NIS2 mění pravidla hry: proč už nestačí „mít pentest“

Z pohledu Penterep je zřejmé, že rozhodující nebude počet nástrojů ani frekvence testování, ale schopnost celý proces řídit, evidovat a zpětně doložit. A právě v tom se dnes láme rozdíl mezi formálním plněním požadavků a skutečně funkční bezpečností.

Pavel Hanuš
Pavel Hanuš
31.03.2026Novinky

NIS2 mění pravidla hry: proč už nestačí „mít pentest“

S příchodem nového zákona o kybernetické bezpečnosti, který do českého prostředí převádí evropskou směrnici NIS2, se zásadně proměňuje pohled na to, jak mají organizace přistupovat k bezpečnosti. Nejde o zavádění zcela nových aktivit, ale o změnu v tom, jak musí být bezpečnost řízená, propojená a především doložitelná.

Proces řízení zranitelnosti v kybernetické bezpečnosti

Podpůrné materiály zveřejněné Národní úřad pro kybernetickou a informační bezpečnost to potvrzují velmi konkrétně. Například vysvětlení k řízení bezpečnostní politiky nebo samotný dokument pro vyšší režim jasně ukazují, že důraz se přesouvá od jednotlivých aktivit k jejich systematickému řízení a evidenci.

Bezpečnost jako řízený a prokazatelný proces

Z pohledu Penterep je klíčové jedno zjištění: není dostatečné pouze provádět testování, organizace musí být schopná prokázat jeho průběh a výsledky v čase.

Podle podpůrných materiálů NÚKIB musí být organizace schopná zpětně doložit, kdy testování proběhlo, jaký mělo rozsah, jaké přineslo výsledky a kdo za něj nesl odpovědnost. Tento požadavek není formální – ve skutečnosti znamená nutnost mít celý proces pod kontrolou.

Řešení Penterep je navržené právě s ohledem na tuto potřebu. Umožňuje organizacím přesně naplnit tento požadavek tím, že všechny kroky testování, jejich průběh i výstupy jsou systematicky evidované a kdykoliv zpětně dohledatelné. Organizace tak není odkázaná na jednotlivé reporty nebo izolované výstupy, ale má k dispozici ucelený a auditovatelný přehled.

Největší slabina zůstává po testu

Zkušenost z projektů, které v Penterep realizujeme, ukazuje, že samotné testování nebývá problém. Firmy dnes testují poměrně často a využívají kombinaci různých přístupů.

Slabina přichází až ve chvíli, kdy má organizace doložit, co se dělo po identifikaci zranitelností. Bez jasného řízení procesu se z výsledků stávají izolované informace, které postupně ztrácejí hodnotu.

Právě proto v Penterep pracujeme s uzavřeným cyklem, ve kterém na sebe jednotlivé kroky přímo navazují. Nález je zaznamenán, řešení je řízené, oprava je ověřená a celý proces zůstává zpětně dohledatelný. To je přesně princip, který dnes regulace vyžaduje.

Propojení přístupů jako nutnost

V praxi se ukazuje, že oddělené nástroje a jednorázové aktivity přestávají stačit. Organizace potřebují propojit kontinuální skenování a expertní testování do jednoho funkčního celku.

Právě kombinace přístupů, které reprezentují například APVISO a Penterep, odpovídá tomu, co dnes vyžaduje legislativa. Kontinuální přehled, řízený proces a jednoznačná dohledatelnost výsledků.

Teprve propojení těchto přístupů dává organizaci reálnou kontrolu nad bezpečnostním procesem a jistotu, že přijatá opatření skutečně fungují.

Naši partneři jako součást řešení

Zásadní roli v implementaci těchto požadavků hrají naši certifikovaní partneři. V Penterep dlouhodobě spolupracujeme s organizacemi, které dokážou naše řešení přenést do praxe a pomoci firmám nastavit celý proces v souladu s legislativou.

Jedním z těchto partnerů je ATS-TELCOM PRAHA a.s., který pomáhá organizacím nejen s realizací testování, ale především s nastavením řízení bezpečnosti jako celku. Díky kombinaci technologie Penterep a zkušeností našich partnerů jsou firmy schopné splnit regulatorní požadavky bez zbytečné složitosti a s jasným výsledkem.

Nová realita trhu

Nový zákon o kybernetické bezpečnosti tak vytváří jasnou hranici mezi organizacemi, které mají bezpečnost pod kontrolou, a těmi, které ji stále řeší jako soubor jednotlivých aktivit.

Z pohledu Penterep je zřejmé, že rozhodující nebude počet nástrojů ani frekvence testování, ale schopnost celý proces řídit, evidovat a zpětně doložit.

A právě v tom se dnes láme rozdíl mezi formálním plněním požadavků a skutečně funkční bezpečností.

Nedávné příspěvky

Od juniora k pentesterovi: Jak se opravdu učit hacking a poznat kvalitní pentest

Novinky

Od juniora k pentesterovi: Jak se opravdu učit hacking a poznat kvalitní pentest

V posledních letech to slyšíš'me čím dál častěji. Kyberbezpečnost roste, firmy investují a penetrační testování se stává standardní součástí IT. Na první pohled ideální prostředí pro každého, kdo chce začít.

Pavel Hanuš
Pavel Hanuš
30.03.2026
Když hacker neútočí na vás, ale na vaši AI

Novinky

Když hacker neútočí na vás, ale na vaši AI

Hacker už nemusí útočit na vás, ale stačí mu zaútočit na vaši AI. Je to nová fronta ofenzivního testování a aktuálně slabý článek v celém systému.

Daniel Grunwald
Daniel Grunwald
25.03.2026
AI v kyberbezpečnosti: proč může být plně automatický pentesting nebezpečný

Novinky

AI v kyberbezpečnosti: proč může být plně automatický pentesting nebezpečný

AI proniká i do kyberbezpečnosti. Kdy ale pomáhá a kdy může být rizikem? Podívejte se, jak zapojit AI do bezpečnostního testování tak, aby zůstala pod kontrolou expertů.

Jakub Hojač
Jakub Hojač
12.03.2026