Penetrační testování pro NIS2, DORA, ISO 27001 a PCI-DSS.

PCI-DSS — testování je povinné

Norma PCI-DSS v4.x mluví zcela jasně: požadavek 11.4 nařizuje provádět interní a externí penetrační testy minimálně jednou za 12 měsíců a po každé významné změně systému. Test musí mít zdokumentovanou metodiku, nálezy hodnocené podle metodiky CVSS a retest potvrzující nápravu. V aplikační vrstvě je nutné pokrýt zranitelnosti podle požadavku 6.2.4 (který odpovídá OWASP Top 10). Dodáme vám přesně tento rozsah — a report ve struktuře, jakou váš QSA očekává.

DORA — od běžných testů až po TLPT

Nařízení DORA vyžaduje, aby finanční subjekty pravidelně testovaly své ICT systémy. Vybrané organizace pak musí podstoupit komplexní, hrozbami řízené penetrační testování (TLPT) podle metodiky TIBER-EU. Pokrýváme technické testování v celém tomto spektru: od standardních pentestů aplikací a infrastruktury až po náročné projekty v roli nezávislého red teamu pro TLPT.

NIS2 — bezpečnostní testy jako jasný důkaz

V České republice zavádí směrnici NIS2 nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), který je účinný od 1. listopadu 2025 a jehož dodržování kontroluje NÚKIB. Poskytovatelé základních a důležitých služeb musí řídit rizika pomocí odpovídajících technických opatření, včetně bezpečnostního testování. Penetrační test je nejlepším důkazem pro auditory, že vaše ochranné mechanismy reálně fungují, a nejsou jen na papíře. (U finančních institucí má testování ICT rizik podle DORA přednost před NIS2.)

ISO 27001 — technické ověření pro váš ISMS

Norma ISO 27001 sice pojem „penetrační test“ výslovně nezmiňuje, ale technické řízení zranitelností a průběžné ověřování účinnosti opatření tvoří samotné jádro funkčního ISMS. Certifikační auditoři nezávislé testování těchto prvků standardně vyžadují. Náš test a závěrečný report vám poskytnou neprůstřelný argument, který snadno propojíte se svým Prohlášením o aplikovatelnosti (SoA) i dozorovými audity.

Závěrečný report

Ať už se připravujete na jakýkoli audit, výstup od nás je konzistentní: přehledný report s nálezy seřazenými podle závažnosti (CVSSv3), detailní popisy a důkazy (proof-of-concept), konkrétní doporučení k opravě a následný retest pro ověření nápravy. Report píšeme tak, aby byl okamžitě srozumitelný pro vaše inženýry i pro externího auditora.

Každý test vedou certifikovaní seniorní specialisté. Na vašich systémech se neučí žádní junioři.

Testujeme, neauditujeme

Jednu věc si ujasněme hned na začátku: jsme testeři, nikoli vaši auditoři nebo certifikační autorita. Tato nezávislost je klíčová. Právě nezávislý technický test je tím nejsilnějším důkazem, který regulátoři a auditoři vyžadují. My vám dodáme fakta a výsledky testů; vy (spolu se svým auditorem) je pak integrujete do celkového procesu compliance.

Často kladené dotazy, vždy zodpovězeny.