Skip to content
My Docs

Cross-cutting Compliance Checklist

Cross-cutting Compliance Checklist

Section titled “Cross-cutting Compliance Checklist”

Položky společné pro všechny regulace (AI Act, NIS2, GDPR, DORA).

Část D: Cross-cutting Compliance

Section titled “Část D: Cross-cutting Compliance”
#AktivitaRegulaceFázePopisStatusOwnerTermínKritické
D1Unified GovernanceVšechnyGovernanceCentrální Compliance & Risk Committee🟡 40%CEO + Legal31.1.2026🔴 ANO
D1.1– Compliance ownershipVšechnyGovernanceUrčení odpovědnosti za compliance🟡 50%CEO31.1.2026🔴 ANO
D1.2– Governance meeting cadenceVšechnyGovernancePravidelné schůzky (měsíčně)🟡 40%Compliance Officer31.1.2026🟡 Střední
D1.3– Board reportingVšechnyGovernanceReporting compliance statusu boardu🟡 30%CEO + CISOČtvrtletně🟡 Střední
D1.4– Budget allocatedVšechnyGovernanceSchválený budget pro compliance🟡 40%CFO31.1.2026🔴 ANO
D2Integrated Risk ManagementVšechnyRiskEnterprise-wide risk framework🟡 35%CISO + Risk Mgmt31.3.2026🔴 ANO
D2.1– ERM frameworkVšechnyRiskJednotný ERM pokrývající cyber, ICT, data, AI🟡 30%Risk Mgmt31.3.2026🔴 ANO
D2.2– Risk registerVšechnyRiskCentrální registr rizik🟡 40%Risk Mgmt28.2.2026🔴 ANO
D2.3– Risk appetite definedVšechnyRiskDefinovaný risk appetite🟡 30%Board + CISO28.2.2026🟡 Střední
D2.4– Risk reportingVšechnyRiskPravidelný risk reporting🟡 40%Risk MgmtMěsíčně🟡 Střední
D3Team & TrainingVšechnyTrainingHolistický training program🟡 60%HR + CISOPrůběžně🔴 ANO
D3.1– Compliance teamVšechnyGovernanceCompliance tým sestaven🟡 70%HR31.1.2026🔴 ANO
D3.2– Training programVšechnyTrainingGDPR + Cyber + AI literacy training🟡 50%HR + CISOPrůběžně🔴 ANO
D3.3– External consultantsVšechnyGovernanceEngagement externích expertů🟡 60%ProcurementDle potřeby🟡 Střední
D4Third-Party VendorsVšechnyVendorsKonsolidovaný vendor management🟡 30%Procurement + CISO31.3.2026🔴 ANO
D4.1– Vendor inventoryVšechnyVendorsCentrální seznam všech vendorů🟡 50%Procurement28.2.2026🔴 ANO
D4.2– Vendor risk assessmentVšechnyVendorsUnified vendor assessment framework🟡 30%CISO + Procurement31.3.2026🔴 ANO
D4.3– Contract reviewVšechnyVendorsReview smluv (DPA, security, SLA)🟡 20%Legal + Procurement31.3.2026🔴 ANO
D4.4– Vendor monitoringVšechnyVendorsPrůběžný monitoring vendorů❌ 0%CISO30.6.2026🟡 Střední
D5Unified Incident ManagementVšechnyIncidentIntegrovaný incident response🟡 25%CISO28.2.2026🔴 ANO
D5.1– Unified IRPVšechnyIncidentJeden IRP pro všechny typy incidentů🟡 30%CISO28.2.2026🔴 ANO
D5.2– Incident classificationVšechnyIncidentKlasifikace: cyber / data breach / AI incident🟡 20%CISO28.2.2026🔴 ANO
D5.3– Notification routingVšechnyIncidentAutomatický routing dle typu (NÚKIB / ÚOOÚ / ESAs)❌ 0%CISO + Legal31.3.2026🔴 ANO
D5.4– Post-incident reviewVšechnyIncidentLessons learned proces🟡 30%CISOPrůběžně🟡 Střední
D6Documentation PlatformVšechnyDokumentaceGRC platforma pro centralizaci🟡 20%CISO + IT30.6.2026🟡 Vysoká
D6.1– Policy documentsVšechnyDokumentaceCentralizované politiky🟡 40%Compliance31.3.2026🟡 Střední
D6.2– Procedure documentsVšechnyDokumentaceCentralizované procedury🟡 30%Compliance31.3.2026🟡 Střední
D6.3– Evidence collectionVšechnyDokumentaceAutomatizovaný sběr evidence❌ 0%IT + Compliance30.6.2026🟡 Střední
D6.4– Version controlVšechnyDokumentaceVerzování dokumentů🟡 20%Compliance31.3.2026🟡 Střední
D7Audit & MonitoringVšechnyAuditKoordinovaný audit program🟡 20%CISO + Compliance31.3.2026🟡 Vysoká
D7.1– Internal audit programVšechnyAuditPlán interních auditů🟡 30%Internal Audit31.3.2026🟡 Střední
D7.2– Compliance dashboardVšechnyMonitoringReal-time compliance dashboard❌ 0%IT + Compliance30.6.2026🟡 Střední
D7.3– KPI trackingVšechnyMonitoringCompliance KPIs definovány a sledovány🟡 20%Compliance31.3.2026🟡 Střední
D7.4– Continuous improvementVšechnyMonitoringProces kontinuálního zlepšování🟡 30%CompliancePrůběžně🟡 Střední

Synergie mezi regulacemi

Section titled “Synergie mezi regulacemi”

Překryv v klíčových oblastech

Section titled “Překryv v klíčových oblastech”
OblastGDPR + NIS2DORA + NIS2AI Act + GDPRSynergický přístup
Risk ManagementObě vyžadují risk assessmentPodobný ICT risk frameworkAI risk vs data riskD2: Jednotný ERM framework
Incident Management72h (GDPR) vs 24/72h (NIS2)Harmonizované (DORA detailnější)Post-market monitoringD5: Integrovaný incident systém
GovernanceManagement odpovědnostBoard oversightProvider/deployer roleD1: Centrální Compliance Committee
Third-PartiesČl.28 smlouvy vs supply chainRegistry ICT providers + ESAs dohledData quality pro AI trainingD4: Konsolidovaný vendor management
TrainingObě vyžadují školení zaměstnancůObě vyžadují cyber hygieneAI literacy + GDPR awarenessD3: Holistický training program

Incident Reporting Matrix

Section titled “Incident Reporting Matrix”
Typ incidentuGDPRNIS2DORAAI Act
Data breach (PII)72h → ÚOOÚ24h/72h → NÚKIBDle klasifikace → ČNBN/A
Cyber incidentN/A (pokud bez PII)24h/72h → NÚKIB24h/72h → ČNBN/A
ICT incident (fin. sektor)Pokud zahrnuje PIIN/A (DORA lex specialis)Dle klasifikace → ČNB/ESAsN/A
AI incident (serious)Pokud zahrnuje PIIPokud ovlivní bezpečnostN/A→ Market surveillance authority

Implementační fáze (Cross-cutting)

Section titled “Implementační fáze (Cross-cutting)”
FÁZE 1: GOVERNANCE (Měsíc 1-2)
├─ D1: Unified Governance
├─ D2: Integrated Risk Management
└─ D3: Team & Training (setup)


FÁZE 2: VENDORS & INCIDENT (Měsíc 2-4)
├─ D4: Third-Party Vendors
└─ D5: Unified Incident Management


FÁZE 3: DOKUMENTACE & AUDIT (Měsíc 3-6)
├─ D6: Documentation Platform
└─ D7: Audit & Monitoring

Summary

Section titled “Summary”
Cross-cutting Status:
├─ Governance:          🟡 40%
├─ Risk Management:     🟡 35%
├─ Training:            🟡 60%
├─ Vendors:             🟡 30%
├─ Incident Mgmt:       🟡 25%
├─ Documentation:       🟡 20%
├─ Audit:               🟡 20%
└─ Overall:             🟡 33%

Legenda

Section titled “Legenda”
SymbolVýznam
✅ 100%Hotovo
🟡 XX%Rozpracováno
❌ 0%Nezahájeno
Plánováno
🔴 ANOKritické
🟡 Vysoká/StředníPriorita