NIS2 gap analýza v praxi: od 20 kontrol ke konkrétnímu číslu do rozpočtu
Registraci podle nového zákona o kybernetické bezpečnosti (zákon č. 264/2025 Sb., účinný od 1. listopadu 2025) má za sebou přes 4 800 organizací — a každé z nich běží roční lhůta na zavedení bezpečnostních opatření. Otázka pro IT manažera už tedy nezní, jestli se ho NIS2 týká, ale kolik bude dorovnání stát a kdy se dostane do rozpočtu. V tomto článku projdeme krok za krokem, jak z gap analýzy — zhruba dvaceti kontrolních otázek — dostat za deset minut skóre připravenosti a konkrétní částku, se kterou se dá jít za finančním ředitelem.
Přehled toho, koho se NIS2 a DORA týkají a které kategorie IT rozpočtu regulace zasahují, najdete v našem starším článku NIS2 a DORA: Kolik stojí compliance a jak to zakalkulovat do IT rozpočtu. Tento text jde o krok dál: je to praktický návod, jak si připravenost změřit a vyčíslit na vlastních datech.
Na co se gap analýza ptá
NIS2 gap analýza v DCcost prochází zhruba 20 kontrol odvozených z požadavků zákona a seskupených do deseti okruhů. Nejde o právní audit, ale o technicko-rozpočtovou inventuru: otázky jsou formulované tak, aby na ně dokázal odpovědět IT manažer bez právníka — máte, máte částečně, nemáte, netýká se.
- Analýza rizik a psaná, schválená bezpečnostní politika
- Zvládání incidentů — detekce, reakce, obnova
- Kontinuita provozu a krizové řízení (BCP/DR)
- Bezpečnost dodavatelského řetězce — smlouvy a hodnocení dodavatelů
- Bezpečnost při pořizování a vývoji systémů
- Hodnocení účinnosti zavedených opatření
- Kybernetická hygiena a školení zaměstnanců
- Kryptografie a šifrování
- Personální bezpečnost, řízení přístupů a správa aktiv
- Vícefaktorová autentizace a zabezpečená komunikace
Nejcennější odpověď je paradoxně „částečně“. Právě v ní se skrývá většina reálných nákladů: EDR nasazené jen na části endpointů, zálohy bez pravidelného testu obnovy, logy, které se sbírají, ale nikdo je centrálně nevyhodnocuje. Gap analýza tyhle polovičaté stavy zachytí a ocení — na rozdíl od checklistu typu ano/ne.
Jak číst skóre připravenosti
Prvním výstupem je skóre připravenosti: procento měřitelných kontrol, které máte pokryté. Skóre není známka ze zkoušky — je to nástroj na prioritizaci. Advisor vedle něj vrací seznam mezer seřazený podle priority a odděluje dva typy nedostatků: technické mezery, které znamenají položku v rozpočtu (nástroj, licence, implementace), a dokumentační mezery, kde chybí hlavně směrnice, politika nebo záznam — ty stojí především čas, případně konzultaci.
| Skóre | Typický stav | Co obvykle chybí | Rozpočtový dopad |
|---|---|---|---|
| 80–100 % | Vyspělá security praxe (regulovaný sektor, ISO 27001) | Dokumentace, dílčí procesy | Nízký — spíš čas než peníze |
| 55–80 % | Solidní základ, díry v provozní disciplíně | Test obnovy záloh, centrální logování, formalizace incident procesu | Střední — vyšší stovky tisíc až jednotky milionů Kč |
| 30–55 % | Základní ochrana, bez systematického řízení | EDR, SIEM/log management, MFA všude, BCP/DR | Vyšší — jednotky milionů Kč plus trvalý provoz |
| pod 30 % | Security řešená ad hoc | Většina technických i procesních kontrol | Zásadní — vícefázový plán na 2–3 roky |
Pásma v tabulce jsou orientační — přesný dopad počítá advisor z vašich odpovědí a z vašeho rozpočtu, ne z tabulky průměrů.
Od skóre k penězům: jak se dopad počítá
Každé „ne“ a „částečně“ se převádí na odhad nákladů z benchmarků pro danou kontrolu — EDR, centrální logování či SIEM, MFA, test obnovy záloh, školení. Metodika je záměrně jednoduchá a auditovatelná: jednorázová investice (licence plus implementace), k tomu zhruba 30 % run-rate jako roční provoz navíc (integrace, správa, školení) a z toho pětiletá projekce po kategoriích rozpočtu. Výsledek tedy není jedno číslo, ale tři: kolik jednorázově, kolik ročně navíc a kolik za pět let celkem.
Druhá věc, která výpočet odlišuje od tabulkových průměrů: advisor umí číst váš DCcost model. Pokud máte v kalkulačce spočítaný IT rozpočet, dopad NIS2 uvidíte v kontextu celku — o kolik procentních bodů naroste security složka a co to udělá s pětiletým TCO.
Modelový příklad: výrobní firma, 500 zaměstnanců
Modelový případ postavený z benchmarků (žádný konkrétní klient): výrobní firma s asi 500 zaměstnanci a IT rozpočtem 25 milionů Kč ročně. Security složka tvoří 5 % rozpočtu, tedy 1,25 milionu Kč — pro výrobu typické, benchmark napříč obory se ale pohybuje v pásmu 6–18 % a u regulovaných subjektů spíš v horní polovině. Gap analýza najde čtyři hlavní mezery: EDR jen na části endpointů, chybějící centrální logování, netestovanou obnovu záloh a neformalizovaný proces zvládání incidentů.
- Jednorázová investice: zhruba 2,4 milionu Kč (licence a implementace)
- Roční provoz navíc: zhruba 0,7 milionu Kč (run-rate, integrace, školení)
- Pětiletý dopad: přibližně 6 milionů Kč — necelých 5 % pětiletého IT TCO
Interpretace pro vedení je důležitější než čísla samotná: dorovnání zvedne security složku z 5 % na zhruba 9 % rozpočtu — tedy do benchmarkového pásma, kde měla být i bez zákona. To je jádro celé argumentace. Šedesát až sedmdesát procent opatření z gap analýzy jsou věci, které patří do každé zdravé infrastruktury: otestované zálohy, MFA, centrální logování, plán obnovy. NIS2 k nim jen dodalo termín a odpovědnost statutárního orgánu.
Sankce pro úplnost: v přísnějším režimu povinností mohou dosáhnout až 10 milionů eur nebo 2 % celosvětového obratu. Pro jednání s CFO je ale silnějším argumentem benchmark než pokuta — čísla ukazující, že jde o dorovnání na normál, ne o mimořádný výdaj.
Co s číslem udělat dál
- Zaneste ho do rozpočtu — buď jako samostatnou compliance položku, nebo rozpuštěné do kategorií Security, Backup a Lidé
- Připravte jednostránkový podklad pro vedení: skóre, seznam mezer, tři čísla (jednorázově / ročně / 5 let)
- Rozfázujte podle priorit: rychlé kroky (MFA, test obnovy záloh) do tří měsíců, větší projekty (SIEM, BCP/DR) do roka
- S výstupem jděte za dodavateli — poptávka podle konkrétních mezer je levnější než nákup katalogu služeb
Vyzkoušejte to na vlastních číslech
NIS2 gap analýza je na dccost.com/nis2 zdarma a bez registrace; compliance advisor najdete také v sekci Nástroje. Deset minut odpovídání, skóre připravenosti, prioritizovaný seznam mezer a finanční dopad na pět let — výstup, který můžete rovnou přiložit k návrhu rozpočtu.
Poznámka: DCcost počítá náklady a připravenost, nenahrazuje právní výklad zákona ani certifikovaný audit. Čísla z benchmarků slouží jako výchozí odhad — přesné ceny vždy ověřte nabídkami dodavatelů.
Vyzkoušejte DCcost kalkulačku
Zadejte IT rozpočet a za 60 sekund uvidíte kompletní rozpad nákladů
Spustit kalkulačku