🤖 EVENT: Jak na bezpečný vibecoding bez následků - Přidat se na waitlist

Koupit lístek

Hledat

Zpět na blog

Kontrola dodavatelů podle nového zákona o kybernetické bezpečnosti: co musí být ve smlouvě

Pavel Čech 26. 5. 2026

Kontrola dodavatelů podle nového zákona o kybernetické bezpečnosti_co musí být ve smlouvě

Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), česká transpozice směrnice NIS2, platí od 1. listopadu 2025. Klíčová novinka? Regulované organizace musí aktivně řídit bezpečnost svých dodavatelů – a to i smluvně. Bez správně napsaných bezpečnostních dodatků zákon nesplníte. Ukážeme vám, jak na to.

 

Nejčastější otázky

Proč řešit bezpečnost dodavatelů

Většina závažných kybernetických incidentů poslední doby nepřišla zevnitř napadené organizace. Přišla přes dodavatele.

  • SolarWinds (2020): útočníci napadli aktualizaci softwaru, kterou si stáhlo 18 000 organizací po celém světě včetně amerických vládních agentur.
  • Kaseya (2021): ransomware distribuovaný přes nástroj pro vzdálenou správu zasáhl 1 500 firem najednou.
  • MOVEit (2023): zranitelnost v přenosovém softwaru odhalila data stovek organizací.
  • CrowdStrike (2024): vadná aktualizace vyřadila z provozu 8,5 milionu zařízení a nešlo ani o kybernetický útok.

Společný jmenovatel? Všechny tyto incidenty zasáhly organizace, které samy neudělaly nic špatně. Problém byl v tom, komu důvěřovaly.

Přesně na to reaguje nová legislativa: za bezpečnost odpovídáte i tehdy, když službu provozuje někdo jiný.

Co říká zákon

Klíčový je § 13 odst. 5 zákona č. 264/2025 Sb. Poskytovatel regulované služby musí vybírat dodavatele podle bezpečnostních požadavků a tyto požadavky pak zahrnout do smluv.

Pro vás to znamená dvě věci:

  1. Dobrý dodavatel nestačí. Musíte prokázat, že jste ho vybrali na základě bezpečnostních kritérií.
  2. Bezpečnostní opatření patří do smlouvy. Ne do hlavy vašeho IT manažera.

Konkrétní smluvní požadavky upravují dvě prováděcí vyhlášky:

  • Vyhláška č. 410/2025 Sb. pro režim nižších povinností v příloze č. 2 najdete 14 kategorií smluvních ujednání.
  • Vyhláška č. 409/2025 Sb. pro režim vyšších povinností Příloha č. 5 rozšiřuje požadavky na 18 kategirií a přidává celý § 9 věnovaný řízení dodavatelů, včetně identifikace významných dodavatelů, hodnocení rizik a pravidelného přehodnocování.

Kategorizace dodavatelů

Než začnete revidovat smlouvy, potřebujete vědět, s kým máte co do činění. Ne každý dodavatel představuje stejné riziko.

Zákon vám neřekne, jak dodavatele roztřídit to je na vás. V praxi se osvědčuje hodnotit ve dvou rovinách: jaký má dodavatel přístup k vašim datům a systémům a jak snadno ho nahradíte.

Jedna z možných metod je jednoduchá matice:

 

Žádný přístup

Omezený přístup

Plný přístup

Snadno nahraditelný

BĚŽNÝ

ZVÝŠENÁ POZORNOST

VÝZNAMNÝ

Obtížně nahraditelný

ZVÝŠENÁ POZORNOST

VÝZNAMNÝ

KRITICKÝ

Nenahraditelný

VÝZNAMNÝ

KRITICKÝ

KRITICKÝ

Konkrétní hranice si nastavíte podle své organizace a výsledků řízení rizik. Podstatné je, že tento krok uděláte navazuje na něj všechno ostatní: rozsah due diligence, obsah bezpečnostního dodatku i frekvence přehodnocování.

Co k tomu říká zákon

Zákon a vyhlášky pracují s vlastním dělením rozlišují režim povinností vaší organizace a typ dodavatele.

  • Režim nižších povinností (vyhláška č. 410/2025 Sb.) stanovuje základní sadu bezpečnostních opatření. Příloha č. 2 definuje 14 kategorií smluvních ujednání, která musí smlouva s dodavatelem obsahovat. Platí pro všechny dodavatele regulované organizace v tomto režimu.
  • Režim vyšších povinností (vyhláška č. 409/2025 Sb.) požadavky rozšiřuje. Příloha č. 5 obsahuje 18 kategorií smluvních ujednání. Navíc přibývají požadavky na formát předání dat, likvidaci dat, změnu kontroly nad dodavatelem nebo žádosti cizozemských orgánů.

Nad rámec těchto režimů pak zákon definuje dvě zvláštní kategorie dodavatelů:

Významný dodavatel (§ 9 vyhlášky 409/2025). Musíte ho identifikovat, evidovat a hodnotit jeho rizika ještě před uzavřením smlouvy. Indikátory významnosti: přístup k datům nebo systémům, provozování kritické služby, napojení na síťovou infrastrukturu, obtížná nahraditelnost (vendor lock-in), zpracování dat mimo EU nebo koncentrace více služeb u jednoho dodavatele. U významných dodavatelů hodnotíte opakovaně a nedostatky řešíte bez zbytečného odkladu.

Strategicky významný dodavatel. Týká se organizací poskytujících strategicky významné služby. Tady už nejde o vaši interní klasifikaci vláda může nařízením určit, že konkrétní dodavatel nebo typ technologie představuje bezpečnostní riziko. Regulovaná organizace pak musí situaci řešit, případně dodavatele nahradit. Cílí to zejména na geopolitická rizika u hardwaru a síťové infrastruktury.

Podobné povinnosti přináší pro finanční sektor i nařízení DORA (Digital Operational Resilience Act). Pokud spadáte pod NIS2 i DORA současně, řešíte kontrolu dodavatelů a bezpečnostní dodatky paralelně pro oba režimy. Kde DORA stanovuje specifičtější požadavky typicky u řízení ICT rizik třetích stran, exit strategií nebo testování provozní odolnosti — má přednost před obecnější úpravou NIS2.

💬 Řešíte bezpečnost svých dodavatelů? Pomáháme organizacím promítnout interní bezpečnostní dokumentaci do bezpečnostních dodatků ke smlouvám. Připravujeme NIS2 i DORA dodatky na míru.

Ozvěte se

Due diligence: prověrka dodavatele před podpisem

Před uzavřením smlouvy si dodavatele prověřte. Zaměřte se na čtyři oblasti:

  • Organizační zralost. Má dodavatel bezpečnostní politiku? CISO nebo bezpečnostního manažera? Školí zaměstnance?
  • Certifikace a důkazy. ISO 27001, SOC 2 Type II, pen-testové zprávy, pojištění kyber rizik.
  • Technická opatření. Šifrování dat, MFA, patch management, zálohování s testováním obnovy.
  • Subdodavatelský řetězec. Vendor management třetích a čtvrtých stran.

Konkrétní otázky se liší podle role dodavatele. Jinak prověřujete kritického dodavatele s plným přístupem k systémům a jinak běžného dodavatele bez přístupu k datům. Pro inspiraci připojujeme orientační vzor finální podobu si vždy přizpůsobte konkrétnímu dodavateli a riziku. Otázky můžou vypadat třeba takhle:

#

Otázka

Odpověď dodavatele

1

Máte program řízení rizik třetích stran, který zahrnuje i čtvrté strany (subdodavatele vašich subdodavatelů) a je schválen vedením?

 

2

Existují stanovené standardy nebo postupy pro výběr, dohled a hodnocení čtvrtých stran (subdodavatelů dodavatele) v rozsahu poskytovaných služeb?

 

3

Obsahují vaše smlouvy s třetími stranami smluvní závazky, které se rozšiřují na všechny entity v řetězci (subdodavatelé, čtvrté strany)?

 

4

Zahrnují smlouvy s třetími stranami povinnost hlásit incidenty a narušení dat, včetně incidentů u čtvrtých stran?

 

5

Jsou bezpečnostní politiky, standardy a postupy založeny na uznávaných kontrolních rámcích a oborových praktikách?

 

6

Existuje politika nebo postup pro nakládání s informacemi v souladu s jejich klasifikací, schválený vedením a přidělený odpovědné osobě (šifrování, cloudové úložiště, přenosná média, klasifikační štítky apod.)?

 

7

Obsahují pracovní smlouvy potvrzení o seznámení s politikou důvěrnosti / NDA?

 

8

Zahrnuje školení bezpečnostního povědomí techniky pro rozpoznání phishingových pokusů?

 

9

Obsahuje plán reakce na incidenty proces pro okamžité informování klientů a třetích stran o incidentu, včetně přijatých opatření, v souladu s právními, regulatorními a smluvními povinnostmi?

 

10

Provádíte pravidelné prověrky zaměstnanců a dodavatelů, kteří mají přístup k IT systémům a důvěrným informacím?

 

11

Máte kybernetické pojištění v dostatečné výši na pokrytí rizik spojených s narušením dat?

 

12

Zajišťujete, že veškerá projektová data včetně záloh jsou smazána a IT prostředky sanitizovány, když váš personál přestane pracovat na zakázce?

 

Co musí být ve smlouvě: bezpečnostní příloha v praxi

Obě vyhlášky (409 i 410) přesně definují témata, která musí smlouva pokrývat. Neříkají ale, jak má dané ujednání znít jenom co tam musí být.

A v tom je háček. Stejná vyhláška vede k radikálně odlišným smluvním podmínkám podle toho, kdo smlouvu připravuje. Dodavatel ji formuluje pro maximální flexibilitu, objednatel pro maximální kontrolu. Obě verze přitom formálně splní zákon.

Podívejte se, jak dramaticky se ujednání liší:

Téma

Verze dodavatele

Verze objednatele

Důvěrnost trvání

5 let po ukončení smlouvy

Do zveřejnění, tedy potenciálně navždy

Audit frekvence

1× ročně, na dálku, 30 dnů předem

Bez omezení, i ad hoc, 10 dnů předem, na místě

Audit náklady

Každá strana hradí své

Dodavatel hradí nápravu i součinnost

Incident lhůta oznámení

„Bez zbytečného odkladu“

Konkrétně do 12 hodin

Incident součinnost

Bezplatně jen při zavinění dodavatele

Bezplatně vždy

Subdodavatelé námitka

Strany hledají řešení v dobré víře

Objednatel může odmítnout z jakéhokoli důvodu

Subdodavatelé nedohoda

Ukončení dotčené části služeb

Právo ukončit celou smlouvu

Exit doba na migraci

30 dnů + max. 7 měsíců prodloužení

Až 24 měsíců pokračování služeb

Exit podpora

Placená za standardní sazbu

Bezplatná

Autorská práva ke kódu

Zůstávají dodavateli, zákazník má licenci

Přecházejí na objednatele

Změna kontroly

30 dnů na vyjednávání

Okamžité právo na odstoupení

Bezpečnostní politiky

Dodavatel si drží vlastní, zákazníkovy bere jako „referenční rámec“

Dodavatel se řídí politikami objednatele

Řízení změn

Informuje „s přiměřeným předstihem“

Změny jen po písemném schválení, záznamy pro audit

Oprávnění užívat data

Agregovaná data smí dodavatel využít pro statistiku a rozvoj

Žádná licence k datům, ani po anonymizaci

Likvidace dat

Zničení po ukončení, zálohy „přirozeným přepsáním v cyklu“

Vrácení do 5 dnů, písemný protokol, odstranění všech kopií

Obě strany formálně splní vyhlášku. Ale ekonomický dopad je dramaticky odlišný. Rozdíl mezi „exit do 30 dnů" a „exit do 24 měsíců" může v praxi znamenat miliony korun. Rozdíl mezi „bezplatná součinnost jen při zavinění" a „bezplatná součinnost vždy" ovlivní celkovou cenu dodávky.

Záleží tedy na tom, kdo smlouvu píše první. A jestli druhá strana rozumí tomu, co podepisuje.

💬 Potřebujete revidovat smlouvy s dodavateli? Připravujeme NIS2 i DORA dodatky v souladu s vyhláškami č. 409 a č. 410 pro objednatele i dodavatele.

Zjistit víc

Sankce: co hrozí, když to zanedbáte

Nový zákon zavádí citelné pokuty:

  • Organizace v režimu vyšších povinností: až 5 % ročního obratu (§ 59).
  • Organizace v režimu nižších povinností: až 3 % obratu.
  • Dodavatel, který neplní zákonné povinnosti: až 2 % obratu (§ 60).

Odpovědnost za kybernetickou bezpečnost dopadá přímo na vedení organizace. Jednatel ani člen představenstva se jí nezbaví delegováním.

6 kroků ke compliance

Nečekejte na kontrolu NÚKIB. Od registrace máte 12 měsíců na implementaci, ale tohle můžete udělat hned:

  1. Zmapujte dodavatele. Vytvořte přehled všech, kteří mají přístup k vašim systémům, datům nebo infrastruktuře.
  2. Kategorizujte je. U každého vyhodnoťte míru přístupu a nahraditelnost. Rozlišujte běžné, významné a strategicky významné dodavatele.
  3. Proveďte due diligence. U významných a kritických si vyžádejte certifikace, bezpečnostní politiky a informace o subdodavatelích.
  4. Připravte vzorový bezpečnostní dodatek. Na základě vyhlášky 410 (nebo 409 pro vyšší režim).
  5. Zrevidujte stávající smlouvy. Projděte aktuální smlouvy s klíčovými dodavateli a najděte mezery oproti zákonu.
  6. Nastavte interní proces. Pro výběr nových dodavatelů, pravidelné hodnocení stávajících a řešení změn v dodavatelském řetězci.

Tři věci, které si odnést

Smluvní zajištění dodavatelů není volitelné. Zákon ho explicitně vyžaduje a NÚKIB ho bude kontrolovat.

Záleží na tom, kdo smlouvu píše. Totožná vyhláška může vést k diametrálně odlišným podmínkám. Rozdíl mezi „verzí dodavatele" a „verzí objednatele" znamená miliony korun a měsíce právní nejistoty.

Dodavatel, který podepíše cokoliv, pravděpodobně nic neplní. Pokud váš IT dodavatel bez mrknutí oka akceptuje 18 kategorií povinností, je to větší red flag než ten, kdo vyjednává. Vyjednávání ukazuje, že rozumí, k čemu se zavazuje.

Často kladené dotazy

Odpovídáme na nejčastější dotazy k bezpečnostním dodatkům ke smlouvám s dodavateli a řízení dodavatelských rizik podle zákona č. 264/2025 Sb., NIS2 a nařízení DORA.

1
Co je bezpečnostní dodatek ke smlouvě s dodavatelem?
Bezpečnostní dodatek (bezpečnostní příloha) ke smlouvě je smluvní dokument, který promítá požadavky interní bezpečnostní dokumentace organizace do závazných povinností dodavatele. Obsahuje ujednání o důvěrnosti, řízení incidentů, auditech, subdodavatelích, likvidaci dat a dalších oblastech dle vyhlášek č. 409/2025 Sb. a č. 410/2025 Sb.
2
Jaký je vztah mezi NIS2 a českým zákonem č. 264/2025 Sb.?
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti je českou transpozicí evropské směrnice NIS2 (směrnice 2022/2555). NIS2 stanovuje minimální úroveň kybernetické bezpečnosti v celé EU. Český zákon tyto požadavky přebírá a v některých oblastech upřesňuje, zejména pokud jde o povinnosti v oblasti řízení dodavatelů a smluvní dokumentace.
3
Potřebuji bezpečnostní dodatek i pro DORA, nebo stačí NIS2 dodatek?
Záleží na vaší organizaci. Nařízení DORA (Digital Operational Resilience Act) se týká finančního sektoru a klade specifické požadavky na řízení ICT dodavatelů, včetně exit strategií a testování odolnosti. Pokud spadáte pod obě regulace, je vhodné připravit jeden ucelený bezpečnostní dodatek podle DORA jako speciální úpravy. Tím se vyhnete duplicitám a zjednodušíte compliance.
4
Jak promítnout interní bezpečnostní dokumentaci do smluv s dodavateli?
Prvním krokem je analýza vašich interních bezpečnostních politik, směrnic a standardů. Z nich se identifikují požadavky, které se týkají dodavatelů — typicky přístupová pravidla, klasifikace dat, hlášení incidentů, požadavky na šifrování nebo pravidla pro subdodavatele. Tyto požadavky se následně formulují jako konkrétní smluvní ujednání v bezpečnostním dodatku ke smlouvě. Cílem je, aby smlouva odrážela vaši skutečnou bezpečnostní praxi, nejen zákonné minimum.
5
Musí mít dodavatel ISO 27001, aby splnil požadavky zákona?
Ne nutně. Zákon nevyžaduje konkrétní certifikaci. ISO 27001, SOC 2 Type II nebo jiné certifikace jsou však silným důkazem organizační zralosti dodavatele. Při prověrce dodavatele (due diligence) je certifikace jedním z faktorů, které snižují riziko. Pokud dodavatel certifikaci nemá, musíte se o to více zaměřit na konkrétní bezpečnostní opatření a jejich smluvní zakotvení v bezpečnostním dodatku.
6
Kdo nese odpovědnost za compliance s kybernetickým zákonem CEO, nebo IT oddělení?
Kybernetická bezpečnost je odpovědností vedení organizace, ne IT oddělení. Jednatel nebo člen představenstva se jí nemůže zbavit delegováním. IT zajišťuje technickou implementaci, ale compliance odpovědnost zůstává na statutárním orgánu. Proto je klíčové, aby vedení rozumělo obsahu bezpečnostních dodatků ke smlouvám s dodavateli a aktivně řídilo dodavatelská rizika.

Potřebujete v této oblasti pomoct?

Neplatné telefonní číslo

Kdo se vám bude věnovat?

Pavel Čech-2

Pavel Čech

Softwarové právo Právo duševního vlastnictví

Sdílejte tento článek na sociálních sítích

Facebook ↗ Linkedin ↗