Kybernetická bezpečnost · NIS2 · Pentesty

Kybernetická bezpečnost
bez paniky.

NIS2 compliance, penetrační testy, bezpečnostní audit a incident response pro české firmy. Praktické výstupy, certifikovaní inženýři a dlouhodobé partnerství — ne jen papíry do šuplíku.

Bezplatná NIS2 gap analýza Prohlédnout služby
  • Direktiva NIS2 · Zákon 181/2014
  • ISO/IEC 27001, NIST CSF, CIS Benchmarks
  • OWASP Top 10, MITRE ATT&CK
Co umíme

Kompletní portfolio kybernetické bezpečnosti

Od jednorázového penetračního testu až po dlouhodobé řízení bezpečnosti. Pracujeme s reálnými hrozbami podle MITRE ATT&CK a standardů NIST CSF a ISO/IEC 27001.

NIS2 compliance

Gap analýza vůči direktivě 2022/2555 a Kybernetickému zákonu 181/2014. Implementace technických a organizačních opatření, dokumentace, roadmap k plnému souladu.

  • Gap analýza
  • Dokumentace
  • Audit readiness

Penetrační testy

Web aplikace (OWASP Top 10, ASVS), mobilní aplikace (MASVS), interní a externí sítě, sociální inženýrství a cílené phishing kampaně. Vždy s fix price po scopingu.

  • Burp Suite
  • Metasploit
  • Nmap

Bezpečnostní audit

ISO/IEC 27001:2022 příprava, GDPR audit zpracování osobních údajů, posouzení bezpečnostní postury Microsoft 365 a Microsoft Azure včetně identit.

  • ISO 27001
  • GDPR
  • M365 / Azure

Incident response

Reakce na ransomware, data breach a pokročilé útoky. Forenzní analýza, izolace, obnova provozu, komunikace s NÚKIB, ÚOOÚ a pojišťovnou.

  • Forensics
  • Ransomware
  • Koordinace

Vulnerability management

Pravidelné skenování (Nessus, OpenVAS), průběžné sledování nových CVE, prioritizace podle CVSS a obchodního dopadu, podpora patch managementu.

  • Nessus
  • CVE watch
  • Patch mgmt

Security awareness training

Školení zaměstnanců proti phishingu, BEC útokům a sociálnímu inženýrství. Simulované phishing kampaně s měřením odolnosti a opakovaným tréninkem.

  • Phishing drills
  • E-learning
  • Reporting

Secure code review

SAST a DAST audit kódu, manuální review kritických míst, threat modeling a revize bezpečnostních patternů v autentizaci, autorizaci a práci s daty.

  • SAST
  • DAST
  • Threat model

Red teaming

Komplexní simulace cíleného útoku podle MITRE ATT&CK. Kombinuje technické pronikání, sociální inženýrství i fyzický přístup. Otestuje lidi, procesy i technologie.

  • MITRE ATT&CK
  • Full-scope
  • TTP reálných útočníků
Klíčové téma 2026

NIS2 pro vaši firmu

Direktiva Evropského parlamentu 2022/2555 (NIS2) je v České republice implementována novelou zákona č. 181/2014 Sb. (Kybernetický zákon). Od roku 2024 platí povinnosti, ke kterým se firmy postupně přizpůsobují v letech 2026–2027. Dotkne se odhadem přes 6 000 českých subjektů napříč 18 regulovanými sektory.

Nejde jen o administrativu. NIS2 vyžaduje skutečná technická opatření — řízení přístupů, šifrování, zálohování, monitoring a schopnost reagovat na incidenty. Za neplnění hrozí pokuty až 10 mil. EUR nebo 2 % ročního obratu (vyšší z obou) a osobní odpovědnost statutárů.

Chci zdarma ověřit dopad NIS2

Co je NIS2?

Evropská direktiva rozšiřující regulaci kybernetické bezpečnosti na širokou škálu důležitých a esenciálních subjektů. Navazuje na NIS1, zpřísňuje požadavky a rozšiřuje záběr o nové sektory — zdravotnictví, výrobu potravin, ICT poskytovatele, veřejnou správu i odpadové hospodářství.

Koho se týká?

Středních a velkých subjektů (50+ zaměstnanců nebo obrat nad 10 mil. EUR) v regulovaných sektorech. Pro některé obory (DNS, registry, cloud, poskytovatelé digitálních služeb) platí bez ohledu na velikost. Dotkne se i dodavatelů regulovaných firem — přes tzv. supply chain requirements.

Co musíte udělat?

  • Registrovat se u NÚKIB a určit odpovědné osoby
  • Zavést systém řízení rizik a bezpečnostní politiky
  • Implementovat technická opatření (MFA, šifrování, zálohy, monitoring)
  • Mít proces pro hlášení incidentů do 24 / 72 hodin
  • Školit zaměstnance a prověřit dodavatelský řetězec

Jak pomůžeme?

Začneme gap analýzou — kde stojíte dnes versus co NIS2 požaduje. Následuje roadmap s prioritami, implementace technických opatření a příprava dokumentace (politiky, postupy, evidence). Volitelně převezmeme i roli outsourcovaného bezpečnostního konzultanta v režimu retaineru.

Proč Reactive Bezpečnost

Čtyři důvody, proč s námi pracovat

Nejsme poradenská továrna. Jsme tým inženýrů, který staví bezpečnost tak, aby fungovala v reálném provozu — ne jen v auditním reportu.

01

Certifikovaní inženýři

OSCP, CEH, ISO 27001 Lead Auditor, CISSP. Naši lidé testují a implementují denně — netvoří se jen papíry v šabloně. Víme, jak útočník reálně pracuje.

02

Ne jen papíry

Dodáváme konkrétní konfigurace, skripty, detekce a playbooky. Report není cílem — cílem je, aby se vaše firma skutečně bránila. Papíry se přidají tam, kde je vyžaduje zákon.

03

Praktické výstupy

Každý nález má prioritu (CVSS + business impact), konkrétní kroky k opravě a odhad pracnosti. Váš IT tým ví, co dělat v pondělí ráno. Management ví, co prezentovat představenstvu.

04

Dlouhodobé partnerství

Audit je začátek, ne konec. Pokračujeme retainerem — průběžný monitoring hrozeb, reakce na incidenty a roční opakované testování. Víme, jak se vaše infrastruktura vyvíjí.

Jak to probíhá

Audit nebo pentest krok za krokem

Transparentní proces s jasnými výstupy v každé fázi. Vždy víte, kde jsme, co máme hotovo a co bude následovat.

  1. 1

    Scoping

    Úvodní workshop — definujeme rozsah, cíle, omezení a pravidla (rules of engagement). Stanovíme komunikační kanály a eskalační proces. Výstup: podepsaný scope dokument a fix price nabídka.

  2. 2

    Reconnaissance

    Sběr informací o cíli — OSINT, mapování povrchu útoku, identifikace technologií a verzí. Pasivní fáze, která nijak nezatěžuje vaše systémy. Odhaluje, co vidí útočník zvenčí.

  3. 3

    Exploitation / analýza

    Aktivní testování — manuální i automatizované. Vyhledávání zranitelností podle OWASP Top 10, ASVS, MITRE ATT&CK. U auditu analýza konfigurací, politik a dokumentace proti ISO 27001 / NIST CSF.

  4. 4

    Reporting

    Executive summary pro management (2–3 strany, česky, bez žargonu) + detailní technický report s důkazy, CVSS skóre a konkrétními kroky remediace. Vše projdeme na debrief workshopu.

  5. 5

    Remediation support

    Asistujeme při opravách, konzultujeme s vývojovým a provozním týmem, provádíme retest po úpravách. U retaineru následuje kontinuální monitoring a roční opakování.

Pro koho

Tři typické scénáře spolupráce

Každá firma přichází jinou cestou. Přizpůsobíme rozsah i tempo podle toho, kde zrovna stojíte.

NIS2 subjekt

Střední nebo velká firma v regulovaném sektoru

Zjistili jste, že vás reguluje NIS2, a potřebujete plán, rozpočet a tým, který vás tím provede. Začneme gap analýzou, pokračujeme implementací a připravíme vás na auditní návštěvu NÚKIB.

Výstup: soulad s 181/2014, dokumentace, funkční bezpečnostní opatření.

Produktová firma před launch

SaaS, e-commerce, fintech, healthtech před go-to-market

Chystáte se spustit nový produkt a potřebujete důkaz, že je bezpečný — pro zákazníky, investory i regulátora. Externí penetrační test s certifikátem a reportem, který snese review od enterprise zákazníků.

Výstup: pentest report, attestation letter, retest po remediaci.

Firma po incidentu

Prošli jste ransomware, data breach nebo phishing útokem

Nasadíme incident response, provedeme forenzní analýzu, obnovíme provoz a zajistíme komunikaci s NÚKIB, ÚOOÚ i pojišťovnou. Následně vybudujeme opatření, aby se to neopakovalo — včetně detekcí a runbooků.

Výstup: obnovení provozu, forensic report, lessons learned, prevence.

Časté otázky

Na co se nás ptají nejčastěji

Musí moje firma plnit NIS2?

NIS2 (direktiva EU 2022/2555, v ČR implementována novelou Kybernetického zákona 181/2014) se týká středních a velkých firem v 18 regulovaných sektorech — energetika, doprava, bankovnictví, zdravotnictví, výroba potravin, ICT služby, veřejná správa a další. Prakticky jde o firmy s 50+ zaměstnanci nebo obratem nad 10 mil. EUR v regulovaném sektoru. V ČR se odhaduje dopad na 6 000+ subjektů. Zdarma ověříme, zda vás NIS2 reguluje.

Orientační cenu spočítáte v našem konfigurátoru na TvojeAplikace.cz

Kolik stojí penetrační test?

Cena závisí na rozsahu. Jednoduchý externí pentest webové aplikace se pohybuje od 89 990 Kč. Komplexní audit interní infrastruktury nebo red teaming začíná kolem 249 990 Kč. Vždy nabízíme fix price po úvodním scopingu — žádná překvapení na faktuře.

Co když najdete kritickou zranitelnost?

Kritické nálezy (CVSS 9+) hlásíme okamžitě — ještě před finálním reportem. Poskytneme doporučený postup pro rychlou mitigaci a jsme k dispozici pro konzultaci. U zákazníků na retaineru zajistíme i přímou remediaci ve spolupráci s vaším IT.

Jak dlouho trvá bezpečnostní audit?

NIS2 gap analýza typicky 2–4 týdny. Penetrační test webové aplikace 1–2 týdny plus report. Komplexní ISO 27001 příprava 3–6 měsíců podle zralosti organizace. Každý projekt začínáme scopingem, kde harmonogram závazně upřesníme.

Jsou reporty pro management srozumitelné?

Ano. Každý report má executive summary v češtině, srozumitelné i pro netechnické vedení, a detailní technickou část pro IT tým s přesnými kroky remediace. Prioritizujeme podle CVSS a business dopadu, ne podle počtu nálezů.

Co certifikace ISO 27001?

Připravíme vás na certifikaci ISO/IEC 27001:2022 — od gap analýzy přes implementaci ISMS, dokumentaci a interní audit až po asistenci u certifikačního auditu. Samotnou certifikaci provádí akreditovaná certifikační autorita, my vás k ní bezpečně dovedeme.

Nezávazná konzultace

Nejste si jistí svou kybernetickou bezpečností?

Napište pár řádků o vaší situaci. Ozveme se do 24 hodin s návrhem dalšího kroku — typicky 30minutovou bezplatnou konzultací, kde si ověříme, zda a jak vám můžeme pomoci.

  • Ověříme dopad NIS2 na vaši firmu
  • Doporučíme rozsah pentestu nebo auditu
  • Pošleme fix price nabídku, ne odhad
  • NDA podepíšeme ještě před detailním workshopem
info@reactive.cz +420 725 125 332