Kybernetický audit přestal být záležitostí pouze velkých korporací nebo státních institucí. S novou legislativou se tisíce firem ocitly pod regulací a potřebují vědět, zda jejich bezpečnostní opatření skutečně fungují. Právě to je práce auditora kybernetické bezpečnosti - odborníka, jehož role nabývá na důležitosti rychleji, než stačí trh reagovat.
Zkráceně: prověřuje, jestli firma se svými daty, systémy a procesy nakládá bezpečně — a jestli to dokáže doložit.
Konkrétně to znamená, že auditor posuzuje stav bezpečnostních opatření organizace, hodnotí, zda odpovídají platným standardům a legislativním požadavkům, a identifikuje místa, kde existují slabiny nebo mezery. Výsledkem jeho práce není jen seznam problémů — ale zejména zpráva s konkrétními zjištěními, doporučeními a podklady pro management i případné regulátory.
Audit kybernetické bezpečnosti se od běžné interní kontroly liší v několika zásadních věcech.
Auditor musí být nezávislý — to znamená, že nesmí auditovat systémy nebo procesy, za které sám odpovídá.
Musí postupovat podle definované metodiky, pracovat s důkazy a dokumentovat každý krok. A musí být schopen výsledky srozumitelně obhájit — před vedením firmy, před regulátorem, případně i před externím certifikačním orgánem.
Právě tato kombinace odbornosti, systematičnosti a nezávislosti dělá z auditora klíčovou figuru v celém systému řízení kybernetické bezpečnosti.
Typický průběh auditu krok za krokem
Audit kybernetické bezpečnosti se zpravidla skládá z několika fází:
Auditor si ujasní rozsah auditu, cíle, dostupné zdroje a harmonogram
Zahrnuje analýzu dokumentace, rozhovory s odpovědnými osobami, technické testy i pozorování reálného provozu
Auditor porovnává zjištěný stav s požadovaným standardem (legislativní požadavky, interní politiky, normy jako ISO 27001)
Přehledný dokument se zjištěními, hodnocením závažnosti neshod a doporučeními k nápravě
Ověření, zda organizace přijatá opatření skutečně zavedla
Celý proces může trvat od několika dní u menší organizace až po týdny u komplexnějšího prostředí.
V srpnu 2025 byl ve Sbírce zákonů vyhlášen nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.), který nabyl účinnosti 1. listopadu 2025. Jde o úplnou rekodifikaci dosavadní právní úpravy — ne o dílčí novelu, ale o nový zákon, který transponuje evropskou směrnici NIS2 a zásadně mění pravidla hry pro velkou část českých firem.
Co to v praxi znamená?
Organizace, na které zákon dopadá, jsou povinny zavést bezpečnostní opatření odpovídající jejich zařazení do vyššího nebo nižšího režimu regulace, registrovat se u NÚKIB a hlásit kybernetické incidenty. Na zavedení opatření mají zpravidla jeden rok od doručení rozhodnutí o registraci.
A právě tady vstupuje na scénu auditor. Firmy potřebují vědět, kde aktuálně stojí, co jim chybí a jak to napravit. Interní týmy na to často nemají kapacitu ani potřebný odstup. Auditor přináší pohled zvenčí — nebo z pozice interního specialisty s jasně vymezenou rolí.
Rozšíření regulace: koho se to týká
Nová právní úprava výrazně rozšiřuje okruh regulovaných subjektů oproti dosavadnímu stavu. Regulace se nově nevztahuje jen na poskytovatele kritické infrastruktury nebo velké technologické firmy. Dopadá i na řadu středně velkých organizací z odvětví jako výroba, zdravotnictví, doprava, veřejná správa, digitální infrastruktura nebo potravinářství.
Rozhodujícím kritériem je kombinace odvětví a velikosti organizace — ne právní forma ani vlastnická struktura. To znamená, že firmy, které se dosud regulace netýkala, se nově mohou ocitnout pod povinnostmi, na které nejsou připraveny. A potřeba auditora — ať interního, nebo externího — roste přímo úměrně s tím, jak regulace expanduje.
Auditor kybernetické bezpečnosti nestojí pouze na technických znalostech, i když ty tvoří nezbytný základ. Dobrý auditor rozumí legislativě — zná zákon o kybernetické bezpečnosti, orientuje se v GDPR a v relevantních standardech jako ISO 27001 nebo COBIT. Zároveň musí ovládat auditní metodiky a umět pracovat s důkazy způsobem, který obstojí i při případném externím přezkumu.
Klíčové oblasti, ve kterých se auditor musí orientovat:
Vedle odborných znalostí jsou neméně důležité dovednosti „měkčí" povahy: schopnost vést strukturované rozhovory, písemně komunikovat zjištění srozumitelně pro různé publikum a prezentovat výsledky managementu, který nemusí být technicky zdatný.
Role auditora kybernetické bezpečnosti se vyskytuje v různých kontextech. Nejčastější jsou tyto tři:
Interní auditor působí přímo v organizaci jako součást týmu kybernetické bezpečnosti, compliance nebo interního auditu. Vykonává pravidelné audity interních procesů a systémů, sleduje plnění bezpečnostních politik a připravuje podklady pro vedení. Jeho výhodou je hluboká znalost prostředí — nevýhodou může být riziko ztráty nezávislosti.
Externí auditor nebo konzultant přichází z poradenské firmy nebo jako freelancer. Firmy ho angažují jednorázově nebo opakovaně na specifické audity — například před certifikací, po bezpečnostním incidentu nebo jako součást plnění zákonných povinností.
Auditor v regulovaném prostředí pracuje pro státní orgány, regulátory nebo orgány dohledu. Tato role klade zvláštní důraz na znalost legislativy a schopnost posuzovat soulad organizací s právními požadavky.
Cesta k roli auditora kybernetické bezpečnosti zpravidla vede přes kombinaci praxe v IT nebo bezpečnosti a formálního vzdělání nebo certifikace. Není to pozice pro začátečníky bez zkušeností — naopak, předpokládá se orientace v bezpečnostních procesech, znalost standardů a schopnost pracovat metodicky.
Pro odborníky, kteří chtějí svou kvalifikaci doložit formálně a důvěryhodně — vůči zaměstnavateli, klientům i regulátorovi — jde o přirozenou volbu.
| Název | Kód | Jazyk | Délka | Forma | Termín konání | Cena |
|---|---|---|---|---|---|---|
| Zkouška profesní kvalifikace: Auditor kybernetické bezpečnosti |
PU26010033-0001
|
|
1 den
|
učebna
Kurz probíhá prezenčně v učebně s lektorem.
učebna
|
otevřený termín | 14 900 Kč |
| Zkouška profesní kvalifikace: Auditor kybernetické bezpečnosti |
PU26010033-0002
|
|
1 den
|
učebna
Kurz probíhá prezenčně v učebně s lektorem.
učebna
|
30. 6. 2026 09:00 | 14 900 Kč |
Pumpedu je autorizovaným pracovištěm NÚKIB a nabízí kurzy v oblasti kybernetické bezpečnosti i profesní zkoušku Auditora kybernetické bezpečnosti v rámci Národní soustavy kvalifikací.
| Název | Kód | Jazyk | Délka | Forma | Termín konání | Cena |
|---|---|---|---|---|---|---|
| Auditor kybernetické bezpečnosti |
PU24010055-0001
|
|
2 dny
|
virtuální učebna
Kurz probíhá online přes počítač a ve stanoveném termínu, lektor je připojen vzdáleně.
virtuální učebna
|
otevřený termín | 22 000 Kč |
| PECB ISO/IEC 27001 Management bezpečnost informací – Lead Auditor |
PU23240103-0003
|
|
4 dny
|
virtuální učebna
Kurz probíhá online přes počítač a ve stanoveném termínu, lektor je připojen vzdáleně.
virtuální učebna
|
otevřený termín | 39 770 Kč |
| Analýza rizik NIS2: Kybernetická bezpečnost v praxi |
PU25010027-0001
|
|
1 den
|
učebna
Kurz probíhá prezenčně v učebně s lektorem.
učebna
|
otevřený termín | 6 900 Kč |
| PECB ISO/IEC 27005 Management rizik bezpečnosti informací - Foundation |
PU23240117-0001
|
|
2 dny
|
virtuální učebna
Kurz probíhá online přes počítač a ve stanoveném termínu, lektor je připojen vzdáleně.
virtuální učebna
|
otevřený termín | 16 770 Kč |
Auditor kybernetické bezpečnosti plánuje a provádí audity bezpečnostních procesů, systémů a opatření v organizaci. Hodnotí jejich soulad s legislativou a standardy, identifikuje slabiny a zpracovává zprávy s doporučeními pro management.
Firmy pod novou českou legislativou (zákon č. 264/2025 Sb., účinný od listopadu 2025) musí prokázat, že zavedly odpovídající bezpečnostní opatření. Auditor poskytuje nezávislé posouzení toho, zda firma skutečně splňuje, co splňovat má — a kde jsou ještě mezery.
Jaké vzdělání nebo certifikace auditor kybernetické bezpečnosti potřebuje?
Neexistuje jedna povinná cesta. V praxi se kombinuje technická nebo bezpečnostní praxe se znalostí auditních metodik a standardů. V Česku je k dispozici profesní kvalifikace Auditora kybernetické bezpečnosti v rámci NSK, autorizovaná NÚKIB — jde o státem uznávané osvědčení na úrovni 7.
Koho se nový zákon o kybernetické bezpečnosti týká?
Zákon se vztahuje na organizace z řady odvětví — zdravotnictví, doprava, výroba, digitální infrastruktura, veřejná správa a další. Klíčovými kritérii jsou odvětví a velikost organizace. Mnoho firem, na které se regulace dříve nevztahovala, se nově ocitlo pod povinnostmi ze zákona.
Interní auditor je zaměstnanec organizace, který provádí průběžné audity zevnitř. Zná dobře prostředí, ale musí si zachovat nezávislost na procesech, které audituje. Externí auditor přichází zvenčí — nejčastěji jako konzultant nebo při specifickém auditu — a přináší nezávislý pohled bez vazby na interní struktury.
