulations	Čl. 21(2)(g)	Training	Čtvrtletní phishing testy
B12.3	– Role-specific training	Čl. 21(2)(g)	Training	Specializované školení pro IT, developers
B12.4	– Training records	Čl. 21(2)(g)	Training	Evidence absolvovaných školení
B13	Continuous Monitoring (SOC)	Čl. 21(2)(b,e)	Monitoring	24/7 monitoring bezpečnosti
B13.1	– SOC capability	Čl. 21(2)(b)	Monitoring	Interní SOC nebo managed SOC
B13.2	– Threat detection	Čl. 21(2)(b)	Monitoring	Detekce hrozeb (SIEM, EDR, NDR)
B13.3	– Security metrics	Čl. 21(2)(f)	Monitoring	KPIs pro bezpečnost
B13.4	– Threat intelligence	Čl. 21(2)(b)	Monitoring	Integrace threat intelligence feeds
B14	Security Audits	Čl. 21(2)(f)	Audit	Interní a externí audity
B14.1	– Internal audits	Čl. 21(2)(f)	Audit	Měsíční interní audity
B14.2	– External audits	Čl. 21(2)(f)	Audit	Pololetní externí audity
B14.3	– Audit findings tracking	Čl. 21(2)(f)	Audit	Sledování nálezů a nápravy
B15	ISO 27001 Certification	Doporučeno	Certifikace	Formální certifikace (silně doporučeno)
B15.1	– ISO 27001 gap analysis	ISO 27001	Certifikace	GAP analýza vs. ISO 27001
B15.2	– ISO 27001 Stage 1 audit	ISO 27001	Certifikace	Dokumentační audit
B15.3	– ISO 27001 Stage 2 audit	ISO 27001	Certifikace	Implementační audit
B15.4	– Certifikace	ISO 27001	Certifikace	Získání certifikátu

Technical Controls

Control	Requirement	Reference
Encryption at rest	AES-256	Čl. 21(2)(h)
Encryption in transit	TLS 1.3	Čl. 21(2)(h)
Access Control	MFA + RBAC	Čl. 21(2)(i,j)
Patch Management	<30 dní	Čl. 21(2)(e)
Monitoring & Logging	SIEM, 1y retention	Čl. 21(2)(b)
Incident Response	IRP written, tested	Čl. 21(2)(b)
Backup & Recovery	Weekly, tested quarterly	Čl. 21(2)(c)
Vendor Security	Due diligence	Čl. 21(2)(d)

Kritická cesta

B1 NIS2 Scope → dokončit do 31.1.2026
B2 GAP Analýza → dokončit do 28.2.2026
B7 Incident Response Plan → dokončit do 28.2.2026
B4.3-B4.4 Risk Assessment + Treatment → dokončit do 30.4.2026
B9 Business Continuity → dokončit do 30.4.2026
B15 ISO 27001 → certifikace do 30.9.2026

Implementační fáze

Zdroje