NIS2 GAP Analysis Template

Verze: 1.0 Licence: CC BY-SA 4.0 Doba trvání: 60-90 minut Reference: Směrnice (EU) 2022/2555, Článek 21

Účel

Tento worksheet vám pomůže:

Systematicky posoudit současný stav kybernetické bezpečnosti
Identifikovat mezery vůči požadavkům NIS2
Prioritizovat oblasti pro nápravu
Vytvořit akční plán pro dosažení compliance do 11.11.2026

Informace o organizaci

Položka	Hodnota
Název organizace	[NÁZEV FIRMY]
IČ
Sektor (Annex I/II)
Kategorie	☐ Essential / ☐ Important
Počet zaměstnanců
Roční obrat	€
Datum analýzy
Provedl
Schválil

Metodika hodnocení

Škála hodnocení současného stavu

Hodnota	Stav	Popis
0	Neexistuje	Žádná implementace, dokumentace ani proces
1	Základní	Neformální, ad-hoc přístup, není dokumentováno
2	Částečné	Částečně implementováno, dokumentace neúplná
3	Plné	Plně implementováno, dokumentováno, testováno

Výpočet Gap Score

Gap = Cílový stav - Současný stav
Priorita = Gap × Kritičnost (1-3)

OBLAST A: Governance & Management (Článek 20)

Odpovědnost managementu za kybernetickou bezpečnost

#	Požadavek	Reference	Cíl	Kritičnost
A1	Security policy schválena boardem/vedením	Čl. 20(1)	3	🔴 High
A2	CISO/Security owner formálně určen	Čl. 20(1)	3	🔴 High
A3	Management prošel školením v kyberbezpečnosti	Čl. 20(2)	3	🔴 High
A4	Bezpečnostní výbor s pravidelným reportingem	Čl. 20	2	🟡 Med
A5	Odpovědnost managementu za incidenty dokumentována	Čl. 20(1)	3	🔴 High
A6	Security budget alokován a schválen	Čl. 20	2	🟡 Med

Oblast A - Průměrný Gap: ____ Oblast A - Nejvyšší priorita: ____

OBLAST B: Risk Management (Článek 21(2)(a))

Politiky pro analýzu rizik a bezpečnost informačních systémů

#	Požadavek	Reference	Cíl	Kritičnost
B1	Asset inventory (HW, SW, data, sítě)	Čl. 21(2)(a)	3	🔴 High
B2	Asset klasifikace dle kritičnosti	Čl. 21(2)(a)	3	🔴 High
B3	Threat assessment provedena	Čl. 21(2)(a)	3	🔴 High
B4	Vulnerability assessment provedena	Čl. 21(2)(a)	3	🔴 High
B5	Risk assessment dokumentován	Čl. 21(2)(a)	3	🔴 High
B6	Risk treatment plan existuje	Čl. 21(2)(a)	3	🔴 High
B7	Risk register udržován	Čl. 21(2)(a)	3	🟡 Med
B8	Pravidelná revize rizik (min. ročně)	Čl. 21(2)(a)	2	🟡 Med

Oblast B - Průměrný Gap: ____ Oblast B - Nejvyšší priorita: ____

OBLAST C: Incident Handling (Článek 21(2)(b), 23)

Prevence, detekce a reakce na incidenty

#	Požadavek	Reference	Cíl	Kritičnost
C1	Incident Response Plan dokumentován	Čl. 21(2)(b)	3	🔴 High
C2	Incident Response Team definován	Čl. 21(2)(b)	3	🔴 High
C3	Incident klasifikace (severity levels)	Čl. 23(3)	3	🔴 High
C4	Detekční schopnosti (SIEM, alerts)	Čl. 21(2)(b)	3	🔴 High
C5	Eskalační procedury	Čl. 21(2)(b)	3	🔴 High
C6	Forensic preservation capability	Čl. 21(2)(b)	2	🟡 Med
C7	Post-incident review proces	Čl. 21(2)(b)	2	🟡 Med
C8	IRP testován (min. ročně)	Čl. 21(2)(b)	2	🟡 Med

Oblast C - Průměrný Gap: ____ Oblast C - Nejvyšší priorita: ____

OBLAST D: NÚKIB Reporting (Článek 23)

Hlášení incidentů regulátorovi

#	Požadavek	Reference	Cíl	Kritičnost
D1	Registrace na portálu NÚKIB	Čl. 3(4)	3	🔴 High
D2	Kontakt na NÚKIB znám a dokumentován	Čl. 23	3	🔴 High
D3	Early warning proces (24h)	Čl. 23(4)(a)	3	🔴 High
D4	Incident notification proces (72h)	Čl. 23(4)(b)	3	🔴 High
D5	Final report proces (1 měsíc)	Čl. 23(4)(d)	3	🔴 High
D6	Šablony pro hlášení připraveny	Čl. 23	2	🟡 Med

Oblast D - Průměrný Gap: ____ Oblast D - Nejvyšší priorita: ____

OBLAST E: Business Continuity (Článek 21(2)(c))

BCM, backup, disaster recovery, crisis management

#	Požadavek	Reference	Cíl	Kritičnost
E1	Business Impact Analysis (BIA) provedena	Čl. 21(2)(c)	3	🔴 High
E2	Kritické procesy identifikovány	Čl. 21(2)(c)	3	🔴 High
E3	RTO definováno pro kritické systémy	Čl. 21(2)(c)	3	🔴 High
E4	RPO definováno pro kritické systémy	Čl. 21(2)(c)	3	🔴 High
E5	Business Continuity Plan (BCP) existuje	Čl. 21(2)(c)	3	🔴 High
E6	Disaster Recovery Plan (DRP) existuje	Čl. 21(2)(c)	3	🔴 High
E7	Crisis Management Plan existuje	Čl. 21(2)(c)	2	🟡 Med
E8	Backup strategie (3-2-1 rule)	Čl. 21(2)(c)	3	🔴 High
E9	Backup testován čtvrtletně	Čl. 21(2)(c)	3	🔴 High
E10	DR testován ročně	Čl. 21(2)(c)	2	🟡 Med

Oblast E - Průměrný Gap: ____ Oblast E - Nejvyšší priorita: ____

OBLAST F: Supply Chain Security (Článek 21(2)(d))

Bezpečnost dodavatelského řetězce

#	Požadavek	Reference	Cíl	Kritičnost
F1	Kritičtí dodavatelé identifikováni	Čl. 21(2)(d)	3	🔴 High
F2	Vendor risk assessment prováděn	Čl. 21(2)(d)	3	🔴 High
F3	Security questionnaire pro vendory	Čl. 21(2)(d)	2	🟡 Med
F4	Požadavek na certifikace (ISO/SOC)	Čl. 21(2)(d)	2	🟡 Med
F5	Security klauzule ve smlouvách	Čl. 21(2)(d)	3	🔴 High
F6	Vendor access control (JIT, least privilege)	Čl. 21(2)(d)	2	🟡 Med
F7	Vendor monitoring průběžný	Čl. 21(2)(d)	2	🟡 Med
F8	Sub-processor oversight	Čl. 21(2)(d)	2	🟡 Med

Oblast F - Průměrný Gap: ____ Oblast F - Nejvyšší priorita: ____

OBLAST G: Network & System Security (Článek 21(2)(e))

Bezpečnost sítí a informačních systémů

#	Požadavek	Reference	Cíl	Kritičnost
G1	Network segmentace implementována	Čl. 21(2)(e)	3	🔴 High
G2	Firewall (perimeter + internal)	Čl. 21(2)(e)	3	🔴 High
G3	IDS/IPS implementován	Čl. 21(2)(e)	2	🟡 Med
G4	Endpoint protection (EDR/XDR)	Čl. 21(2)(e)	3	🔴 High
G5	Patch management proces	Čl. 21(2)(e)	3	🔴 High
G6	Patch SLA: Critical <7d, High <30d	Čl. 21(2)(e)	3	🔴 High
G7	Vulnerability scanning (měsíčně)	Čl. 21(2)(e)	3	🔴 High
G8	Penetration testing (ročně)	Čl. 21(2)(e)	2	🟡 Med
G9	Secure configuration baselines	Čl. 21(2)(e)	2	🟡 Med
G10	Change management proces	Čl. 21(2)(e)	2	🟡 Med

Oblast G - Průměrný Gap: ____ Oblast G - Nejvyšší priorita: ____

OBLAST H: Vulnerability Handling (Článek 21(2)(e))

Zveřejňování a řízení zranitelností

#	Požadavek	Reference	Cíl	Kritičnost
H1	Vulnerability management proces	Čl. 21(2)(e)	3	🔴 High
H2	Vulnerability scanning pravidelný	Čl. 21(2)(e)	3	🔴 High
H3	Vulnerability prioritizace (CVSS)	Čl. 21(2)(e)	3	🔴 High
H4	Remediation tracking	Čl. 21(2)(e)	3	🔴 High
H5	Coordinated vulnerability disclosure	Čl. 21(2)(e)	2	🟡 Med

Oblast H - Průměrný Gap: ____ Oblast H - Nejvyšší priorita: ____

OBLAST I: Security Effectiveness (Článek 21(2)(f))

Hodnocení účinnosti bezpečnostních opatření

#	Požadavek	Reference	Cíl	Kritičnost
I1	Security KPIs definovány	Čl. 21(2)(f)	2	🟡 Med
I2	Security metrics sbírány	Čl. 21(2)(f)	2	🟡 Med
I3	Interní security audity (měsíčně)	Čl. 21(2)(f)	2	🟡 Med
I4	Externí security audity (pololetně)	Čl. 21(2)(f)	2	🟡 Med
I5	Management reporting	Čl. 21(2)(f)	2	🟡 Med
I6	Continuous improvement proces	Čl. 21(2)(f)	2	🟡 Med

Oblast I - Průměrný Gap: ____ Oblast I - Nejvyšší priorita: ____

OBLAST J: Cyber Hygiene & Training (Článek 21(2)(g))

Základní kybernetická hygiena a školení

#	Požadavek	Reference	Cíl	Kritičnost
J1	Security awareness program	Čl. 21(2)(g)	3	🔴 High
J2	Onboarding security training	Čl. 21(2)(g)	3	🔴 High
J3	Annual refresh training	Čl. 21(2)(g)	3	🔴 High
J4	Phishing simulations (čtvrtletně)	Čl. 21(2)(g)	2	🟡 Med
J5	Role-specific training (IT, devs)	Čl. 21(2)(g)	2	🟡 Med
J6	Training evidence/records	Čl. 21(2)(g)	3	🔴 High
J7	Password policy	Čl. 21(2)(g)	3	🔴 High
J8	Clean desk policy	Čl. 21(2)(g)	2	🟡 Med

Oblast J - Průměrný Gap: ____ Oblast J - Nejvyšší priorita: ____

OBLAST K: Cryptography (Článek 21(2)(h))

Politiky pro kryptografii a šifrování

#	Požadavek	Reference	Cíl	Kritičnost
K1	Encryption policy dokumentována	Čl. 21(2)(h)	3	🔴 High
K2	Encryption at rest (AES-256)	Čl. 21(2)(h)	3	🔴 High
K3	Encryption in transit (TLS 1.3)	Čl. 21(2)(h)	3	🔴 High
K4	Key management (HSM/KMS)	Čl. 21(2)(h)	3	🔴 High
K5	Key rotation (min. ročně)	Čl. 21(2)(h)	2	🟡 Med
K6	Certificate management	Čl. 21(2)(h)	3	🔴 High

Oblast K - Průměrný Gap: ____ Oblast K - Nejvyšší priorita: ____

OBLAST L: HR Security & Access Control (Článek 21(2)(i,j))

Bezpečnost lidských zdrojů a řízení přístupu

#	Požadavek	Reference	Cíl	Kritičnost
L1	Background checks (dle pozice)	Čl. 21(2)(i)	2	🟡 Med
L2	NDA se zaměstnanci	Čl. 21(2)(i)	3	🔴 High
L3	Security onboarding	Čl. 21(2)(i)	3	🔴 High
L4	Access provisioning (least privilege)	Čl. 21(2)(i)	3	🔴 High
L5	Access reviews (čtvrtletně)	Čl. 21(2)(i)	3	🔴 High
L6	Offboarding (access removal <24h)	Čl. 21(2)(i)	3	🔴 High
L7	MFA pro všechny admin účty	Čl. 21(2)(j)	3	🔴 High
L8	MFA pro remote access	Čl. 21(2)(j)	3	🔴 High
L9	RBAC implementován	Čl. 21(2)(j)	3	🔴 High
L10	Privileged Access Management	Čl. 21(2)(j)	2	🟡 Med
L11	Session management	Čl. 21(2)(j)	2	🟡 Med

Oblast L - Průměrný Gap: ____ Oblast L - Nejvyšší priorita: ____

OBLAST M: Logging & Monitoring (Článek 21(2)(b))

Centralizované logování a monitoring

#	Požadavek	Reference	Cíl	Kritičnost
M1	Centralizované logování (SIEM)	Čl. 21(2)(b)	3	🔴 High
M2	Log retention (min. 1 rok)	Čl. 21(2)(b)	3	🔴 High
M3	Log integrity protection	Čl. 21(2)(b)	2	🟡 Med
M4	Security alerting	Čl. 21(2)(b)	3	🔴 High
M5	24/7 monitoring capability	Čl. 21(2)(b)	2	🟡 Med
M6	Threat intelligence integration	Čl. 21(2)(b)	2	🟡 Med

Oblast M - Průměrný Gap: ____ Oblast M - Nejvyšší priorita: ____

Souhrn GAP Analysis

Celkový přehled

Oblast	Položek	Součet Gap	Průměrný Gap	Kritických položek	Priorita
A. Governance	6
B. Risk Management	8
C. Incident Handling	8
D. NÚKIB Reporting	6
E. Business Continuity	10
F. Supply Chain	8
G. Network Security	10
H. Vulnerability Handling	5
I. Security Effectiveness	6
J. Cyber Hygiene	8
K. Cryptography	6
L. HR & Access Control	11
M. Logging & Monitoring	6
CELKEM	98

Prioritizace oblastí

Seřaďte oblasti podle průměrného gapu (nejvyšší gap = nejvyšší priorita):

Pořadí	Oblast	Průměrný Gap	Kritických	Akce
1.
2.
3.
4.
5.

Akční plán

FÁZE 1: Kritické (Gap ≥ 2, Kritičnost High) - Do 28.2.2026

#	Oblast	Položka	Gap	Akce	Owner	Deadline
1
2
3
4
5

FÁZE 2: Vysoká priorita (Gap ≥ 2, Kritičnost Med) - Do 30.6.2026

#	Oblast	Položka	Gap	Akce	Owner	Deadline
1
2
3

FÁZE 3: Standardní (Gap = 1) - Do 30.9.2026

#	Oblast	Položka	Gap	Akce	Owner	Deadline
1
2

FÁZE 4: Finalizace - Do 11.11.2026

#	Aktivita	Owner	Deadline
1	Interní audit implementace	CISO	30.9.2026
2	Remediation nálezů	IT Security	31.10.2026
3	Management review & sign-off	Board	1.11.2026
4	NÚKIB registrace finalizace	Compliance	11.11.2026

Doporučení na základě výsledků

Pokud celkový průměrný Gap > 2.0:

⚠️ KRITICKÝ STAV

Doporučení:
├─ Okamžitě zahajte implementační projekt
├─ Zvažte externí konzultanta / MSSP
├─ Prioritizujte oblasti C (Incident), E (BCM), K (Crypto), L (Access)
├─ Deadline 11.11.2026 je v ohrožení bez okamžité akce
└─ Zvažte ISO 27001 certifikaci jako základ

Pokud celkový průměrný Gap 1.0-2.0:

🟡 ČÁSTEČNÁ PŘIPRAVENOST

Doporučení:
├─ Systematická implementace dle tohoto akčního plánu
├─ Interní kapacity pravděpodobně stačí
├─ Fokus na dokumentaci a formalizaci procesů
└─ ISO 27001 silně doporučeno

Pokud celkový průměrný Gap < 1.0:

✅ DOBRÁ PŘIPRAVENOST

Doporučení:
├─ Drobné úpravy a formalizace
├─ Fokus na NÚKIB registraci a reporting
├─ Zvažte ISO 27001 certifikaci pro důkaz compliance
└─ Připravte se na audity

Přílohy

A. NIS2 Timeline

31.1.2026    Scope determination dokončeno
28.2.2026    GAP analýza + Incident Response Plan
31.3.2026    Risk Assessment + Security Policy
30.4.2026    Business Continuity + Risk Treatment
31.5.2026    Technical Controls implementovány
30.6.2026    ISMS kompletní
30.9.2026    ISO 27001 certifikace (doporučeno)
11.11.2026   ⚠️ PLNÁ IMPLEMENTACE - DEADLINE

B. Sankce za nesoulad

Kategorie	Pokuta
Essential entities	až 10M EUR nebo 2% globálního obratu
Important entities	až 7M EUR nebo 1.4% obratu
ČR (Zákon o KB)	až 20M CZK

C. Kontakty

Role	Jméno	Email	Telefon
CISO
DPO
Legal
IT Director
NÚKIB kontakt		podatelna@nukib.gov.cz

Podpisy

Role	Jméno	Podpis	Datum
Provedl (CISO)
Schválil (Management)
Review (Legal)

Zdroje

Verze: 1.0 Licence: CC BY-SA 4.0 Autor: AI-Native Entry Framework