Přeskočit obsah

Soulad se zákonem o kybernetické bezpečnosti (č. 264/2025 Sb.) a směrnicí NIS2

Soulad MazeVault se zákonem č. 264/2025 Sb. a směrnicí EU 2022/2555 (NIS2)

ID dokumentu: MV-LEG-020
Verze: 1.0.0
Klasifikace: Interní
Vlastník: Chief Information Security Officer (CISO)
Poslední aktualizace: 2026-05-01
Cyklus revize: Roční (a při regulatorních změnách)
Schválil: CEO / Představenstvo

1. Regulatorní přehled

1.1 Zákon č. 264/2025 Sb. (Zákon o kybernetické bezpečnosti)

Zákon č. 264/2025 Sb. („Zákon") je českou transpozicí směrnice NIS2 (EU 2022/2555) do národní legislativy. Nabyl účinnosti 1. listopadu 2025 a nahradil předchozí zákon č. 181/2014 Sb. Zákon zásadně restrukturalizuje české regulatorní prostředí kybernetické bezpečnosti a ukládá výrazně rozšířené povinnosti regulovaným subjektům a jejich dodavatelským řetězcům.

Klíčové charakteristiky Zákona:

Aspekt Popis
Datum účinnosti 1. listopadu 2025
Dozorový orgán Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)
Režim povinností Dvoustupňový: režim vyšších povinností / režim nižších povinností
Prováděcí vyhlášky 7 vyhlášek specifikujících technické požadavky
Kontrolní domény 25 bezpečnostních kontrolních domén pro subjekty v režimu vyšších povinností
Sankce Až 250 000 000 CZK nebo 2 % ročního globálního obratu (dle toho co je vyšší); až 10 000 000 CZK pro fyzické osoby
Osobní odpovědnost Statutární orgány nesou osobní odpovědnost za governance kybernetické bezpečnosti
Registrace Povinná registrace u NÚKIB do 60 dní od splnění kritérií
Lhůta pro soulad 1 rok od potvrzení registrace k dosažení úplného souladu

1.2 Směrnice NIS2 (EU 2022/2555)

Směrnice NIS2 stanovuje vysokou společnou úroveň kybernetické bezpečnosti v Evropské unii. Nabyla účinnosti 16. ledna 2023 s lhůtou pro transpozici do 17. října 2024. Česká republika ji transponovala zákonem č. 264/2025 Sb. s účinností od 1. listopadu 2025.

Klíčová rozšíření NIS2 oproti NIS1:

  • Rozšířený rozsah na 18 sektorů (11 vysoce kritických, 7 kritických)
  • Povinné požadavky na bezpečnost dodavatelského řetězce
  • Harmonizované lhůty hlášení incidentů
  • Posílené vynucování a sankce
  • Osobní odpovědnost vedení
  • Mechanismy přeshraniční spolupráce

1.3 NÚKIB jako dozorový orgán

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) je určeným příslušným orgánem dle Zákona, s pravomocemi:

  • Vydávat závazná bezpečnostní opatření
  • Provádět kontroly a audity
  • Ukládat nápravná opatření a sankce
  • Vést národní registr regulovaných subjektů
  • Provozovat národní CERT (GovCERT.CZ)
  • Přijímat a zpracovávat oznámení incidentů
  • Vydávat včasná varování a informační zprávy

1.4 Dvoustupňový režim povinností

Zákon rozlišuje dvě úrovně povinností:

Režim vyšších povinností: - Základní subjekty ve vysoce kritických sektorech - Zahrnuje úvěrové instituce (banky), energetiku, dopravu, zdravotnictví, digitální infrastrukturu - Musí splňovat všech 25 bezpečnostních kontrolních domén - Podléhají proaktivním dozorovým kontrolám - Přísnější sankční režim

Režim nižších povinností: - Důležité subjekty v kritických sektorech - Snížené, ale stále podstatné bezpečnostní požadavky - Reaktivní dozor (na základě incidentu nebo stížnosti)

1.5 Prováděcí vyhlášky

7 prováděcích vyhlášek specifikuje:

  1. Technická bezpečnostní opatření pro subjekty v režimu vyšších povinností
  2. Technická bezpečnostní opatření pro subjekty v režimu nižších povinností
  3. Registrační a notifikační postupy
  4. Klasifikaci incidentů a formáty hlášení
  5. Požadavky na bezpečnostní audit
  6. Požadavky na bezpečnost dodavatelského řetězce
  7. Sektorově specifické požadavky (včetně finančního sektoru)

2. Regulatorní pozice MazeVault

2.1 Klasifikace jako dodavatel

MazeVault je klasifikován jako dodavatel regulovaných subjektů dle Zákona. MazeVault sám není přímo „regulovanou službou" ani „povinnou osobou", pokud nezávisle nesplňuje velikostní prahy (střední nebo velký podnik) a neposkytuje služby v regulovaném sektoru.

Pozice MazeVault:

  • Primární role: Poskytovatel ICT služeb třetí strany (dodavatel) regulovaným bankovním subjektům
  • Přímá regulace: Není přímo regulován Zákonem (pod velikostními prahy pro samostatnou klasifikaci)
  • Nepřímé povinnosti: Podléhá požadavkům dodavatelského řetězce uloženým zákazníky, kteří jsou regulovanými subjekty
  • Smluvní povinnosti: Musí splňovat bezpečnostní požadavky specifikované zákazníky v souladu s §27 a násl.

2.2 Povinnosti zákazníků ohledně MazeVault

Bankovní zákazníci MazeVault jsou úvěrové instituce klasifikované jako základní subjekty v bankovním sektoru v režimu vyšších povinností. Tito zákazníci mají následující povinnosti ohledně MazeVault jako svého dodavatele:

Povinnost zákazníka Právní základ Role MazeVault
Registrovat MazeVault jako významného dodavatele §27 odst. 2 Potvrdit registraci, poskytnout požadované informace
Provést hodnocení rizik MazeVault §27 odst. 3 Poskytnout bezpečnostní dokumentaci, důkazy, certifikace
Zahrnout bezpečnostní požadavky do smlouvy §27 odst. 4 Akceptovat bezpečnostní přílohu, DPA, SLA s bezpečnostními ustanoveními
Monitorovat průběžný soulad MazeVault §27 odst. 5 Poskytnout periodické důkazy souladu, podrobit se auditům
Zahrnout MazeVault do plánu krizového řízení §28 Účastnit se krizových cvičení, udržovat IRP
Zajistit ustanovení o bezpečném ukončení §27 odst. 4 písm. g) Zdokumentovaná exit strategie, postupy vrácení dat
Posoudit řetězec subdodavatelů §29 Zveřejnit zpracovatele, udržovat governance řetězce

2.3 Umožňující role MazeVault

MazeVault umožňuje svým bankovním zákazníkům splnit jejich vlastní regulatorní povinnosti tím, že:

  1. Poskytuje komplexní bezpečnostní dokumentaci — umožňuje due diligence a hodnocení rizik zákazníka
  2. Akceptuje smluvní bezpečnostní povinnosti — bezpečnostní příloha, DPA, SLA s bezpečnostními KPI
  3. Udržuje auditovatelné důkazy souladu — průběžný monitoring souladu a reporting
  4. Podporuje reakci na incidenty — včasná notifikace, poskytnutí důkazů, spolupráce
  5. Usnadňuje regulatorní audity — neomezená auditní práva, dostupnost dokumentace
  6. Zajišťuje provozní odolnost — BCP/DRP, redundance, schopnosti failoveru
  7. Spravuje dodavatelský řetězec směrem dolů — governance vlastních zpracovatelů MazeVault

3. Požadavky na dodavatelský řetězec (Část 1, oddíl 5 — §27 a násl.)

3.1 Pravidla výběru dodavatelů (§27 odst. 1)

Zákon vyžaduje, aby regulované subjekty stanovily transparentní pravidla pro výběr dodavatelů zohledňující aspekty kybernetické bezpečnosti. MazeVault to podporuje poskytnutím:

  • Předsmluvního balíčku bezpečnostní dokumentace
  • Vyplněného bezpečnostního dotazníku (sekce 7 tohoto dokumentu)
  • Důkazů o bezpečnostních certifikacích a stavu souladu
  • Referencí od stávajících regulovaných zákazníků
  • Demonstrace technických bezpečnostních schopností

3.2 Registrace významného dodavatele (§27 odst. 2)

Regulované subjekty musí vést registr významných dodavatelů a formálně je informovat o statusu registrace. Při registraci zákazníkem:

  • MazeVault potvrdí registraci písemně
  • Určí bezpečnostní kontakt pro zákaznický vztah
  • Zaváže se ke splnění povinností vyplývajících ze statusu dodavatele
  • Poskytne informace požadované pro zákazníkův registr dodavatelů

3.3 Hodnocení rizik před uzavřením smlouvy (§27 odst. 3)

Před uzavřením smlouvy musí regulovaný subjekt provést hodnocení rizik MazeVault. MazeVault to usnadňuje poskytnutím:

Oblast hodnocení Poskytnutá dokumentace
Bezpečnostní postoj Politika informační bezpečnosti (MV-LEG-001), compliance reporty
Technické kontroly Architekturní dokumentace, popis bezpečnostních kontrol
Provozní odolnost BCP/DRP (MV-LEG-008), výsledky DR testů
Řízení incidentů Plán reakce na incidenty (MV-LEG-007), historie incidentů
Personální bezpečnost Organizační HR politika (MazeVault s.r.o.)
Fyzická bezpečnost SOC 2 reporty poskytovatele cloudu (Azure)
Dodavatelský řetězec Politika řízení rizik třetích stran (MV-LEG-011), seznam zpracovatelů
Ochrana dat DPA, politika klasifikace dat (MV-LEG-005)
Řízení zranitelností Zprávy z pen-testů, výsledky skenování zranitelností
Řízení přístupu Politika řízení přístupu (MV-LEG-003), RBAC dokumentace

3.4 Smluvní povinnosti (§27 odst. 4)

Zákon nařizuje specifická ustanovení ve smlouvách s významnými dodavateli. Smluvní rámec MazeVault řeší každý požadavek:

Zákonný požadavek Smluvní odkaz Plnění MazeVault
(a) Rozsah přístupu dodavatele k informacím a systémům Bezpečnostní příloha §2 Definovaný rozsah přístupu, hranice zpracování dat, matice přístupu k systémům
(b) Způsoby komunikace a kontaktní osoby Bezpečnostní příloha §3 Určené bezpečnostní kontakty, komunikační kanály, eskalační postupy
(c) Povinnosti nakládání s daty a jejich ochrany DPA + Bezpečnostní příloha §4 Pokyny ke zpracování dat, retence, výmaz, požadavky na šifrování
(d) Auditní práva regulovaného subjektu Bezpečnostní příloha §5 Neomezené právo na audit s 30denním oznámením, roční podpora auditu
(e) Udržení dohodnuté úrovně bezpečnosti SLA + Bezpečnostní příloha §6 Bezpečnostní KPI, SLA pro patching, lhůty řešení zranitelností
(f) Zahrnutí do plánů krizového řízení Bezpečnostní příloha §7 Postupy krizové komunikace, návaznost na IRP, účast na společných cvičeních
(g) Ustanovení o bezpečném ukončení Bezpečnostní příloha §8 Exit strategie, vrácení dat, bezpečný výmaz, podpora přechodu (min. 6 měsíců)
(h) Vzájemná odpovědnost a ručení Hlavní smlouva §9 Definované odpovědnosti, alokace ručení, odškodnění

3.5 Řetězení dodavatelů (§29)

Zákon rozšiřuje požadavky na dodavatelský řetězec na subdodavatele (poddodavatelé). MazeVault zajišťuje:

  • Všichni kritičtí a významní zpracovatelé jsou zákazníkům sděleni (Politika řízení rizik třetích stran, MV-LEG-011)
  • Zpracovatelé procházejí ekvivalentním bezpečnostním hodnocením před zapojením
  • Smluvní přenesení bezpečnostních požadavků na zpracovatele
  • Oznámení zákazníkovi (30 dní předem) při změnách zpracovatelů
  • Právo zákazníka vznést námitku ohledně nových zpracovatelů
  • Auditovatelné důkazy governance zpracovatelů

3.6 Výstupy MazeVault pro zákazníky

Pro splnění povinností dodavatelského řetězce poskytuje MazeVault regulovaným zákazníkům:

Výstup Účel Frekvence
Bezpečnostní příloha Smluvní bezpečnostní povinnosti Při uzavření smlouvy, při změně
Smlouva o zpracování osobních údajů (DPA) GDPR a ochrana dat Při uzavření smlouvy, při změně
Smlouva o úrovni služeb (SLA) Kvalita služeb a bezpečnostní KPI Při uzavření smlouvy, roční revize
Roční compliance report Důkaz celkového stavu souladu Ročně
Zpráva z penetračního testu (executive summary) Validace bezpečnosti třetí stranou Ročně (Q4)
Shrnutí skenování zranitelností Důkaz průběžného bezpečnostního monitoringu Čtvrtletně
Oznámení incidentu Včasné oznámení zákazníkovi o incidentech Dle potřeby (do 24h)
Seznam zpracovatelů Transparentnost dodavatelského řetězce Při uzavření smlouvy, při změně
Auditní spolupráce Plnění práva na audit Na vyžádání (30denní oznámení)
Odpovědi na bezpečnostní dotazník Podpora due diligence Na vyžádání, roční aktualizace

4. Mapování bezpečnostních kontrolních domén

Prováděcí vyhláška pro subjekty v režimu vyšších povinností definuje 25 bezpečnostních kontrolních domén. Následující tabulka mapuje každou doménu na implementaci MazeVault a dostupné důkazní artefakty.

4.1 Kompletní mapování domén

# Kontrolní doména Implementace MazeVault Důkazní artefakty
1 Bezpečnostní politika Politika informační bezpečnosti (MV-LEG-001) jako vrcholový ISMS dokument. Hierarchická struktura politik s podřízenými politikami pro každou doménu. Roční revize a schválení CEO/představenstvem. Dokument politiky, historie verzí, záznamy o schválení, zápisy z roční revize
2 Řízení rizik Politika řízení rizik (MV-LEG-002) stanovující formální metodiku hodnocení rizik. Čtvrtletní revize rizik. ComplianceReportService generující automatizované reporty stavu souladu. Registr rizik udržovaný a revidovaný. Registr rizik, čtvrtletní revizní zprávy, výstupy ComplianceReportService, plány ošetření rizik
3 Správa aktiv Politika klasifikace dat (MV-LEG-005) se 4-stupňovou klasifikací (Veřejné, Interní, Důvěrné, Přísně důvěrné). database_health.go ExpectedTables definující inventář systémových aktiv. Databáze správy konfigurací. Inventář aktiv, klasifikační označení v kódu, diagramy datových toků, záznamy konfigurací
4 Řízení přístupu RBAC s 8 systémovými rolemi a 50+ granulárními oprávněními. MFA (na bázi TOTP). SSO integrace. Izolace na úrovni projektů. Správa sessions s konfigurovatelným vypršením. Omezení API klíčů. Politika řízení přístupu (MV-LEG-003), matice oprávnění, záznamy přezkoumání přístupu, záznamy MFA, konfigurace SSO
5 Kryptografie AES-256-GCM pro data v klidu (NIST SP 800-38D). RSA-2048/4096 a ECDSA P-256/P-384 pro certifikáty. HSM integrace (Azure Key Vault, AWS CloudHSM, GCP KMS, PKCS#11). Automatizovaná rotace klíčů. TLS 1.2+ pro veškerý přenos. Kryptografická politika (MV-LEG-004), záznamy rotace klíčů, HSM auditní záznamy, konfigurace TLS
6 Bezpečnost sítě TLS vynucení na všech endpointech. mTLS pro komunikaci agent-platforma. Segmentace sítě mezi vrstvami služeb. Pravidla firewallu/NSG. Vynucení CORS politiky. Bezpečnostní hlavičky (HSTS, CSP, X-Frame-Options). Validace certifikátů pro všechna odchozí spojení. Výsledky TLS skenů, diagramy síťové architektury, pravidla firewallu, inventář mTLS certifikátů
7 Bezpečnost provozu Strukturované JSON logování s korelačními ID. Monitoring založený na Prometheus s alertingem. Health check endpointy (/health, /readiness). Automatizované deployment pipelines. Postupy řízení změn. Monitoring kapacity. Politika logování a monitoringu (MV-LEG-009), Prometheus dashboardy, konfigurace health checků, záznamy nasazení
8 Bezpečnost komunikací TLS 1.2+ minimum pro veškerou externí komunikaci. mTLS pro interní komunikaci služba-služba. CORS konfigurace omezující origins. Bezpečnostní hlavičky proti clickjackingu, XSS, MIME sniffingu. Zabezpečení e-mailu (SPF, DKIM, DMARC) konfigurováno na úrovni DNS domény (mimo rozsah aplikace). Konfigurace TLS, výsledky skenů hlaviček, CORS politika
9 Akvizice, vývoj a údržba Bezpečný životní cyklus vývoje SW (SSDLC). Bezpečnostní brány v CI/CD (linting, SAST, skenování závislostí, skenování kontejnerů). Povinné code review (na bázi PR). Automatizované testování. Skenování zranitelností při každém buildu (Trivy, govulncheck). Konfigurace CI pipeline, záznamy PR review, výsledky SAST skenů, build logy, reporty zranitelností
10 Řízení dodavatelů Politika řízení rizik třetích stran (MV-LEG-011). Třístupňová klasifikace dodavatelů (Kritický, Významný, Standardní). Roční přehodnocení dodavatelů. Smluvní bezpečnostní požadavky. Governance zpracovatelů. Exit strategie. Registr dodavatelů, záznamy hodnocení, smlouvy s bezpečnostními přílohami, seznam zpracovatelů
11 Řízení incidentů Plán reakce na incidenty (MV-LEG-007). IncidentService se strukturovaným životním cyklem incidentu (Detekce → Třídění → Omezení → Eliminace → Obnova → Poučení). 4-úrovňová klasifikace závažnosti. Definované doby odezvy (P1: ≤15 min). Oznámení zákazníkovi do 24h. Záznamy incidentů, logy oznámení, post-incident reporty, výsledky testů IRP
12 Řízení kontinuity BCP/DRP (MV-LEG-008). Multi-datacenter nasazení. Gateway failover (aktivní/pasivní). Replikace databáze. Automatizované zálohování a obnova. Definované cíle RTO/RPO. Roční DR testování. Dokument BCP/DRP, reporty z DR testů, záznamy ověření záloh, výsledky testů failoveru
13 Personální bezpečnost Organizační závazek MazeVault s.r.o.: bezpečnostní instruktáž při nástupu, komunikace bezpečnostního povědomí, ověření personálu s přístupem k produkci (dle interní HR politiky). Definované odpovědnosti v pracovních smlouvách. Disciplinární postupy při porušení politik. Poznámka: jedná se o organizační procesy MazeVault s.r.o., nikoli o funkce platformy. Šablony pracovních smluv, dokumentace HR politiky (dostupná na vyžádání od MazeVault s.r.o.)
14 Fyzická bezpečnost Cloud-first nasazení na Azure (SOC 2 Type II certifikovaná datová centra). On-premise nasazení zákazníků pod fyzickou bezpečností zákazníka. Žádná fyzická infrastruktura provozovaná MazeVault. Azure SOC 2 Type II reporty, dokumentace fyzické bezpečnosti Azure, model sdílené odpovědnosti
15 Řízení zranitelností Politika řízení zranitelností a záplat (MV-LEG-010). Průběžné skenování: Trivy (kontejnery), govulncheck (Go závislosti), npm audit (frontend). Roční penetrační testování kvalifikovanou třetí stranou. SLA pro patching: Kritické ≤48h, Vysoké ≤7 dní, Střední ≤30 dní, Nízké ≤90 dní. Reporty skenování zranitelností, výsledky pen-testů (poslední: Q4 2025, 0 Kritických/Vysokých), záznamy patchování, SBOM
16 Bezpečnost průmyslových a řídicích systémů Nepoužitelné — MazeVault neprovozuje průmyslové řídicí systémy ani OT prostředí. Prohlášení o nepoužitelnosti
17 Bezpečnostní architektura 5-vrstvá bezpečnostní architektura (Síť → Aplikace → Autentizace → Autorizace → Data). Principy Zero Trust. Obrana v hloubce. Bezpečná výchozí konfigurace. Dokumentace a revize bezpečnostní architektury. Architekturní dokumentace, bezpečnostní design review
18 Správa identit Centralizovaná správa identit. Jednoznačná identifikace uživatelů. Governance servisních účtů. Řízení životního cyklu identit (provisioning, modifikace, deprovisioning). Podpora federace (SAML, OIDC). Inventář identit, postupy životního cyklu, konfigurace federace, záznamy deprovisioningu
19 Řízení změn Formální proces řízení změn. CI/CD pipelines se schvalovacími bránami. Požadavky na code review. Validace ve staging prostředí. Postupy rollbacku. Dokumentace změn. Záznamy změn, historie PR, logy nasazení, postupy rollbacku
20 Monitoring a detekce AnomalyDetectionService s behaviorální analýzou. 17 SIEM-ready detekčních pravidel. Prometheus alerting s definovanými prahy. Analýza audit logů. Real-time dashboard monitoring. Chain-hashed audit logy zajišťující důkaz o nemanipulaci. Konfigurace SIEM pravidel, historie alertů, Prometheus pravidla, logy detekce anomálií
21 Audit a kontrola Chain-hashed auditní logování (SHA-256, odolné proti manipulaci). Komplexní auditní stopa pro všechny bezpečnostně relevantní události. ComplianceReportService generující ISO 27001, SOC 2, PCI-DSS a GDPR compliance reporty. 365denní retence logů. Audit logy, compliance reporty, výsledky ověření integrity logů, politika retence
22 Bezpečnost cloudových služeb Nativní bezpečnostní kontroly Azure. AKS se síťovými politikami. Integrace Azure Key Vault. Využití managed identity. Infrastruktura definovaná jako kód (Terraform). Dokumentace modelu sdílené odpovědnosti. Konfigurace zabezpečení Azure, audit logy Key Vault, definice síťových politik, Terraform IaC
23 Bezpečný vývoj SSDLC s bezpečnostními požadavky ve fázi návrhu. SAST integrace v CI/CD (Trivy filesystem scan). Kontrola zranitelností závislostí (govulncheck, npm audit). Skenování kontejnerových obrazů (Trivy). Integrita CI/CD pipeline via GitHub Actions. Dokumentace SSDLC, konfigurace CI/CD pipeline, výsledky SAST skenů, audity závislostí, výsledky skenů kontejnerů
24 Ochrana osobních údajů Rámec souladu s GDPR. Šablona smlouvy o zpracování osobních údajů (DPA). Principy minimalizace dat. Omezení účelu. Definované doby retence. Postupy pro práva subjektů údajů. Posouzení vlivu na ochranu soukromí. DPA, politika ochrany soukromí, záznamy DPIA, logy žádostí subjektů údajů, harmonogram retence
25 Vzdělávání a povědomí Organizační závazek MazeVault s.r.o.: komunikace bezpečnostního povědomí všemu personálu, role-specifické bezpečnostní instruktáže pro vývojáře (bezpečné kódování, OWASP Top 10), bezpečnostní onboarding nových zaměstnanců. Poznámka: školení je organizační proces MazeVault s.r.o., nikoli funkce platformy. Dokumentace HR školení (dostupná na vyžádání od MazeVault s.r.o.)

5. Podpora hlášení incidentů

5.1 Povinnost zákazníka hlásit incidenty

Dle §15 Zákona a článku 23 NIS2 musí regulované subjekty hlásit významné incidenty NÚKIB v definovaných lhůtách:

Typ hlášení Lhůta Požadavky na obsah
Počáteční oznámení Do 24 hodin od zjištění Podezření na incident, počáteční klasifikace, dotčené služby
Průběžné hlášení Do 72 hodin od počátečního oznámení Aktualizované hodnocení, závažnost, rozsah, indikátory kompromitace
Závěrečná zpráva Do 1 měsíce od průběžného hlášení Kořenová příčina, úplné hodnocení dopadu, náprava, poučení

5.2 Povinnost MazeVault oznámit zákazníkovi

MazeVault se zavazuje k následujícím oznamovacím povinnostem vůči svým bankovním zákazníkům:

  • Okamžité oznámení (bez zbytečného odkladu, maximálně 4 hodiny) při zjištění jakéhokoli incidentu, který může ovlivnit službu, data nebo bezpečnostní postoj zákazníka
  • Předběžná zpráva o incidentu do 12 hodin obsahující: klasifikaci incidentu, dotčené systémy, počáteční hodnocení rozsahu, provedená opatření k omezení
  • Podrobná zpráva o incidentu do 48 hodin obsahující: analýzu kořenové příčiny (pokud je známa), úplné hodnocení dopadu, časový plán nápravy, indikátory kompromitace
  • Závěrečná zpráva o incidentu do 14 dní obsahující: kompletní kořenová příčina, všechny dotčené zdroje, dokončená náprava, implementovaná preventivní opatření

5.3 Důkazy poskytnuté při incidentech

MazeVault poskytuje následující důkazy na podporu hlášení zákazníka pro NÚKIB:

Typ důkazu Popis Formát
Audit logy Chain-hashed, odolné proti manipulaci záznamy pokrývající časový rámec incidentu JSON export, kryptograficky ověřený
Časová osa incidentu Chronologická sekvence událostí s časovými razítky (UTC) Strukturovaná zpráva
Dotčené zdroje Seznam dotčených systémů, dat, certifikátů, secrets Enumerovaný seznam s klasifikací
Omezovací akce Akce provedené k omezení incidentu Časově označený log akcí
Indikátory kompromitace (IoC) IP adresy, hashe, identifikované vzory Formát kompatibilní se STIX/TAXII
Hodnocení dopadu Analýza dopadu na důvěrnost, integritu a dostupnost Strukturovaný dokument hodnocení
Komunikační log Veškerá komunikace související s incidentem Časově označený záznam komunikace

5.4 Pokyny pro integraci s portálem NÚKIB

Pro zákazníky hlásící incidenty NÚKIB přes určený portál:

  1. Přístup k portálu: https://portal.nukib.cz (vyžaduje autorizované přihlašovací údaje)
  2. Pokyny ke klasifikaci: MazeVault poskytuje předhodnocenou klasifikaci dopadu pro asistenci vlastní klasifikace zákazníka
  3. Návaznost na šablony: Zprávy o incidentech MazeVault jsou strukturovány tak, aby odpovídaly polím reportovací šablony NÚKIB
  4. Přílohy důkazů: Veškeré důkazy jsou poskytnuty ve formátech akceptovatelných portálem NÚKIB
  5. Koordinace lhůt: MazeVault zajišťuje, že jeho lhůty pro hlášení umožňují zákazníkům dostatečný čas pro splnění jejich vlastních lhůt NÚKIB

6. Důkazní artefakty pro audity zákazníků

6.1 Dostupné compliance reporty

MazeVault poskytuje automatizované compliance reporty přes API endpointy:

Endpoint Framework Obsah
GET /compliance/iso27001 ISO/IEC 27001:2022 Stav implementace kontrol, mapování důkazů
GET /compliance/soc2 SOC 2 Type II Soulad s Trust Services Criteria
GET /compliance/pci-dss PCI DSS 4.0 Kontroly ochrany dat platebních karet
GET /compliance/gdpr GDPR Stav souladu s ochranou dat

6.2 Katalog důkazních artefaktů

Následující důkazní artefakty jsou dostupné na vyžádání zákazníka (s výhradou 30denního oznámení pro on-site audity):

Kategorie Artefakt Popis Dostupnost
Bezpečnostní testování Zpráva z penetračního testu Roční pen-test třetí stranou (executive summary) Ročně (Q4)
Bezpečnostní testování Výsledky skenování zranitelností Per-build skenování kontejnerů a závislostí Per-build (průběžně)
Bezpečnostní testování SBOM (CycloneDX) Software Bill of Materials Per-release
Řízení přístupu Matice oprávnění Kompletní mapování rolí a oprávnění RBAC Na vyžádání
Řízení přístupu Záznamy přezkoumání přístupu Výsledky periodického přezkoumání přístupu Čtvrtletně
Kryptografie Historie rotace klíčů Auditní stopa rotace šifrovacích klíčů Na vyžádání
Kryptografie HSM audit logy Záznamy operací Hardware Security Module Na vyžádání
Audit Exporty audit logů Chain-hashed záznamy s ověřením integrity Na vyžádání (365d retence)
Audit Ověření chain hashe Důkaz integrity logů (nepřerušený hash řetězec) Na vyžádání
Incidenty Historie incidentů Historické záznamy incidentů a jejich řešení Na vyžádání
Incidenty Logy oznámení Důkazy o včasných oznámeních zákazníkům Na vyžádání
Kontinuita Výsledky DR testů Výsledky cvičení obnovy po havárii Ročně
Kontinuita Ověření záloh Výsledky testů integrity a obnovy ze záloh Měsíčně
Soulad Dokumentace personální bezpečnosti Organizační HR politika a důkazy závazků Na vyžádání (od HR MazeVault s.r.o.)
Soulad Záznamy revize politik Důkaz ročního cyklu revize politik Ročně
Dodavatelský řetězec Hodnocení zpracovatelů Bezpečnostní hodnocení dodavatelů MazeVault Na vyžádání

6.3 Postup auditní spolupráce

  1. Žádost: Zákazník podá žádost o audit s 30denním kalendářním předstihem
  2. Rozsah: MazeVault a zákazník se dohodnou na rozsahu, časovém plánu a metodice auditu
  3. Provedení: Audit proveden (vzdáleně nebo on-site) se spoluprací MazeVault
  4. Dodání důkazů: Požadovaná dokumentace poskytnuta do 10 pracovních dnů
  5. Nález: MazeVault reaguje na nálezy s plánem nápravy do 15 pracovních dnů
  6. Následná kontrola: Ověření nápravy na vyžádání

7. Předpřipravené odpovědi na bezpečnostní dotazník

Následující část pokrývá nejčastější témata bezpečnostních dotazníků, se kterými se setkáváme při hodnoceních due diligence regulovanými bankovními zákazníky.

7.1 Ochrana dat a šifrování

Otázka Odpověď
Šifrujete data v klidu? Ano. Veškerá data v klidu jsou šifrována pomocí AES-256-GCM (NIST SP 800-38D, FIPS 197). Šifrování je povinné a nelze jej deaktivovat.
Jaký šifrovací algoritmus používáte? AES-256-GCM s 96-bit náhodným nonce a 128-bit autentizačním tagem. Odvození klíčů přes HKDF-SHA256.
Podporujete Hardware Security Modules (HSM)? Ano. Azure Key Vault, AWS CloudHSM, GCP Cloud KMS a PKCS#11-kompatibilní HSM. Podporovány zákazníkem spravované HSM klíče.
Kde jsou data uložena? Na infrastruktuře spravované zákazníkem. Možnosti: on-premise (datové centrum zákazníka), Azure EU regiony, nebo hybrid. Zákazník si zachovává plnou kontrolu nad rezidencí dat.
Jsou data šifrována při přenosu? Ano. TLS 1.2+ vynucen na všech spojeních. mTLS pro komunikaci agent-platforma. Neexistují žádné nešifrované komunikační cesty.
Podporujete zákazníkem spravované šifrovací klíče (CMEK)? Ano. Zákazníci mohou poskytnout vlastní šifrovací klíče přes HSM integraci. MazeVault nikdy nemá přístup k plaintextu zákaznických klíčů při konfigurovaném CMEK.

7.2 Řízení přístupu a autentizace

Otázka Odpověď
Jak řídíte přístup? Řízení přístupu na základě rolí (RBAC) s 8 systémovými rolemi a 50+ granulárními oprávněními. Izolace na úrovni projektů. Princip nejmenšího oprávnění vynucen ve výchozím nastavení (žádná oprávnění dokud nejsou explicitně přidělena).
Podporujete vícefaktorovou autentizaci (MFA)? Ano. MFA na bázi TOTP s konfigurovatelnými politikami vynucení. Může být vyžadována pro všechny uživatele nebo specifické role.
Podporujete Single Sign-On (SSO)? Ano. SAML 2.0 a OpenID Connect (OIDC) federace. Integrace s identity providerem zákazníka.
Jak jsou spravovány servisní účty? Dedikovaný typ servisního účtu s API key autentizací. Omezená oprávnění. Bez schopnosti interaktivního přihlášení. Konfigurovatelná expirace.
Provádíte přezkoumání přístupu? Ano. Čtvrtletní přezkoumání přístupu pro všechny privilegované účty. Automatizovaná detekce neaktivních účtů. Deprovisioning do 24 hodin od změny role.
Jak je řízena správa sessions? Sessions na bázi tokenů s konfigurovatelným vypršením. Automatické odhlášení při neaktivitě. Schopnost revokace session. Omezení souběžných sessions.

7.3 Audit a logování

Otázka Odpověď
Máte auditní logování? Ano. Komplexní chain-hashed auditní logování (SHA-256). Všechny bezpečnostně relevantní události zachyceny. Odolné proti manipulaci (jakákoli modifikace přeruší hash řetězec). SIEM-ready JSON formát.
Jaká je doba retence logů? 365 dní minimum. Konfigurovatelné dle požadavků zákazníka. Neměnitelné úložiště pro účely souladu.
Lze logy exportovat? Ano. JSON export s kryptografickým ověřením integrity. SIEM integrace přes syslog, webhook nebo API.
Jsou logy odolné proti manipulaci? Ano. Chain-hashing (každý záznam logu zahrnuje hash předchozího záznamu) zajišťuje okamžitou detekovatelnost jakékoli manipulace. Integritu může nezávisle ověřit zákazník.

7.4 Řízení zranitelností

Otázka Odpověď
Jak řešíte zranitelnosti? Průběžné automatizované skenování při každém buildu (Trivy, govulncheck, npm audit). SLA pro patching: Kritické ≤48h, Vysoké ≤7 dní, Střední ≤30 dní, Nízké ≤90 dní.
Provádíte penetrační testování? Ano. Roční penetrační testování kvalifikovanou třetí stranou. Poslední test: Q4 2025 — 0 Kritických nálezů, 0 Vysokých nálezů. Executive summary dostupné zákazníkům.
Máte SBOM? Ano. CycloneDX Software Bill of Materials generovaný při každém releasu. Dostupný zákazníkům na vyžádání.
Jak spravujete závislosti? Automatizované skenování závislostí v CI/CD. Dependabot/Renovate pro monitoring aktualizací. Zranitelné závislosti blokovány před nasazením.
Máte program pro zveřejnění zranitelností? Ano. Politika zodpovědného zveřejnění. Bezpečnostní kontakt: info@mazevault.com. 90denní koordinovaná lhůta pro zveřejnění.

7.5 Reakce na incidenty

Otázka Odpověď
Máte plán reakce na incidenty? Ano. Formální Plán reakce na incidenty (MV-LEG-007) s definovanými úrovněmi závažnosti (P1-P4), dobami odezvy, eskalačními postupy a komunikačními protokoly.
Jak rychle nás budete informovat o incidentu? Do 24 hodin od potvrzeného incidentu ovlivňujícího službu nebo data zákazníka. Předběžné oznámení do 4 hodin pro incidenty P1/P2.
Testujete svou reakci na incidenty? Ano. Roční tabletop cvičení. Post-incident review pro všechny P1/P2 incidenty. IRP aktualizován na základě poučení.
Jak jsou incidenty klasifikovány? 4-stupňová klasifikace závažnosti (P1-P4) na základě dopadu na důvěrnost, integritu a dostupnost. CVSS scoring pro incidenty související se zranitelnostmi.

7.6 Kontinuita činností a obnova po havárii

Otázka Odpověď
Máte BCP/DRP? Ano. Plán kontinuity činností a Plán obnovy po havárii (MV-LEG-008). Definované cíle RTO a RPO. Roční DR testování s dokumentovanými výsledky.
Jaká je vaše architektura pro odolnost? Multi-datacenter nasazení. Gateway failover (aktivní/pasivní). Replikace databáze. Automatizované zálohování a obnova. Žádný single point of failure pro kritické komponenty.
Jak často jsou prováděny zálohy? Denní plné zálohy PostgreSQL databáze. Zálohy transakčních logů každých 15 minut. Zálohy šifrovacích klíčů do sekundárního HSM. Denní zálohy konfigurace vault.
Jsou zálohy testovány? Ano. Měsíční testování obnovy ze zálohy. Výsledky dokumentovány a dostupné pro audit.

7.7 Bezpečnost sítě a infrastruktury

Otázka Odpověď
Jakého poskytovatele cloudu používáte? Microsoft Azure (primární). Kubernetes (AKS) pro orchestraci. Dostupná možnost on-premise nasazení zákazníkem.
Máte segregaci prostředí? Ano. Přísné oddělení: Vývoj, Staging, Produkce. Navíc NPR (neprodukční) a PRO (produkční) gateway prostředí. Žádné sdílení dat mezi prostředími.
Jak je řízen síťový přístup? Network Security Groups (NSG), pravidla firewallu, privátní endpointy. Žádná přímá internetová expozice backend služeb. Veškerý ingress přes load balancer s WAF.
Používáte kontejnery? Ano. Kontejnerizované mikroservisy na AKS. Kontejnerové obrazy skenovány při každém buildu (Trivy). Minimální base images. Bez root exekuce. Read-only file systémy kde je to možné.

7.8 Soulad a governance

Otázka Odpověď
Jaké compliance frameworky dodržujete? ISO/IEC 27001:2022 (harmonizováno), SOC 2 Type II (harmonizováno), PCI DSS 4.0 (relevantní kontroly), GDPR, NIS2/zákon č. 264/2025, DORA.
Máte CISO? Ano. Určený Chief Information Security Officer s přímým reportingem CEO. Zodpovědný za ISMS governance, řízení rizik a soulad.
Jak často jsou politiky revidovány? Ročně (minimum). Navíc při významných regulatorních změnách, bezpečnostních incidentech nebo organizačních změnách.
Máte bezpečnostní certifikace? Harmonizace s ISO/IEC 27001:2022 (formální certifikace v přípravě). Harmonizace se SOC 2 Type II. Roční hodnocení bezpečnosti třetí stranou.

7.9 Personální bezpečnost

Otázka Odpověď
Procházejí zaměstnanci bezpečnostním školením? Ano. Bezpečnostní instruktáž při nástupu. Role-specifické bezpečnostní vedení pro vývojáře (bezpečné kódování, OWASP Top 10). Školení je organizační proces MazeVault s.r.o.
Provádíte prověrky zaměstnanců? Ano. Ověření personálu s přístupem k produkčním systémům dle interní HR politiky MazeVault s.r.o.
Co se stane, když zaměstnanec odejde? Okamžitá revokace přístupu při ukončení. Vrácení veškerých firemních aktiv. Povinnosti NDA přetrvávají po ukončení. Exit pohovor zahrnuje bezpečnostní instruktáž.

7.10 Dodavatelský řetězec a třetí strany

Otázka Odpověď
Používáte zpracovatele? Ano. Omezená skupina zpracovatelů uvedená v seznamu zpracovatelů. 30denní předchozí oznámení změn. Právo zákazníka na námitku.
Jak hodnotíte své dodavatele? Třístupňová klasifikace (Kritický, Významný, Standardní). Bezpečnostní hodnocení úměrné stupni. Roční přehodnocení pro Kritické/Významné dodavatele. Smluvní bezpečnostní požadavky.
Máte exit/přechodové postupy? Ano. Zdokumentovaná exit strategie dle smlouvy. Minimální 6měsíční výpovědní lhůta. Vrácení dat ve standardních formátech. Potvrzení bezpečného výmazu. Podpora přechodu.

8. Přechodná ustanovení

8.1 Časový plán registrace

Dle přechodných ustanovení zákona č. 264/2025 Sb.:

Milník Lhůta Popis
Účinnost Zákona 1. listopadu 2025 Zákon nabývá účinnosti
Sebehodnocení subjektu Do 60 dní (do 31. prosince 2025) Regulované subjekty musí posoudit, zda spadají pod Zákon
Registrace u NÚKIB Do 60 dní od splnění kritérií Subjekty se registrují přes portál NÚKIB
Potvrzení registrace Variabilní (zpracování NÚKIB) NÚKIB potvrdí registraci a přiřadí režim povinností
Lhůta pro úplný soulad 1 rok od potvrzení registrace Subjekt musí plně splňovat všechny příslušné bezpečnostní kontroly
Povinnosti vůči dodavatelům Souběžně s lhůtou pro soulad subjektu Subjekty musí mít governance dodavatelů zavedenu do lhůty pro soulad

8.2 Důsledky pro MazeVault

  • Bankovní zákazníci, kteří se zaregistrovali do 31. prosince 2025, obdrželi potvrzení do Q1-Q2 2026
  • Úplný soulad (včetně governance dodavatelů) vyžadován do Q1-Q2 2027
  • MazeVault musí mít všechny smluvní nástroje (bezpečnostní příloha, DPA, SLA) připraveny pro lhůty souladu zákazníků
  • Aktuální stav: Veškerá dokumentace a důkazní artefakty souladu dostupné k květnu 2026

8.3 Průběžný monitoring regulatorního vývoje

MazeVault monitoruje:

  • Publikace a metodické pokyny NÚKIB
  • Novely prováděcích vyhlášek
  • Delegované akty Evropské komise dle NIS2
  • Pokyny a best practices ENISA
  • Dohledovou komunikaci České národní banky (ČNB) ohledně požadavků na dodavatele

9. Údržba souladu

9.1 Roční revize

Tento dokument a veškeré odkazované důkazy souladu BUDOU revidovány:

  • Ročně — komplexní přezkoumání regulatorní návaznosti, efektivity kontrol a přiměřenosti důkazů
  • Při regulatorních změnách — při publikaci nových prováděcích vyhlášek, novel nebo pokynů NÚKIB
  • Při významných organizačních změnách — fúze, akvizice, nové produktové řady nebo vstup na trh
  • Po významných incidentech — když incident odhalí mezery v postoji souladu

9.2 Odpovědnosti

Role Odpovědnost
CISO Celkový dohled nad souladem, vlastnictví dokumentu, regulatorní monitoring
Právní poradce Regulatorní interpretace, smluvní soulad, hodnocení rizika sankcí
Vedoucí engineeringu Implementace technických kontrol, generování důkazů, bezpečnostní architektura
Customer Success Komunikace se zákazníky, koordinace auditů, správa dotazníků
CEO/Představenstvo Schvalovací autorita, alokace zdrojů, strategická rozhodnutí o souladu

9.3 Průběžné zlepšování

MazeVault udržuje cyklus zlepšování souladu:

  1. Monitor — Sledovat regulatorní změny, auditní nálezy a zpětnou vazbu zákazníků
  2. Posoudit — Vyhodnotit dopad na aktuální stav souladu
  3. Plánovat — Vytvořit plány nápravy nebo vylepšení
  4. Implementovat — Provést technické a procesní změny
  5. Ověřit — Potvrdit efektivitu prostřednictvím testování a auditu
  6. Dokumentovat — Aktualizovat důkazní artefakty a toto mapování souladu

10. Související dokumenty

ID dokumentu Název Relevance
MV-LEG-001 Politika informační bezpečnosti Vrcholový ISMS dokument, celkový bezpečnostní rámec
MV-LEG-002 Politika řízení rizik Metodika hodnocení rizik a governance
MV-LEG-003 Politika řízení přístupu Autentizace, autorizace, RBAC
MV-LEG-004 Kryptografická politika Šifrovací standardy, správa klíčů
MV-LEG-005 Politika klasifikace a retence dat Nakládání s daty, klasifikace, retence
MV-LEG-007 Plán reakce na incidenty Detekce, reakce, obnova
MV-LEG-008 Kontinuita činností a obnova po havárii Provozní odolnost, DR postupy
MV-LEG-009 Politika logování a monitoringu Auditní logování, monitoring, detekce
MV-LEG-010 Politika řízení zranitelností a záplat Řešení zranitelností, SLA patchování
MV-LEG-011 Politika řízení rizik třetích stran Governance dodavatelského řetězce, zpracovatelé
MV-LEG-021 Mapování souladu s DORA Soulad s nařízením o digitální provozní odolnosti

Řízení dokumentu

Verze Datum Autor Změny
1.0.0 2026-05-01 CISO Počáteční vydání

Tento dokument je řízen. Autoritativní verze je udržována v repozitáři dokumentace MazeVault. Tištěné kopie jsou neřízené.