Jak vytvořit registr aktiv pro NIS2

Datum poslední aktualizace: 14. 06. 2026

Rozlišujte primární a sekundární aktiva

Pro účely NIS2 (Zákona o kybernetické bezpečnosti) a ISO 27001 je aktivum definováno jako cokoli, co má pro organizaci hodnotu. Zahrnuje to data, informace, software, hardware, personál, budovy i služby. V podstatě jde o cokoli, co lze napadnout, zničit nebo přerušit, což by vedlo ke ztrátě dat nebo ochromení fungování firmy. Pro efektivní analýzu rizik je však kritické striktně rozlišovat primární a podpůrná aktiva. Kompletní registr aktiv se tedy skládá z více evidencí.

  • Primární aktiva vyjadřují, CO firmu živí a co chráníme (hodnota a dopad).
  • Podpůrná aktiva vyjadřují, PŘES CO to běží (technologie a zranitelnosti).

Primární aktiva

Jsou to klíčové firemní procesy  informace a data. Nemají technickou povahu, ale byznysovou hodnotu.

  • Informace a data: Osobní údaje (GDPR), know-how, účetní data, klientská databáze, zdrojové kódy.
  • Procesy a služby: Výroba, distribuce zboží, poskytování klientského servisu, online prodej.

Podpůrná aktiva

Veškerá infrastruktura, lidé a technické prostředky, na kterých závisí fungování primárních aktiv. Zde vznikají technické hrozby.

  • Hardware: Servery, síťové prvky, počítače, firemní notebooky, telefony.
  • Software a systémy: Operační systémy, podnikové aplikace (ERP, CRM), databázové platformy.
  • Sítě: Internetové připojení, vnitřní LAN, VPN, cloudová infrastruktura.
  • Lidé: Zaměstnanci, externí IT správci, klíčoví dodavatelé.
  • Místa a objekty: Serverovny, budovy centrály, pobočky, domovské kanceláře (home office).

1. Identifikujte primární aktiva 

Primární aktiva stojí na vrcholu pomyslné pyramidy. Jsou to tedy data, informace, služby nebo procesy, které když nemáte nebo nefungují, tak vaše organizace také nemůže fungovat, nemůže plnit své poslání. Jsou to tedy zásadní pro fungování vaší organizace:

Primární aktiva jsou pro vás kritická

  • Pomozte si větou "když o ně přijdeme nebo je někdo zneužije, máme velký problém"
  • Soustřeďte na aktiva bez kterých prostě „nebudete fungovat“
  • Soustřeďte se na to, co způsobí přerušení nebo výpadky provozu, výroby nebo poskytováním služeb zákazníkům, nebo způsobí velké finanční ztráty nebo pokuty

Jak primární aktiva identifikovat?

Pomozte si nehodami, incidenty a problémy, které se u vás staly nebo se dokonce dějí opakovaně. Jsou to nejrůznější nehody a jiné incidenty. Je u nich vyšší pravděpodobnost, že se stanou znovu. U nich také snadněji provedete hodnocení. Položte si otázky tohoto typu:

  • Jaké systémy, služby, procesy nebo stroje se nesmí zastavit?
  • Jaké technologie nesmí vypadnout?
  • Který majetek je pro nás nenahraditelný?
  • Jaká data jsou pro nás nenahraditelná?

Jak zadat primární aktiva?

  1. Otevřete evidenci Primárná aktiva a postupně do ní zadejte vaše kritická aktiva
  2. D pole „Popis aktiva“ zadejte podle potřeby podrobnější popis nebo komentář
Jak zadat primární aktiva

2. Identifikujte podpůrná aktiva

Podpůrná aktiva zajišťují funkčnost respektive dostupnost primárních aktiv. Každé primární aktivum je závislé na jednom nebo více podpůrných aktivech, a tedy k provedení analýzy potřebujete tyto závislosti sledovat. Podpůrná aktiva jsou typicky tato:

  • Další data a informace
  • IT služby
  • Služby infrastruktury (např. dodávka elektřiny)
  • Hardware -  Výpočetní technika, sítě, a další IT technika
  • Média a nosiče data 
  • Zaměstnanci
  • Prostory a objekty

Jak postupovat při zadávání podpůrných aktiv?

Sepište co vám musí fungovat, abyste mohli vyrábět nebo poskytovat služby.

  1. Vytvořte seznam vašeho dalšího software a aplikací, které jsou nutné pro provoz
  2. Vytvořte seznam serverů a úložišť dat, která provozujete
  3. Vytvořte popis vaší sítě 
  4. Vytvořte seznam vašich místností a objektů fyzické infrastruktury
  5. Vytvořte seznam IT vybavení a zařízení, která mohou být napadnuta, ukradena nebo ztracena
  6. Vytvořte seznam služeb, které nakupujete
řetězení podpůrných aktiv NIS2

Provádějte pravidelné aktualizace registrů aktiv

  • Jednorázové vytvoření výše uvedených seznamů nestačí
  • Pravidelné prověřování stavu zajistí, že údaje budou aktuální