Stránky o kybernetické bezpečnosti

Akt pro digitály - Checklist

pro MSP a MSSP

Přehled povinností poskytovatelů řízených služeb (MSP) a řízených bezpečnostních služeb (MSSP) vyplývající z přímo účinného Nařízení Komise (EU) 2024/2690.

1. Legislativní kontext a rozdíly oproti vyhlášce 409/2025 Sb.

Zatímco Vyhláška č. 409/2025 Sb. je obecný český předpis pro povinné osoby, Nařízení (EU) 2024/2690 je lex specialis pro digitální poskytovatele. V případě rozporu má u MSP/MSSP v technických otázkách přednost evropské Nařízení.

Srovnání legislativních požadavků pro MSP/MSSP

Oblast Vyhláška č. 409/2025 Sb. (Česká obecná) Nařízení (EU) 2024/2690 (Specifické pro MSP) Praktický dopad na MSP/MSSP
Právní síla Národní prováděcí předpis k zákonu o KB. Přímo účinné nařízení EU (Lex Specialis). Nařízení má aplikační přednost před obecnou vyhláškou v technických detailech.
Působnost Subjekty v režimu vyšších povinností v ČR. Poskytovatelé digitálních služeb v celé EU. Jednotná pravidla usnadňují poskytování služeb přeshraničně.
Řízení rizik Metodika založená na analýze rizik a přiměřenosti. Preskriptivní technické požadavky. Nařízení striktně nařizuje konkrétní opatření (např. izolaci zákaznických dat a sítí).
Hlášení incidentů Limity stanovené vyhláškou o regulovaných službách. Specifické limity v příloze Nařízení. Přísnější a detailnější metriky pro hlášení (např. finanční ztráta vs. doba výpadku).
Autentizace (MFA) Vyžadováno tam, kde to určí analýza rizik. Striktně vyžadováno (Explicitně). Povinné MFA pro všechny privilegované přístupy i vzdálenou správu bez výjimek.
Dodavatelský řetězec Odpovědnost za výběr a kontrolu dodavatele. Odpovědnost za bezpečnost celého řetězce. MSP ručí za bezpečnost všech nástrojů (RMM, Cloud, SW), které k službě používá.

2. Technický a procesní Checklist (GAP Analýza)

Následující seznam slouží k ověření souladu s technickými požadavky Nařízení (čl. 2–14).

1. Řízení identit a přístupů (IAM)

  • [ ] Vynucené vícefaktorové ověřování (MFA)
    • [ ] Implementováno pro všechny vzdálené přístupy.
    • [ ] Implementováno pro všechny privilegované (administrátorské) účty.
    • [ ] Nepoužívání SMS jako druhého faktoru u kritické infrastruktury.
  • [ ] Správa hesel
    • [ ] Zákaz výchozích (default) hesel u veškerého HW a SW.
    • [ ] Systém pro bezpečné ukládání a sdílení hesel v týmu (Password Manager).
  • [ ] Řízení privilegií
    • [ ] Uplatnění principu "Least Privilege" (přístup jen k tomu, co je nutné).
    • [ ] Implementace Just-in-Time (JIT) přístupů pro klientské systémy.
  • [ ] Revize přístupů
    • [ ] Proces pro okamžitou deaktivaci účtů při ukončení spolupráce se zaměstnancem.
    • [ ] Pravidelná (min. kvartální) revize přidělených oprávnění.

2. Bezpečnost sítí a infrastruktury

  • [ ] Segregace a izolace
    • [ ] Striktní oddělení interní sítě MSP od sítí jednotlivých zákazníků.
    • [ ] Logická nebo fyzická izolace dat a systémů mezi různými zákazníky (anti-spillover).
  • [ ] Zabezpečení nástrojů správy (RMM/PSA)
    • [ ] RMM nástroje jsou přístupné pouze přes zabezpečené kanály (VPN/IP Whitelisting).
    • [ ] Pravidelný audit a hardening serverů zajišťujících správu klientů.
  • [ ] Inventarizace aktiv
    • [ ] Kompletní přehled o hardwaru a softwaru používaném k poskytování služeb.
    • [ ] Přesná evidence geolokačního umístění dat zákazníků.

3. Monitoring a incident reporting

  • [ ] Logování a audit
    • [ ] Centralizovaný sběr logů z firewalů, serverů a RMM nástrojů.
    • [ ] Ochrana logů proti neoprávněné manipulaci (neměnné úložiště).
  • [ ] Detekce a reakce
    • [ ] Nasazení nástrojů pro detekci průniků (IDS/IPS, EDR nebo XDR).
    • [ ] Definované metriky pro hlášení incidentů dle přílohy Nařízení 2024/2690.
  • [ ] Časová synchronizace
    • [ ] Všechny systémy využívají jednotný a důvěryhodný zdroj času (NTP).

4. Ochrana dat a kryptografie

  • [ ] Šifrování
    • [ ] Šifrování všech disků na přenosných zařízeních (notebooky, mobily).
    • [ ] Šifrování citlivých dat v klidu (at rest) i při přenosu (in transit) pomocí TLS 1.2+.
  • [ ] Správa klíčů
    • [ ] Bezpečné uložení šifrovacích klíčů odděleně od šifrovaných dat.

5. Odolnost a kontinuita (BCM)

  • [ ] Zálohování
    • [ ] Implementace pravidla 3-2-1.
    • [ ] Zajištění offline nebo neměnných (immutable) záloh proti ransomware.
  • [ ] Plány obnovy
    • [ ] Existence Disaster Recovery plánů pro kritické služby MSP.
    • [ ] Pravidelné testování obnovy dat (min. 1x ročně) s dokumentovaným výsledkem.

6. Bezpečnost dodavatelského řetězce

  • [ ] Prověřování dodavatelů
    • [ ] Identifikace klíčových subdodavatelů (cloud, licence, HW).
    • [ ] Smluvní doložky o bezpečnosti informací odpovídající požadavkům NIS2.
  • [ ] Vulnerability Management
    • [ ] Proces pro pravidelné skenování zranitelností vlastních i klientských systémů.
    • [ ] Stanovené lhůty pro instalaci kritických bezpečnostních záplat.

3. Další kroky pro implementaci

  • [ ] Audit dle výše uvedeného checklistu.

  • [ ] Identifikace položek označené jako "Nesplněno".

  • [ ] Akční plán s termíny pro odstranění nedostatků (priorita: Identita a Segregace sítí).

  • [ ] Aktualizace interní směrnice (Politika ISMS) tak, aby odkazovaly přímo na Nařízení (EU) 2024/2690.

Back to Top