NIS2 v Excelu, nebo na GRC platformě? | Quantifier.ai
Porovnejte správu NIS2 v Excelu a na GRC platformě. Zjistěte, kdy tabulka stačí a kdy automatizace šetří čas, snižuje rizika a usnadňuje audit.
NIS2 v Excelu, nebo na GRC platformě? Praktické srovnání
Směrnice NIS2 už v Česku není tématem „na příští rok“. Od 1. listopadu 2025 je účinný nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který zavádí požadavky NIS2 do českého právního řádu. Okruh regulovaných organizací se výrazně rozšířil, sankce mohou být citelné a vrcholové vedení nese odpovědnost za dohled nad plněním povinností.
Proto většina firem sáhne po první dostupné pomůcce: Excelu. Seznam požadavků, sloupec se stavem, podklady ve složkách a připomínky zasílané e-mailem.
Zpočátku to funguje. Alespoň na první pohled.
Potíže přicházejí později, když se seznam požadavků promění v živý proces. Je třeba určit odpovědné osoby, shromažďovat podklady, hodnotit dodavatele, reportovat vedení a být připraven na incident, který nepočká, až někdo najde správný dokument ve složce s názvem „final_final_v3“.
V tomto článku porovnáváme dva přístupy k řízení NIS2: samostatnou správu v Excelu, e-mailech a složkách a řízení prostřednictvím GRC platformy, jako je Quantifier.ai.
Cílem není tvrdit, že je Excel špatný nástroj. Pro začátek je velmi užitečný. Háček spočívá v tom, že u NIS2 je právě začátek tou nejjednodušší částí.
Proč se NIS2 obtížně řídí ručně
Na papíře může NIS2 působit jako seznam povinností. V praxi jde o síť procesů, lidí, dokumentů, termínů a podkladů prokazujících soulad. U organizací působících ve více členských státech se tato síť dále rozšiřuje.
Článek 21 směrnice vyžaduje přijetí přiměřených a odpovídajících technických, provozních a organizačních opatření v oblastech, jako jsou řízení rizik, zvládání incidentů, kontinuita podnikání, bezpečnost dodavatelského řetězce, řízení přístupů, vícefaktorové ověřování, šifrování nebo hodnocení účinnosti bezpečnostních opatření.
Nejde tedy o jednu směrnici nebo politiku, kterou lze jednou odškrtnout. Jde o systém, který je nutné průběžně udržovat a jehož fungování musí být organizace schopna doložit.
K tomu se přidávají krátké lhůty pro hlášení významných incidentů: včasné varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečná zpráva zpravidla do jednoho měsíce. Jakmile incident probíhá, nelze ztracený čas jednoduše „dohnat v Excelu“.
Ruční přístup začíná selhávat ve chvíli, kdy je do procesu zapojeno více lidí. U NIS2 jich přitom obvykle bývá celá řada: IT, kybernetická bezpečnost, vedení společnosti, compliance, právní oddělení, nákup, vlastníci systémů a procesů nebo dodavatelé.
Každý drží jinou část skládačky. Někdo má bezpečnostní politiku, někdo systémové logy, někdo zná konkrétního dodavatele a někdo jiný má pocit, že „ten postup už někdy někde viděl“.
Právě zde začíná skutečná práce.
Kdy Excel stačí a kdy začíná být přítěží
Excel dává smysl ve fázi prvotního zjišťování a analýzy.
Pokud organizace teprve ověřuje, zda spadá do působnosti NIS2, vytváří první mapu požadavků nebo pořádá úvodní workshop, může být tabulka dobrým pracovním náčrtem.
Problém nastává ve chvíli, kdy se tento náčrt začne používat jako plnohodnotný systém pro řízení compliance.
Excel přestává stačit, jakmile organizace řeší:
- více vlastníků jednotlivých požadavků,
- velké množství průběžně aktualizovaných stavů,
- podklady uložené na různých místech,
- opakované úkoly a pravidelné kontroly,
- hodnocení dodavatelů,
- reporting pro vedení,
- požadavky interního nebo externího auditu,
- incidenty vyžadující rychlou eskalaci,
- vazby na další standardy a regulace, například ISO 27001, DORA, SOC 2 nebo NIST.
V takové situaci už tabulka není jednoduchou pomůckou. Stává se dalším systémem, který musí někdo ručně udržovat při životě.
U NIS2 přitom nebývá nejdražší vytvoření první tabulky. Nejdražší je její dlouhodobá aktualizace, koordinace lidí a ověřování, zda skutečně odpovídá aktuálnímu stavu organizace.
Excel versus GRC platforma: kde se ztrácí nejvíce času
Největším nákladem ručního přístupu není samotné vyplňování tabulky. Je jím koordinace, opakované připomínání, dohledávání dokumentů, kontrola jejich verzí a ruční sestavování reportů.
Následující tabulka ukazuje praktické rozdíly mezi oběma modely.
Excel zobrazuje seznam. GRC platforma řídí proces.
To je základní rozdíl, který rozhoduje o tom, zda lze compliance dlouhodobě udržovat, nebo zda organizace pouze jednorázově vytvoří dokumentaci, která začne postupně zastarávat.
NIS2 a princip kontinuální compliance
Jednou z nejčastějších chyb je vnímat NIS2 jako projekt, který lze uzavřít: provést analýzu, připravit dokumenty, označit požadavky jako splněné a vrátit se k nim až za rok.
NIS2 se však týká oblastí, které se neustále mění. Patří mezi ně informační systémy, dodavatelé, zranitelnosti, incidenty, interní procesy, odpovědné osoby nebo identifikovaná rizika.
Proto dává větší smysl model kontinuální compliance, tedy průběžné udržování souladu jako fungujícího systému, nikoli jako jednorázové kampaně.
V tomto modelu se organizace neptá jednou ročně: „Jsme v souladu s NIS2?“
Pravidelně místo toho sleduje:
- které kontroly skutečně fungují,
- zda jsou podklady aktuální,
- která rizika se zvýšila,
- které dodavatele je třeba znovu prověřit,
- zda má vedení aktuální přehled,
- zda lze postup pro řešení incidentu okamžitě použít.
Právě tento průběžný přehled běžná tabulka neposkytuje. Proto je v praxi potřeba řízený systém, nikoli pouze seznam buněk.
Vrstva AI: co skutečně omezuje administrativní rutinu
V GRC platformě lze část provozní zátěže přesunout na vrstvu umělé inteligence. V Quantifier.ai tuto roli plní AI Officer, asistent propojující požadavky regulace, interní dokumentaci a každodenní práci jednotlivých týmů.
AI Officer nenahrazuje compliance manažera, CISO ani vlastníka rizika. Předat odpovědnost za kybernetickou bezpečnost algoritmu by byl rozumný nápad snad jen v katastrofickém filmu.
Může však podporovat:
- analýzu regulatorních požadavků,
- převod požadavků na konkrétní úkoly,
- identifikaci mezer v dokumentaci,
- navrhování odpovědných osob,
- hodnocení rizik dodavatelů,
- přípravu souhrnů pro vedení.
Namísto otázky „Kdo to měl vlastně doplnit?“ vidí tým na jednom místě, co je požadováno, kdo za daný úkol odpovídá, jaký je jeho stav, co chybí a které otázky vyžadují rozhodnutí.
NIS2 se tak mění z ručně spravovaného checklistu na řízený proces.
Co Excel nezvládá při působení ve více zemích
Právě zde končí teorie a začíná složitější realita.
NIS2 je jedna evropská směrnice, ale v jednotlivých zemích se uplatňuje prostřednictvím vnitrostátních zákonů, které mohou stanovovat vlastní registrační povinnosti, konkrétní postupy, termíny a příslušné dozorové orgány.
Organizace působící v několika členských státech proto musí současně sledovat různé národní požadavky a přitom dodržovat krátké lhůty pro hlášení incidentů.
To je velké množství pohyblivých částí, které je obtížné dlouhodobě řídit pouze pomocí buněk v tabulce.
Sankční rámec NIS2 patří mezi nejpřísnější v oblasti evropské kybernetické regulace. Pro základní subjekty směrnice stanovuje maximální pokuty nejméně 10 milionů eur nebo 2 % celkového celosvětového ročního obratu. Pro důležité subjekty jde o nejméně 7 milionů eur nebo 1,4 % obratu, podle toho, která hodnota je vyšší.
K tomu se přidává odpovědnost vedení za schvalování bezpečnostních opatření a dohled nad jejich zavedením. Konkrétní rozsah odpovědnosti se následně řídí příslušnou národní legislativou.
Excel vás sám od sebe neupozorní na blížící se národní registrační lhůtu. Nevytvoří automaticky auditní stopu, kterou můžete potřebovat při kontrole. Neprokáže, kdo konkrétní opatření schválil, kdy se tak stalo a z jakých podkladů dané rozhodnutí vycházelo.
Otázka proto nezní pouze: „Lze to spravovat v Excelu?“
Důležitější je: „Jak dlouho lze tento proces udržet bez chaosu a obstojí před auditorem nebo dozorovým orgánem?“
Existuje zde také významný prostor pro zvýšení efektivity. NIS2 a DORA se v řadě oblastí překrývají, například v řízení ICT rizik, bezpečnosti dodavatelů, kontinuitě provozu nebo hlášení incidentů.
Jedna společná základna kontrol a podkladů může sloužit více regulatorním rámcům. Paralelní tabulky naopak násobí množství práce a zvyšují riziko konfliktů mezi jednotlivými verzemi dokumentace.
Excel, nebo GRC platforma? Stručná odpověď
Excel pomáhá v počáteční fázi. Je vhodný pro první analýzu, mapování povinností nebo menší počet systémů a odpovědných osob.
GRC platforma pomáhá udržovat soulad dlouhodobě. Je vhodná ve chvíli, kdy jsou do procesu zapojeni různí vlastníci, je třeba shromažďovat podklady, hodnotit dodavatele, reportovat vedení, udržovat auditní stopu a sledovat pevně stanovené termíny.
Čím více lidí, systémů a podkladů proces zahrnuje, tím rychleji se investice do platformy vrací.
Ne proto, že platforma vypadá lépe než tabulka, ale proto, že umožňuje řídit odpovědnosti a průběžně udržovat celý proces.
Jak Quantifier.ai pomáhá přejít od Excelu ke kontinuální compliance
Quantifier.ai pomáhá organizacím přejít od ručního řízení compliance k modelu kontinuálního souladu.
Platforma nabízí:
- připravené regulatorní rámce a mapování kontrol,
- AI Officera podporujícího analýzu mezer,
- přiřazování úkolů konkrétním vlastníkům,
- workflow pro kontroly a schvalování,
- centrální úložiště podkladů,
- dashboardy stavu compliance a rizik,
- řízení dodavatelů,
- podporu procesů řešení incidentů,
- křížové mapování NIS2 s ISO 27001, DORA a SOC 2.
NIS2 tak přestává být samostatnou tabulkou, kterou udržuje jeden člověk.
Stává se procesem, do něhož má přehled celá organizace a který lze obhájit při auditu nebo kontrole dozorového orgánu.
Podívejte se, jak Quantifier.ai převádí požadavky NIS2 do fungujícího procesu → domluvte si demo.
Často kladené otázky
Lze NIS2 zavést vlastními silami v Excelu?
Ano, zejména v počáteční fázi. Excel může pomoci s mapováním požadavků, vytvořením prvního checklistu a určením odpovědných osob.
Problém nastává ve chvíli, kdy je třeba soulad dlouhodobě udržovat, shromažďovat podklady, reportovat aktuální stav, hodnotit dodavatele a vytvářet auditní stopu očekávanou dozorovými orgány.
Kdy by měla organizace přejít z Excelu na GRC platformu?
Ve chvíli, kdy je do procesu zapojeno více oddělení, reporting vedení se stává pravidelnou povinností a organizace musí průběžně shromažďovat podklady, sledovat dodavatele, řešit incidenty v krátkých lhůtách a udržovat aktuální stav compliance.
Nahrazuje AI Officer compliance manažera?
Ne. AI Officer podporuje tým automatizací opakovaných úkolů, analýzou mezer, organizací podkladů a přípravou reportů.
Odpovědnost za rozhodnutí a plnění povinností zůstává na organizaci a jejím vedení.
Které procesy NIS2 lze automatizovat?
Automatizovat lze například mapování požadavků, přiřazování úkolů, shromažďování podkladů, kontroly bezpečnostních opatření, hodnocení dodavatelů, reporting stavu, workflow pro řešení incidentů nebo přípravu na audit.
Pomáhá platforma pro NIS2 také s dalšími regulacemi a standardy?
Ano, pokud podporuje křížové mapování požadavků.
Řada opatření NIS2 se překrývá s ISO 27001, DORA, SOC 2 nebo NIST. Jedna sada kontrol a podkladů tak může být využita pro více regulatorních rámců současně.
Jaké sankce hrozí za nedodržení NIS2?
Pro základní subjekty směrnice stanovuje pokuty až do výše 10 milionů eur nebo 2 % celkového celosvětového ročního obratu.
Pro důležité subjekty mohou pokuty dosáhnout 7 milionů eur nebo 1,4 % obratu. Použije se vždy vyšší z těchto hodnot. Konkrétní uplatnění sankcí závisí na příslušné vnitrostátní legislativě.