Bezpečnost a compliance 21. dubna 2026 · Milan Cák · 9 min čítania

ISO 27001 pro SMB: co to znamená v praxi

Kdy je ISO 27001 povinná, jak certifikace probíhá, kolik stojí a co přináší. Praktické zkušenosti z implementace ISMS pro české a slovenské SMB firmy.

Když zákazník nebo tender vyžaduje ISO 27001 certifikaci, firmy to buď mají (a mohou přiložit certifikát), nebo nemají a z tenderu vypadnou. V 2026 je ISO 27001 standardní požadavek při prodeji do finančního sektoru, veřejné správy a velkých korporátů v ČR i SK.

Tento článek popisuje, co ISO 27001 pro SMB reálně obnáší — bez přehánění, bez marketingu.

Co je ISO 27001

ISO/IEC 27001 je mezinárodní norma pro Information Security Management System (ISMS) — systém řízení bezpečnosti informací. Definuje, co musí firma dělat pro systematické řízení bezpečnostních rizik.

ISO 27001 není seznam konkrétních technických opatření. Je to rámec procesů:

Identifikace informačních aktiv a rizik
Implementace opatření k mitigaci rizik
Pravidelný přezkum a zlepšování
Dokumentace a záznamy

Konkrétní technická opatření definuje ISO 27002 (příloha A ISO 27001) — 93 kontrol pokrývající bezpečnostní politiky, organizaci, fyzickou bezpečnost, kryptografii, přístupová kontrola a další.

Kdy ISO 27001 reálně potřebujete

Scénář 1: NIS2 compliance

Firmy v scope NIS2 (zákon č. 181/2014 Sb.) musí prokázat “přiměřená bezpečnostní opatření”. ISO 27001 certifikace je uznávaný způsob splnění tohoto požadavku. Bez certifikace musíte prokázat soulad jinak — vlastní dokumentací, auditem nebo přímou kontrolou NÚKIB.

Scénář 2: Prodej do veřejného sektoru

Výběrová řízení Ministerstva financí, MPSV, krajů a velký municipalit čím dál tím více vyžadují ISO 27001 nebo ekvivalent jako podmínku účasti. V 2026 je to standard pro dodávky softwaru a IT služeb.

Scénář 3: Enterprise B2B klienti

Velké korporáty (300+ zaměstnanců) provádějí vendor due diligence — security dotazník nebo požadavek na certifikát. ISO 27001 odpoví na tyto otázky jedním dokumentem.

Scénář 4: Kybernetické pojištění

Pojišťovny nabízejí nižší prémie ISO 27001 certifikovaným firmám. Bez certifikace nebo bez prokázaného ISMS je kybernetické pojištění dražší nebo nepojistitelné pro vyšší hodnoty krytí.

Implementace v praxi: čtyři fáze

Fáze 1: Gap analýza (4–6 týdnů)

Porovnání aktuálního stavu vs. požadavky ISO 27001:

Jaká bezpečnostní opatření již máte?
Co chybí?
Jaký je scope certifikace (celá firma, nebo jen konkrétní systémy)?

Výstup: gap report s prioritizovaným plánem opatření.

Fáze 2: Implementace ISMS (2–3 měsíce)

Dokumentace: politiky, procedury, záznamy. ISO 27001 vyžaduje dokumenty jako:

Informační bezpečnostní politika
Risk management procedura
Asset inventář
Incident management procedura
Business continuity plán
Přístupová kontrola politika

Implementace technických opatření identifikovaných v gap analýze:

Přístupová práva (RBAC, princip minimálního přístupu)
Šifrování (v klidu i při přenosu)
Monitorování a audit log
Zálohy a testy obnovy
Patch management

Fáze 3: Interní audit (2–4 týdny)

Před certifikačním auditem interní audit ověří:

Jsou všechny dokumenty aktuální a implementované v praxi?
Jsou záznamy kompletní?
Jsou zaměstnanci proškoleni?

Nevyřešené neshody z interního auditu se opraví před certifikačním auditem.

Fáze 4: Certifikační audit (3–4 týdny)

Prováděný akreditovaným certifikačním orgánem (TÜV SÜD, Bureau Veritas, Lloyd’s Register, DNV, LRQA):

Stage 1 (dokumentační audit, 1–2 dny): Auditor přezkoumá dokumentaci ISMS. Může vést k nálezu neshod nebo poznámek, které musíte opravit před Stage 2.

Stage 2 (implementační audit, 2–3 dny): Auditor ověří, že dokumentovaná opatření jsou skutečně implementována v praxi. Rozhovory se zaměstnanci, prohlídka systémů, kontrola záznamů.

Výsledek: certifikace nebo neshody s termínem opravy.

Zkušenosti AMCEF s implementací ISO 27001

AMCEF s.r.o. (vývojář Modulario) prošel ISO 27001 certifikací v roce 2024. Klíčové poučení:

Co fungovalo:

Angažovanost vedení od začátku — ISO 27001 není IT projekt, je to firemní projekt
Dedikovaný ISMS manažer (interní, ne jen IT)
Dokumentace psaná “jak to skutečně děláme”, ne jako ideální stav
Zahrnutí celé firmy do školení, ne jen IT

Co bylo těžší než očekávané:

Definice scope — příliš úzký scope je podezřelý, příliš široký je drahý
Asset inventář — zmapovat všechna informační aktiva (software, data, zařízení, procesy) trvalo 3× déle než plánováno
Risk assessment — první iterace byla příliš abstraktní. Druhý pokus s konkrétními scénáři (co se stane, pokud nám ukradnou laptop s databází zákazníků?) byl mnohem produktivnější
Udržení ISMS aktuálního — implementovat je snazší než udržovat. Roční dozorčí audity nutí k aktualizaci

Náklady AMCEF:

Konzultační firma: 8 000 EUR
Certifikační orgán: 5 500 EUR
Interní náklady (čas): ~12 000 EUR ekvivalent
Celkem: ~25 500 EUR v roce 1
Roční udržení: ~5 000 EUR (dozorčí audit + interní čas)

ISO 27001 vs. alternativy

Standard	Vhodný pro	Uznávání v CZ/SK
ISO 27001	Všechny firmy, mezinárodní	Nejvyšší
SOC 2	US/globální SaaS firmy	Střední (US klienti)
BSI C5	Dodávky německé veřejné správy	Nízké (mimo DE)
Cyber Essentials (UK)	Britský trh	Nízké
TISAX	Automotive průmysl	Vysoké v automotive

Pro CZ/SK trh je ISO 27001 nejuniverzálnější a nejlépe uznávaný.

Modulario a ISO 27001

Modulario je ISO 27001 certifikováno (AMCEF s.r.o., scope: vývoj, provoz a podpora cloudové ERP platformy Modulario). Certifikát je k dispozici pro zákazníky na vyžádání.

Pro zákazníky to znamená:

ERP poskytovatel má auditovatelný ISMS
Bezpečnostní incidenty se řeší dle zdokumentované procedury
Zálohy, šifrování a přístupová kontrola jsou auditovány třetí stranou
Zákazník nemusí auditovat Modulario sám — akceptuje certifikát TÜV

Časté otázky

Musí mít SMB firma ISO 27001 certifikaci? Přímá zákonná povinnost pro všechny firmy neexistuje. Ale pro firmy v NIS2 scope, dodavatele veřejného sektoru a enterprise B2B je to v 2026 praktická nutnost. Přináší obchodní výhodu a základ pro kybernetické pojištění.

Jak dlouho trvá implementace ISO 27001? Pro SMB 4–6 měsíců celkem: gap analýza 4–6 týdnů, implementace ISMS 2–3 měsíce, certifikační audit 3–4 týdny. Klíčový faktor: angažovanost vedení a interní kapacity.

Kolik stojí ISO 27001 certifikace pro SMB? Celkem první rok 8 000–25 000 EUR (konzultace + certifikační orgán + interní čas). Roční udržení 3 000–8 000 EUR. Cena závisí na scope a velikosti firmy.

Milan Cák

Modulario

Často kladené otázky

Musí mít SMB firma ISO 27001 certifikaci?

Přímá zákonná povinnost ISO 27001 pro všechny firmy neexistuje. Ale: firmy v scope NIS2 (zákon č. 181/2014 Sb.) mají povinnost 'přiměřených bezpečnostních opatření' a ISO 27001 je uznávaný způsob prokázání souladu. Pro firmy dodávající do veřejného sektoru (v ČR a SK) je ISO 27001 nebo ekvivalent čím dál tím více požadován ve výběrových řízeních. Pro firmy ve finančním sektoru (DORA) je ISO 27001 uznávaný způsob prokázání ICT bezpečnostního rámce. Pro ostatní: přináší obchodní výhodu (zejm. B2B enterprise a veřejný sektor), snižuje kybernetické riziko a je základem pro kybernetické pojištění.

Jak dlouho trvá implementace ISO 27001?

Pro SMB firmu (20–200 zaměstnanců) standardní průběh: příprava a gap analýza 4–6 týdnů, implementace ISMS 2–3 měsíce, interní audit 2–4 týdny, certifikační audit (Stage 1 + Stage 2) 3–4 týdny. Celkem: 4–6 měsíců od startu do certifikace. Certifikace platí 3 roky s ročními dozorčími audity. Klíčový faktor rychlosti: angažovanost vedení a interní kapacity. Firmy, které delegují ISO 27001 jen na IT, mívají 2× delší dobu implementace.

Kolik stojí ISO 27001 certifikace pro SMB?

Typické náklady pro firmu 50–200 zaměstnanců: (1) Konzultační firma (gap analýza + implementace ISMS + příprava dokumentace): 5 000–15 000 EUR, (2) Certifikační orgán (TÜV, Bureau Veritas, Lloyd's Register, DNV): Stage 1 + Stage 2 audit: 3 000–8 000 EUR pro SMB, (3) Interní náklady (čas zaměstnanců, školení, nástroje): 3 000–8 000 EUR ekvivalent. Celkem první rok: 8 000–25 000 EUR. Roční dozorčí audit: 1 500–4 000 EUR. Pozor: cena závisí na scope certifikace (celá firma vs. jeden informační systém).

Související články

Bezpečnost a compliance

Bezpečnost a compliance cloudového ERP v 2026

Komplexní průvodce bezpečností a compliance pro cloudové ERP — GDPR, NIS2, DORA, AI Act, ISO 27001, CLOUD Act/Schrems II, šifrování, audit log, BCP/DRP. Pro CZ/SK SMB firmy.

22 min čítania

Bezpečnost

NIS2 směrnice v praxi: koho se týká a jaké jsou povinnosti firmy

NIS2 směrnice EU pro SMB v CZ a SK: koho se týká, klíčové povinnosti, sankce až 10 mil. EUR, postup přípravy a vztah k ERP/CRM systémům.

10 min čítania

Bezpečnost a compliance

DORA: co musí vědět finanční sektor a uživatelé ERP

Praktický průvodce nařízením DORA (EU 2022/2554) pro finanční instituce a jejich ERP systémy — 5 pilířů, ICT třetí strany, reportovací povinnosti a implementační checklist.

10 min čítania