Každá implementace NIS2 začíná stejně: nevíte, co vám chybí. GAP analýza to změní za 2–4 týdny. Bez ní nakupujete technologie naslepo a utrácíte tam, kde nepotřebujete.

Co je GAP analýza NIS2

GAP analýza (analýza mezer) je systematické porovnání aktuálního stavu bezpečnosti ve vaší organizaci s požadavky, které ukládá zákon č. 264/2025 Sb. o kybernetické bezpečnosti a prováděcí vyhláška 409/2025 Sb.

Výsledkem je konkrétní seznam toho, co chybí nebo nesplňuje požadavky — seřazený podle priority a rizika. Ne obecná doporučení, ale váš specifický akční plán.

Proč začít GAP analýzou a ne rovnou implementací

Tři nejčastější chyby firem bez GAP analýzy:

  1. Koupí firewall, který už mají — nebo verzi, která nepřináší žádné bezpečnostní zlepšení oproti stávající.
  2. Vytvoří dokumenty, které zákon nevyžaduje — a přitom chybí ty, co vyžaduje.
  3. Přehlédnou kritickou mezeru — typicky v přístupových právech, zálohách nebo hlášení incidentů — která způsobí problémy při kontrole NÚKIB.

GAP analýza stojí 40 000–120 000 Kč. Implementace bez ní vás může stát dvojnásobek zbytečných nákladů.

Co GAP analýza zkoumá

Dle požadavků zákona 264/2025 Sb. a vyhlášky 409/2025 Sb. se GAP analýza zaměřuje na těchto 10 oblastí:

1. Řízení rizik

Máte formalizovaný proces identifikace a hodnocení rizik?

2. Bezpečnostní politiky

Existují písemné bezpečnostní politiky schválené vedením?

3. Řízení přístupu

Uplatňujete princip nejmenších oprávnění a MFA?

4. Zálohování a BCM

Fungují zálohy? Máte testovaný plán obnovy?

5. Řízení incidentů

Máte definovaný postup detekce, eskalace a hlášení?

6. Technická opatření

Firewall, EDR, patch management, šifrování — stav a pokrytí.

7. Supply chain

Máte bezpečnostní požadavky na klíčové dodavatele?

8. Vzdělávání zaměstnanců

Probíhají pravidelná bezpečnostní školení a phishing testy?

9. Kryptografie

Šifrujete data v přenosu i v klidu? Jaké algoritmy?

10. Audit a monitoring

Sbíráte logy? Máte SIEM nebo alerting na anomálie?

Jak GAP analýza probíhá v praxi

Celý proces trvá zpravidla 2–4 týdny a skládá se ze čtyř kroků:

  1. Vstupní dotazník a inventura — sbíráme informace o vašem IT prostředí, systémech, zaměstnancích, dodavatelích a aktuálně zavedenýchbezpečnostních opatřeních. Probíhá distančně nebo formou workshopu.
  2. Technické prověření — review existující dokumentace, konfigurace klíčových systémů, nastavení přístupů, stav záloh. Provedeme i orientační vulnerability scan.
  3. Hodnocení shody — každou oblast porovnáme s požadavky zákona a vyhlášky. Výsledkem je hodnocení: splněno / částečně splněno / nesplněno.
  4. Závěrečná zpráva a akční plán — dostanete písemnou zprávu s prioritizovaným seznamem opatření, odhadem nákladů a časovým harmonogramem. Zpráva je použitelná pro prezentaci vedení i jako základ pro plán implementace.

Co v závěrečné zprávě najdete

Výstup GAP analýzy není jen seznam problémů. Obsahuje:

Mohu GAP analýzu udělat sám?

Částečně ano — online audit na NIS2OK.cz vám za 10 minut dá orientační přehled. Je to výborný první krok a zjistíte, v jakém stavu přibližně jste.

Plnohodnotná GAP analýza pro zákonné účely a pro prezentaci vedení ale vyžaduje hloubkové technické prověření a znalost aktuální výkladové praxe NÚKIB. To bez zkušeností z jiných implementací nedokážete správně kalibrovat.

Pozor na „NIS2 GAP šablony" z internetu

Zákon 264/2025 Sb. je platný od října 2025 a prováděcí vyhláška 409/2025 Sb. přinesla specifické požadavky pro ČR. Zahraniční šablony vycházejí ze samotné směrnice EU 2022/2555 a nemusí pokrývat české specifika — zejména notifikační povinnosti vůči NÚKIB.

Kdy začít s GAP analýzou

Implementační lhůta pro technická opatření je 17. října 2026. Realistická GAP analýza + implementace trvá 4–6 měsíců. Pokud začnete po červenci 2026, termín stihnete jen s obtížemi. Přehled všech termínů NIS2 pro rok 2026.

Začněte bezplatnou konzultací

Projdeme váš aktuální stav a řekneme vám, co a v jakém rozsahu GAP analýza pro vaši firmu obnáší.

Nezávazná konzultace →

Související články