Kybernetické útoky na dodavatelský řetězec patří k nejnebezpečnějším hrozbám současnosti. Útok na SolarWinds v roce 2020 ukázal, jak lze prostřednictvím kompromitovaného dodavatele software proniknout do sítí tisíců organizací. Zákon 264/2025 Sb. reaguje na tuto realitu explicitními požadavky na bezpečnost dodavatelského řetězce — a ignorování těchto požadavků může mít závažné právní i provozní důsledky.
Co zákon 264/2025 Sb. říká o dodavatelích
Vyhláška 409/2025 Sb. jako prováděcí předpis k zákonu 264/2025 vyjmenovává bezpečnost dodavatelského řetězce jako samostatnou oblast bezpečnostních opatření. Povinné entity musí:
- Identifikovat všechny dodavatele s přístupem k jejich systémům, sítím nebo datům
- Hodnotit bezpečnostní způsobilost těchto dodavatelů
- Zahrnout bezpečnostní požadavky do smluvní dokumentace
- Pravidelně přezkoumat bezpečnostní stav dodavatelů
- Mít plán pro případ, že dodavatel selže nebo bude kompromitován
Klíčová interpretace: zodpovědnost za bezpečnost dodavatelského řetězce nese regulovaná organizace, ne dodavatel. NÚKIB vás nebude pokutovat vašeho dodavatele — bude pokutovat vás za to, že jste nezajistili adekvátní smluvní a procesní ochranu.
Které dodavatelské vztahy jsou relevantní?
Povinnost se netýká všech dodavatelů — zaměřuje se na ty, kteří mají přístup k vašim systémům nebo datům, nebo kteří poskytují služby kritické pro vaši provozní kontinuitu.
Kategorii A: Vysoké riziko
- Poskytovatelé spravovaných IT služeb (MSP) s administrátorským přístupem
- Cloudoví poskytovatelé, kde běží kritické aplikace nebo jsou uložena citlivá data
- Vývojáři software integrovaného do vašich kritických systémů
- Poskytovatelé bezpečnostních služeb (MSSP, SOC)
Kategorie B: Střední riziko
- Dodavatelé SaaS aplikací používaných pro citlivé procesy (CRM, ERP, HR systémy)
- Telekomunikační operátoři a poskytovatelé konektivity
- Hardwaroví dodavatelé (servery, sítě, bezpečnostní hardware)
Kategorie C: Nízké riziko
- Dodavatelé bez přístupu k systémům nebo datům
- Standardní B2B dodavatelé kancelářských potřeb, úklidu, cateringu
Hodnocení bezpečnosti dodavatelů: Praktický přístup
Hodnocení dodavatele nemusí být složitý audit — ale musí proběhnout a musí být zdokumentované.
Minimální hodnoticí rámec
| Oblast hodnocení | Konkrétní otázky | Přijatelné doklady |
|---|---|---|
| Základní bezpečnostní praxe | Mají MFA, šifrování, patch management? | Vyplněný bezpečnostní dotazník |
| Certifikace a standardy | Mají ISO 27001, SOC 2, Cyber Essentials? | Kopie certifikátu (ověřit platnost!) |
| Incident response | Jak nás informují o incidentu? Do kolika hodin? | Smlouva / SLA s definicí reporting lhůt |
| Subdodavatelé | Předávají přístup k našim systémům dál? | Prohlášení o subdodavatelském řetězci |
| Geografická lokace dat | Kde jsou data fyzicky uložena? | Dokumentace datových center |
Smluvní požadavky: Co musí být ve smlouvě
NIS2 nestanoví přesné znění smluvních doložek, ale z požadavků vyhlášky 409/2025 a ENISA guidelines vyplývá, co smlouvy s rizikovými dodavateli musí obsahovat:
Povinné doložky pro dodavatele kategorie A
- Bezpečnostní standardy — Dodavatel se zavazuje dodržovat minimální bezpečnostní požadavky (explicitně specifikovat: MFA, šifrování, patch management, zálohy)
- Hlášení incidentů — Dodavatel nás informuje o bezpečnostním incidentu, který by mohl ovlivnit naše systémy nebo data, do 24 hodin od zjištění
- Audit a kontrola — Vyhrazujeme si právo provést bezpečnostní audit dodavatele (nebo požadovat výsledky nezávislého auditu) jednou ročně
- Subkontracting — Dodavatel nesmí předat přístup k našim systémům třetím stranám bez našeho předchozího písemného souhlasu
- Ukončení spolupráce — Při ukončení smlouvy dodavatel bezodkladně odstraní veškerý přístup k našim systémům a vrátí nebo bezpečně vymaže veškerá data
- Odpovědnost za škody — Smluvní pokuta nebo náhrada škody v případě bezpečnostního incidentu zaviněného dodavatelem
Vzorový text pro oznámení o incidentu
// Vzorová smluvní doložka — přizpůsobte svým potřebám
"Poskytovatel se zavazuje informovat Odběratele o jakémkoli bezpečnostním incidentu, který by mohl mít dopad na důvěrnost, integritu nebo dostupnost systémů nebo dat Odběratele, a to nejpozději do 24 hodin od jeho zjištění. Oznámení musí obsahovat popis incidentu, předběžné hodnocení rozsahu dopadu a kontaktní osobu Poskytovatele odpovědnou za řešení incidentu. Poskytovatel dále zasílá průběžné aktualizace každých 24 hodin do úplného vyřešení incidentu."
Co hrozí, když dodavatel podmínky nesplní?
Scénář: váš IT dodavatel, který spravuje vaši infrastrukturu, je zasažen ransomwarem. Útočníci se dostali do vašich systémů přes jeho přístupové údaje. NÚKIB zahájí šetření.
Pokud jste smluvně nezajistili bezpečnostní požadavky na dodavatele:
- Nemáte smluvní základ pro náhradu škody od dodavatele
- NÚKIB může konstatovat, že jste nesplnili požadavek na zajištění bezpečnosti dodavatelského řetězce
- Pokuta až 250 mil. Kč nebo 2 % celosvětového obratu — sankcionován budete vy, ne dodavatel
Pokud jste smluvně zajistili bezpečnostní požadavky a dodavatel je porušil:
- Máte smluvní základ pro náhradu škody
- Lze argumentovat, že jste vyvinuli přiměřenou péči (due diligence)
- Riziko sankce od NÚKIB je výrazně nižší — ukázali jste, že jste požadavky zákona implementovali
Jak hodnotit dodavatele efektivně: Prioritizace
Malá firma nemůže auditovat všechny dodavatele stejně intenzivně. Doporučujeme tento přístup:
- Inventář dodavatelů — sestavte seznam všech dodavatelů s IT přístupem (obvykle 5–20 subjektů u střední firmy)
- Kategorizace rizika — přiřaďte každého do kategorie A/B/C podle výše uvedeného rámce
- Prioritní hodnocení — kategorie A: plný bezpečnostní dotazník + smluvní doložky; kategorie B: zkrácený dotazník + základní smluvní požadavky; kategorie C: prohlášení o způsobilosti
- Dokumentace — uchovejte výsledky hodnocení minimálně 3 roky
- Pravidelný přezkum — hodnocení A-kategorie opakujte ročně, B-kategorie dvouletně
Rychlý self-check pro dodavatelský řetězec
Máte tyto základy pokryty?
- ✓ Znáte seznam všech IT dodavatelů s přístupem do vašich systémů
- ✓ Máte se všemi z kategorie A podepsány bezpečnostní požadavky ve smlouvě
- ✓ Víte, kdo je kontaktovat při bezpečnostním incidentu na straně dodavatele
- ✓ Víte, kde jsou vaše data fyzicky uložena u cloudových dodavatelů
- ✓ Máte postup pro případ ukončení spolupráce s klíčovým IT dodavatelem
Pro komplexnější hodnocení: check.nis2ok.cz
Praktický první krok: Bezpečnostní dotazník pro dodavatele
Nejrychlejší způsob, jak začít, je rozeslat klíčovým dodavatele krátký bezpečnostní dotazník. Základní dotazník pro kategorii A by měl zahrnovat:
- Máte zavedenu vícefaktorovou autentizaci (MFA) pro přístupy k vašim systémům a k našim systémům?
- Jsou data v přenosu i v klidu šifrována? Jakým standardem?
- Jak často provádíte zálohy a testujete jejich obnovu?
- Máte certifikaci ISO 27001 nebo SOC 2? (Uveďte platnost a rozsah.)
- Jaký je váš postup při bezpečnostním incidentu? Do kolika hodin nás informujete?
- Předáváte přístup k našim systémům nebo datům třetím stranám (subdodavatelům)? Pokud ano, komu?
- V jakých zemích jsou fyzicky umístěna vaše datová centra a zálohy?
Nedostatečné nebo vyhýbavé odpovědi jsou samy o sobě varováním. Dodavatel, který nedokáže odpovědět na tyto základní otázky, představuje bezpečnostní riziko.
Závěr: Dodavatelský řetězec je vaše odpovědnost
NIS2 neznamená, že musíte auditovat každého dodavatele do hloubky. Znamená, že musíte vědět, kdo má přístup k vašim systémům, a musíte mít smluvně a procesně zajištěno, že tito dodavatelé splňují adekvátní bezpečnostní standardy.
Dobrou zprávou je, že velcí cloudoví a IT dodavatelé (Microsoft, Google, AWS, běžné SaaS platformy) mají bezpečnostní certifikace a transparentní dokumentaci — tato část bude relativně snadná. Větší výzva jsou typicky menší IT firmy a lokální MSP, kteří nemusí mít formální bezpečnostní procesy vůbec.
Začněte inventářem a prioritizací — a pak smluvními doložkami pro ty nejkritičtější. Zbývající část vás i vaše dodavatele motivuje ke zlepšení.