AUDRIX
Ako to funguje Predpisy Moduly Cenník FAQ
Prihlásenie

Audrix › Realizačný projekt

Realizačný projekt · Šestnásť modulov · Jeden workflow

Realizačný projekt nasadenia platformy Audrix

Verzia 1.0 · jún 2026 · Spracoval: Branislav Anwarzai · Inštitút pokročilých štúdií, o.z.

Účel dokumentu. Realizačný projekt definuje rozsah, metodiku, harmonogram, výstupy a deľbu zodpovedností pri nasadení platformy Audrix u zákazníka. Ťažiskovými scenármi sú krízový manažment a riadenie kontinuity činnosti (BCM) a manažment bezpečnosti mäkkých cieľov; súčasne dokument rozpracúva reálnu implementáciu všetkých šestnástich modulov, ktoré bežia v jednom prepojenom workflow nad spoločným registrom dôkazov.

1. Manažérske zhrnutie

Audrix je integrovaná platforma pre súlad s NIS2, GDPR, ISO 27001/22301/42001 a so slovenskou legislatívou (zákon 366/2024 Z. z., vyhlášky 226/2025 a 227/2025, zákon o bezpečnosti mäkkých cieľov). Namiesto šestnástich oddelených nástrojov a Excel tabuliek poskytuje jeden workflow: raz zozbieraný dôkaz sa automaticky započíta do všetkých relevantných rámcov a kontrol.

Tento realizačný projekt rozkladá nasadenie do siedmich fáz (iniciácia → analýza → návrh → implementácia → pilot a red teaming → audit a odovzdanie → prevádzka) s celkovou dĺžkou cca 30 týždňov. Krízový manažment a mäkké ciele sú riešené ako samostatné realizačné prúdy s vlastnými míľnikmi, pretože zahŕňajú nielen softvér, ale aj organizačné opatrenia, dokumentáciu, školenia a cvičenia.

2. Ciele a merateľné výstupy projektu

CieľMerateľný výstup (KPI)
Preukázateľný súlad s NIS2 a 366/2024100 % povinných kontrol pokrytých dôkazom v registri; audit balík exportovateľný jedným klikom
Funkčný systém krízového riadenia a BCMSchválený BCP/DR pre 100 % kritických procesov; min. 1 tabletop cvičenie s lessons learned
Bezpečnosť mäkkých cieľovKategorizácia objektov, posúdenie hrozieb a bezpečnostný plán podľa metodiky MV SR; vyškolený personál
Riadené nasadenie AIRegister AI systémov, heuristická brána v prevádzke, politika používania AI, nulová tieňová AI s prístupom k citlivým dátam
Skrátenie auditného cykluPríprava podkladov pre NBÚ/ÚOOÚ z týždňov na hodiny

3. Organizácia projektu a deľba zodpovedností (RACI)

R = realizuje, A = zodpovedá/schvaľuje, C = konzultuje, I = informovaný.

AktivitaRiadiaci výborPM AudrixCISO / poverenecDPOVlastníci procesov
Schválenie rozsahu a rozpočtuARCCI
Analýza a mapovanie aktívIRACC
Konfigurácia modulovIRCCI
BCP/DR a krízové plányACRIC
Bezpečnostný plán mäkkých cieľovACRIC
DPIA a register spracúvaniaICCA/RC
Akceptácia a odovzdanieARCCI

4. Harmonogram a míľniky

FázaTrvanieKľúčové aktivityMíľnik
F0 — Iniciácia2 týž.Kick-off, prístupy, projektový plán, register rizík projektuM0 — Podpísaný projektový plán
F1 — Analýza a mapovanie4 týž.Inventár aktív, procesov, dodávateľov a AI systémov; gap analýzaM1 — Schválená gap analýza
F2 — Návrh a konfigurácia6 týž.Konektory, role, politiky, šablóny, mapovanie kontrolM2 — Akceptovaný návrh riešenia
F3 — Implementácia 16 modulov10 týž.Nasadenie a naplnenie všetkých modulov dátami a dôkazmiM3 — Moduly v prevádzke
F4 — Pilot, cvičenia a red teaming4 týž.Tabletop cvičenie, test obnovy, red teaming AI a heuristickej brányM4 — Overená funkčnosť
F5 — Audit, dôkazy a odovzdanie4 týž.Audit balík, školenia, akceptácia, odovzdanie do prevádzkyM5 — Akceptačný protokol
F6 — Prevádzka a zlepšovaniepriebežneMonitoring, management review, aktualizácie, opakované cvičeniaM6 — Prvý management review

5. Časť A — Krízový manažment a kontinuita činnosti (BCM)

Realizačný prúd Modulu 10. Cieľom je nahradiť statický plán v PDF živým BCM systémom podľa ISO 22301 a NIS2 čl. 21 ods. 2 písm. c), v ktorom je každý test a každá aktualizácia automaticky zaznamenaná ako dôkaz.

5.1 Východiská a rozsah

  • Predmetom je kontinuita kritických procesov, IT služieb a dodávateľského reťazca.
  • Mapovanie na ISO 22301, NIS2, zákon 366/2024 a GDPR čl. 32 ods. 1 písm. c) (obnova dostupnosti).
  • Pri subjektoch zaradených do hospodárskej mobilizácie aj zákon 179/2011 a 387/2002 Z. z.

5.2 Postup realizácie

  1. Business Impact Analysis (BIA). Katalóg procesov, dopady (finančné, právne, reputačné), závislosti na IT aktívach a dodávateľoch; vstup z Modulu 01 (zber dôkazov) a Modulu 03 (risk register).
  2. Stanovenie RTO / RPO / MTPD. Pre každý kritický proces; mapovanie na zálohovaciu politiku a kontrolu reálnych záloh.
  3. Tvorba BCP a DR plánov. Šablóny podľa ISO 22301, verziované, s KEP podpisom vlastníka procesu.
  4. Krízový štáb a eskalácie. Štruktúra, zástupcovia, RACI matica, call tree s automatickými notifikáciami (SMS, Teams, telefonát).
  5. Tabletop a live cvičenia. Scenáre, záznam priebehu, lessons learned, plán nápravných opatrení.
  6. Test zálohovania a obnovy. Kalendár testov, výsledky, automatická validácia RPO.
  7. Prepojenie na incident response (Modul 07). Bezproblémový prechod z bezpečnostného incidentu do krízového režimu a krízový denník časovej osi rozhodnutí.

5.3 Výstupy

  • Schválená BIA, register RTO/RPO, sada BCP/DR plánov, štruktúra krízového štábu.
  • Protokol z minimálne jedného tabletop cvičenia a jedného testu obnovy.
  • Management review report pre predstavenstvo (KPI, trend kontinuity).

6. Časť B — Manažment bezpečnosti mäkkých cieľov

Realizačný prúd Modulu 11 podľa zákona o bezpečnosti mäkkých cieľov a metodiky MV SR. Mäkký cieľ je verejne prístupný objekt s vysokou koncentráciou osôb a nízkou úrovňou fyzického zabezpečenia (školy, nemocnice, úrady, nákupné centrá, kultúrne a športové podujatia).

6.1 Postup realizácie

  1. Kategorizácia objektov. Zaradenie do kategórií podľa kapacity osôb, významu a expozície hrozbe.
  2. Posúdenie hrozieb a zraniteľností. Analýza scenárov (aktívny útočník, IED, vozidlo ako zbraň, kyberneticko-fyzické hrozby), identifikácia slabých miest perimetra a vnútorných zón.
  3. Bezpečnostný plán objektu. Organizačné, technické a režimové opatrenia; plán evakuácie a ukrytia (run–hide–fight / evakuácia–ukrytie–obrana).
  4. Súčinnosť so zložkami IZS. Kontaktné body, plány príjazdu, zdieľanie pôdorysov a kľúčových informácií.
  5. Školenia a cvičenia. Školenie personálu, nácvik poplachových a evakuačných postupov, lockdown drill.
  6. Prepojenie na krízový manažment (Časť A). Bezpečnostný incident na mäkkom cieli aktivuje krízový štáb.

6.2 Výstupy

  • Karta objektu s kategorizáciou, posúdenie hrozieb, schválený bezpečnostný plán.
  • Plán školení a cvičení + záznamy o ich vykonaní.
  • Register nápravných opatrení a dôkazy pripravené pre kontrolu.

7. Časť C — Reálna implementácia všetkých 16 modulov

Každý modul je realizovaný konkrétnymi technickými a organizačnými komponentmi a uzatvorený akceptačným kritériom. Moduly zdieľajú jeden register dôkazov — výstup jedného je vstupom druhého.

Modul 01 — Zber dôkazov

  • Implementácia: nasadenie a autorizácia konektorov (OAuth/API) na Microsoft 365, Google Workspace, AWS, Azure a GitHub; nastavenie plánu automatického zberu.
  • Výstup: kontinuálny prísun evidence (konfigurácie, logy, nastavenia) do registra dôkazov, bez screenshotov.
  • Akceptácia: minimálne 5 zdrojov pripojených a automaticky obnovovaných.

Modul 02 — Cross-framework mapovanie

  • Implementácia: aktivácia mapovacej matice kontrol ISO 27001 ↔ NIS2 ↔ SOC 2 ↔ GDPR; pripojenie kontrol na dôkazy z Modulu 01.
  • Výstup: jedna splnená kontrola sa automaticky započíta do všetkých prepojených rámcov.
  • Akceptácia: zobrazená miera pokrytia per rámec v reálnom čase.

Modul 03 — Risk register

  • Implementácia: import aktív, definícia hrozieb, zraniteľností a treatment plánu podľa ISO 27005; mapovanie rizík na články NIS2.
  • Výstup: živý register rizík s vlastníkmi, hodnotením a plánom ošetrenia.
  • Akceptácia: každé vysoké riziko má priradeného vlastníka a opatrenie.

Modul 04 — Slovenský PII detektor

  • Implementácia: nasadenie jazykového modelu (SlovakBERT) s validáciou rodného čísla (mod-11), IBAN a adries; skenovanie dokumentov a databáz.
  • Výstup: mapa výskytu osobných údajov naprieč úložiskami.
  • Akceptácia: overená presnosť detekcie na vzorke klientových dát.

Modul 05 — Vendor risk management

  • Implementácia: import dodávateľov, automatická klasifikácia kritickosti, DPA šablóny, due diligence workflow (NIS2 čl. 21 bod 5).
  • Výstup: register dodávateľov s rizikovým skóre a stavom zmlúv.
  • Akceptácia: kritickí dodávatelia majú DPA a posúdenie rizika.

Modul 06 — Policy builder

  • Implementácia: generovanie politík zo 42 slovenských šablón schválených audítormi; verziovanie a schvaľovací workflow.
  • Výstup: kompletná sada interných politík s KEP podpisom.
  • Akceptácia: všetky povinné politiky vydané a schválené.

Modul 07 — Incident response

  • Implementácia: workflow od detekcie po hlásenie; predvyplnené formuláre pre SK-CERT a ÚOOÚ s časovačmi 24 h / 72 h.
  • Výstup: evidovaný incident s časovou osou a hlásením v termíne.
  • Akceptácia: simulovaný incident nahlásený v rámci lehoty.

Modul 08 — RoPA, DPIA, DSAR

  • Implementácia: register spracovateľských činností, šablóny DPIA (GDPR čl. 35), workflow pre žiadosti dotknutých osôb.
  • Výstup: aktuálny RoPA, DPIA pre rizikové spracúvania, evidencia DSAR.
  • Akceptácia: RoPA pokrýva všetky spracúvania, DPIA pre vysokorizikové.

Modul 09 — Audit reporting

  • Implementácia: generátor audit balíka pre NBÚ, ÚOOÚ a akreditovaný orgán s automatickým priložením dôkazov.
  • Výstup: kompletný audit balík jedným klikom.
  • Akceptácia: vyexportovaný balík akceptovaný interným audítorom.

Modul 10 — Krízový manažment a BCM

  • Implementácia: podľa Časti A — BIA, RTO/RPO, BCP/DR, krízový štáb, cvičenia a testy obnovy.
  • Výstup: živý BCM systém s dôkazmi.
  • Akceptácia: tabletop cvičenie a test obnovy s protokolom.

Modul 11 — Bezpečnosť mäkkých cieľov

  • Implementácia: podľa Časti B — kategorizácia, posúdenie hrozieb, bezpečnostný plán, školenia a cvičenia.
  • Výstup: schválený bezpečnostný plán objektu a vyškolený personál.
  • Akceptácia: vykonaný lockdown/evakuačný nácvik so záznamom.

Modul 12 — Bezpečnosť LLM aplikácií

  • Implementácia: posúdenie plochy útoku podľa OWASP Top 10 for LLM 2025, register zraniteľností, cielený red teaming.
  • Výstup: správa o zraniteľnostiach LLM aplikácií s návrhom nápravy.
  • Akceptácia: kritické zistenia uzavreté alebo ošetrené v bráne (Modul 14).

Modul 13 — Riadenie tieňovej AI

  • Implementácia: inventár reálne používaných AI nástrojov, politika používania AI, nasadenie schválenej monitorovanej alternatívy, klasifikácia dát.
  • Výstup: politika + audítna viditeľnosť používania AI.
  • Akceptácia: citlivé dáta nevstupujú do neschválených verejných služieb.

Modul 14 — Heuristická brána

  • Implementácia: nasadenie šiestich kontrolných úrovní (vstup, oprávnenia, údaje, vecná správnosť, obsah, ľudský dohľad) a úplného logovania interakcií.
  • Výstup: každá interakcia s LLM prechádza kontrolou a má forenznú stopu.
  • Akceptácia: brána zachytí prompt injection a maskuje osobné údaje v teste.

Modul 15 — Súlad s EU AI Act

  • Implementácia: register AI systémov, klasifikácia rizika podľa Annexu III, technická dokumentácia, dohľadové body a transparentnosť.
  • Výstup: dokumentovaná pripravenosť na termíny 2026 – 2027.
  • Akceptácia: každý AI systém zaradený a vysokorizikové zdokumentované.

Modul 16 — ISO/IEC 42001 a NIST AI RMF

  • Implementácia: systém riadenia AI (AIMS), operacionalizácia funkcií Govern–Map–Measure–Manage, predaudit a gap analýza pre certifikáciu.
  • Výstup: AIMS dokumentácia a plán k certifikácii (cyklus PDCA, management review).
  • Akceptácia: úspešný predaudit pripravenosti na ISO/IEC 42001.

8. Riadenie projektu, riziká a akceptačné kritériá

  • Riadenie: dvojtýždňové statusy, riadiaci výbor mesačne, register rizík a zmien projektu.
  • Hlavné riziká: oneskorené prístupy a dáta od zákazníka, dostupnosť vlastníkov procesov, zmena rozsahu — riešené eskaláciou na riadiaci výbor.
  • Celková akceptácia: všetky míľniky M0–M5 dosiahnuté, 16 modulov v prevádzke, audit balík exportovateľný, podpísaný akceptačný protokol.

Ďalší krok. Na presné dimenzovanie rozsahu, harmonogramu a ceny pre vašu organizáciu si dohodneme úvodný workshop. Realizačný projekt sa následne upraví na váš konkrétny kontext a zoznam kritických procesov a objektov.

Dohodnúť úvodný workshop Späť na moduly

© 2026 Audrix · Výrobca: Inštitút pokročilých štúdií, o.z. · Bratislava, Slovensko

  • Hlavná
  • Moduly
  • Realizačný projekt
  • Cenník
  • Cookies