← Zpět na blog
6. července 2026|DCcost tým|5 min čtení

NIS2 gap analýza v praxi: od 20 kontrol ke konkrétnímu číslu do rozpočtu

Registraci podle nového zákona o kybernetické bezpečnosti (zákon č. 264/2025 Sb., účinný od 1. listopadu 2025) má za sebou přes 4 800 organizací — a každé z nich běží roční lhůta na zavedení bezpečnostních opatření. Otázka pro IT manažera už tedy nezní, jestli se ho NIS2 týká, ale kolik bude dorovnání stát a kdy se dostane do rozpočtu. V tomto článku projdeme krok za krokem, jak z gap analýzy — zhruba dvaceti kontrolních otázek — dostat za deset minut skóre připravenosti a konkrétní částku, se kterou se dá jít za finančním ředitelem.

Přehled toho, koho se NIS2 a DORA týkají a které kategorie IT rozpočtu regulace zasahují, najdete v našem starším článku NIS2 a DORA: Kolik stojí compliance a jak to zakalkulovat do IT rozpočtu. Tento text jde o krok dál: je to praktický návod, jak si připravenost změřit a vyčíslit na vlastních datech.

Na co se gap analýza ptá

NIS2 gap analýza v DCcost prochází zhruba 20 kontrol odvozených z požadavků zákona a seskupených do deseti okruhů. Nejde o právní audit, ale o technicko-rozpočtovou inventuru: otázky jsou formulované tak, aby na ně dokázal odpovědět IT manažer bez právníka — máte, máte částečně, nemáte, netýká se.

  • Analýza rizik a psaná, schválená bezpečnostní politika
  • Zvládání incidentů — detekce, reakce, obnova
  • Kontinuita provozu a krizové řízení (BCP/DR)
  • Bezpečnost dodavatelského řetězce — smlouvy a hodnocení dodavatelů
  • Bezpečnost při pořizování a vývoji systémů
  • Hodnocení účinnosti zavedených opatření
  • Kybernetická hygiena a školení zaměstnanců
  • Kryptografie a šifrování
  • Personální bezpečnost, řízení přístupů a správa aktiv
  • Vícefaktorová autentizace a zabezpečená komunikace

Nejcennější odpověď je paradoxně „částečně“. Právě v ní se skrývá většina reálných nákladů: EDR nasazené jen na části endpointů, zálohy bez pravidelného testu obnovy, logy, které se sbírají, ale nikdo je centrálně nevyhodnocuje. Gap analýza tyhle polovičaté stavy zachytí a ocení — na rozdíl od checklistu typu ano/ne.

Jak číst skóre připravenosti

Prvním výstupem je skóre připravenosti: procento měřitelných kontrol, které máte pokryté. Skóre není známka ze zkoušky — je to nástroj na prioritizaci. Advisor vedle něj vrací seznam mezer seřazený podle priority a odděluje dva typy nedostatků: technické mezery, které znamenají položku v rozpočtu (nástroj, licence, implementace), a dokumentační mezery, kde chybí hlavně směrnice, politika nebo záznam — ty stojí především čas, případně konzultaci.

SkóreTypický stavCo obvykle chybíRozpočtový dopad
80–100 %Vyspělá security praxe (regulovaný sektor, ISO 27001)Dokumentace, dílčí procesyNízký — spíš čas než peníze
55–80 %Solidní základ, díry v provozní disciplíněTest obnovy záloh, centrální logování, formalizace incident procesuStřední — vyšší stovky tisíc až jednotky milionů Kč
30–55 %Základní ochrana, bez systematického řízeníEDR, SIEM/log management, MFA všude, BCP/DRVyšší — jednotky milionů Kč plus trvalý provoz
pod 30 %Security řešená ad hocVětšina technických i procesních kontrolZásadní — vícefázový plán na 2–3 roky

Pásma v tabulce jsou orientační — přesný dopad počítá advisor z vašich odpovědí a z vašeho rozpočtu, ne z tabulky průměrů.

Od skóre k penězům: jak se dopad počítá

Každé „ne“ a „částečně“ se převádí na odhad nákladů z benchmarků pro danou kontrolu — EDR, centrální logování či SIEM, MFA, test obnovy záloh, školení. Metodika je záměrně jednoduchá a auditovatelná: jednorázová investice (licence plus implementace), k tomu zhruba 30 % run-rate jako roční provoz navíc (integrace, správa, školení) a z toho pětiletá projekce po kategoriích rozpočtu. Výsledek tedy není jedno číslo, ale tři: kolik jednorázově, kolik ročně navíc a kolik za pět let celkem.

Druhá věc, která výpočet odlišuje od tabulkových průměrů: advisor umí číst váš DCcost model. Pokud máte v kalkulačce spočítaný IT rozpočet, dopad NIS2 uvidíte v kontextu celku — o kolik procentních bodů naroste security složka a co to udělá s pětiletým TCO.

Modelový příklad: výrobní firma, 500 zaměstnanců

Modelový případ postavený z benchmarků (žádný konkrétní klient): výrobní firma s asi 500 zaměstnanci a IT rozpočtem 25 milionů Kč ročně. Security složka tvoří 5 % rozpočtu, tedy 1,25 milionu Kč — pro výrobu typické, benchmark napříč obory se ale pohybuje v pásmu 6–18 % a u regulovaných subjektů spíš v horní polovině. Gap analýza najde čtyři hlavní mezery: EDR jen na části endpointů, chybějící centrální logování, netestovanou obnovu záloh a neformalizovaný proces zvládání incidentů.

  • Jednorázová investice: zhruba 2,4 milionu Kč (licence a implementace)
  • Roční provoz navíc: zhruba 0,7 milionu Kč (run-rate, integrace, školení)
  • Pětiletý dopad: přibližně 6 milionů Kč — necelých 5 % pětiletého IT TCO

Interpretace pro vedení je důležitější než čísla samotná: dorovnání zvedne security složku z 5 % na zhruba 9 % rozpočtu — tedy do benchmarkového pásma, kde měla být i bez zákona. To je jádro celé argumentace. Šedesát až sedmdesát procent opatření z gap analýzy jsou věci, které patří do každé zdravé infrastruktury: otestované zálohy, MFA, centrální logování, plán obnovy. NIS2 k nim jen dodalo termín a odpovědnost statutárního orgánu.

Sankce pro úplnost: v přísnějším režimu povinností mohou dosáhnout až 10 milionů eur nebo 2 % celosvětového obratu. Pro jednání s CFO je ale silnějším argumentem benchmark než pokuta — čísla ukazující, že jde o dorovnání na normál, ne o mimořádný výdaj.

Co s číslem udělat dál

  • Zaneste ho do rozpočtu — buď jako samostatnou compliance položku, nebo rozpuštěné do kategorií Security, Backup a Lidé
  • Připravte jednostránkový podklad pro vedení: skóre, seznam mezer, tři čísla (jednorázově / ročně / 5 let)
  • Rozfázujte podle priorit: rychlé kroky (MFA, test obnovy záloh) do tří měsíců, větší projekty (SIEM, BCP/DR) do roka
  • S výstupem jděte za dodavateli — poptávka podle konkrétních mezer je levnější než nákup katalogu služeb

Vyzkoušejte to na vlastních číslech

NIS2 gap analýza je na dccost.com/nis2 zdarma a bez registrace; compliance advisor najdete také v sekci Nástroje. Deset minut odpovídání, skóre připravenosti, prioritizovaný seznam mezer a finanční dopad na pět let — výstup, který můžete rovnou přiložit k návrhu rozpočtu.

Poznámka: DCcost počítá náklady a připravenost, nenahrazuje právní výklad zákona ani certifikovaný audit. Čísla z benchmarků slouží jako výchozí odhad — přesné ceny vždy ověřte nabídkami dodavatelů.

Vyzkoušejte DCcost kalkulačku

Zadejte IT rozpočet a za 60 sekund uvidíte kompletní rozpad nákladů

Spustit kalkulačku
Sdílet:
NIS2 kalkulačkaNIS2 gap analýzaNIS2 nákladynZKB povinnostiskóre připravenosti NIS2kolik stojí NIS2 compliance