Compliance & Audit

Regulatorní krajina 2025¶

Regulace se zpřísňuje. Organizace, které to ignorují, riskují pokuty a ztrátu zákazníků:

• GDPR — Osobní data, práva subjektů, breach notification. Pokuty do 4% obratu.
• NIS2 — Kybernetická bezpečnost pro essential a important entity. Platí od října 2024.
• DORA — Digitální operační odolnost pro finanční sektor. Platí od ledna 2025.
• ISO 27001 — Mezinárodní standard pro ISMS. De facto požadavek pro B2B.
• EU AI Act — Regulace AI systémů. Graduated rollout 2024-2027.

NIS2 — Network and Information Security Directive¶

Koho se týká¶

NIS2 výrazně rozšířuje scope oproti NIS1:

Essential entities: Energie, doprava, bankovnictví, zdravotnictví, digitální infrastruktura, ICT service management, veřejná správa, vesmír.

Important entities: Poštovní služby, waste management, chemie, potraviny, výroba, digitální služby, research.

Threshold: Středně velké a velké podniky (50+ zaměstnanců nebo 10M+ EUR obrat).

Klíčové požadavky¶

1. Risk management — Identifikace, analýza a mitigace kybernetických rizik
2. Incident handling — Detekce, response, reporting (24h early warning, 72h full notification)
3. Business continuity — Backup management, disaster recovery, crisis management
4. Supply chain security — Hodnocení rizik dodavatelů, smluvní požadavky
5. Vulnerability management — Patch management, responsible disclosure
6. Cryptography — Šifrování dat in transit a at rest
7. Human resources — Security awareness, training, background checks
8. Access control — Autentizace, autorizace, MFA

Naše NIS2 služby¶

• Gap analýza — Kde jste dnes vs. kde musíte být. Prioritizovaná roadmapa.
• Implementace — Politiky, procedury, technická opatření. Hands-on.
• Supply chain assessment — Hodnocení dodavatelů, smluvní rámec.
• Incident reporting — Procesy pro 24/72h reporting povinnosti.
• Board training — Vedení odpovídá za compliance. Musí rozumět základům.

ISO 27001¶

Co je ISMS¶

Information Security Management System — systematický přístup k řízení informační bezpečnosti. Ne jednorázový projekt, ale živý systém s continuous improvement (PDCA cyklus).

Implementační roadmapa¶

Fáze 1: Scoping & Gap Analysis (Měsíc 1-2) - Definice scope ISMS - Gap analýza proti ISO 27001:2022 - Risk assessment metodologie - Management buy-in a resource allocation

Fáze 2: Risk Assessment & Treatment (Měsíc 2-4) - Asset inventory - Threat & vulnerability assessment - Risk evaluation a treatment plan - Statement of Applicability (SoA)

Fáze 3: Politiky & Procedury (Měsíc 3-6) - Information Security Policy - Access Control Policy - Incident Management Procedure - Business Continuity Plan - + 15-20 dalších dokumentů (přizpůsobené organizaci)

Fáze 4: Implementace & Awareness (Měsíc 4-8) - Technické kontroly (šifrování, logging, access management) - Security awareness training pro všechny zaměstnance - Supplier security assessment

Fáze 5: Interní Audit & Certifikace (Měsíc 8-12) - Interní audit ISMS - Management review - Nápravná opatření - Stage 1 audit (dokumentace) - Stage 2 audit (implementace) - Certifikace

Pragmatický přístup¶

Nepíšeme dokumenty proto, aby existovaly. Každá politika musí být: - Srozumitelná — čte ji člověk, ne auditor - Praktická — popisuje co lidé reálně dělají - Udržitelná — aktualizace není projekt na měsíc - Měřitelná — KPI pro každou politiku

DORA — Digital Operational Resilience Act¶

Pro koho¶

Finanční instituce: banky, pojišťovny, investiční firmy, platební instituce, crypto-asset service providers. A jejich kritičtí ICT poskytovatelé.

Klíčové pilíře¶

1. ICT Risk Management — Framework pro identifikaci, ochranu, detekci, response a recovery
2. ICT Incident Reporting — Klasifikace a reporting incidentů regulátorům
3. Digital Operational Resilience Testing — TLPT (Threat-Led Penetration Testing) pro systémově důležité entity
4. ICT Third-Party Risk — Management rizik ICT dodavatelů, exit strategie
5. Information Sharing — Sdílení threat intelligence mezi finančními institucemi

Naše DORA služby¶

• Gap analýza proti DORA požadavkům
• ICT Risk Management framework implementace
• TLPT (Threat-Led Penetration Testing) — red team exercises
• Third-party risk assessment a vendor management
• Incident classification a reporting procesy

GDPR — Operativní implementace¶

Data Mapping¶

Kde osobní data vznikají, kudy tečou, kde se ukládají, kdo k nim má přístup, jak dlouho se uchovávají, jak se mažou. Automatizovaný data discovery pro velké organizace.

DPIA (Data Protection Impact Assessment)¶

Povinné pro high-risk processing (profiling, large-scale monitoring, sensitive data). Identifikace rizik, necessity & proportionality assessment, mitigační opatření.

Technická opatření¶

• Pseudonymizace — Oddělení identifikátorů od dat
• Šifrování — At rest (AES-256) a in transit (TLS 1.3)
• Access control — RBAC, audit logging, need-to-know principle
• Data retention — Automatická expiration policies
• Right to erasure — Technická schopnost smazat všechna data subjektu across systémy

Breach Notification¶

Proces pro GDPR Article 33/34: - Detekce breache → assessment (72h limit pro notifikaci ÚOOÚ) - Severity assessment — je breach riziko pro subjekty? - Notifikace regulátora (ÚOOÚ) — co se stalo, rozsah, opatření - Notifikace subjektů — pokud high risk

Technologie a nástroje¶

OneTrust, Vanta, Drata (compliance automation), Jira/Confluence (policy management), Azure Compliance Manager, AWS Audit Manager, custom GRC dashboards, training platforms (KnowBe4).