20. září 2025. Cestující přijíždějí na letiště Heathrow, Berlín Braniborsko a Brusel. Čekají je zamrzlé obrazovky, ručně psané nástupní průkazy a hodiny zpoždění. Žádný z tamních IT týmů ale to ráno nezaznamenal přímý útok. Ransomware se dostal přes externího dodavatele, který zajišťoval check-in a boarding systémy pro celou řadu evropských letišť najednou. Jeden útok, desítky obětí.
Tohle je přesně scénář, kvůli kterému zákon o kybernetické bezpečnosti č. 264/2025 Sb. věnuje dodavatelskému řetězci celý díl 5 a kvůli kterému vyhláška 409/2025 Sb. obsahuje přílohu č. 5 se specifickými požadavky na smlouvy s dodavateli.
Pokud vaše smlouvy s IT dodavateli, cloudovými providery nebo MSP poskytovateli tato ustanovení neobsahují, máte problém. A ne hypotetický.
Proč je dodavatelský řetězec takový problém?
Čísla jsou jasná. Podle průzkumů pochází 60 % datových úniků od externích dodavatelů. Průměrný náklad takového incidentu je přes 4 miliony eur. A jen 37 % organizací má skutečný přehled o kybernetické bezpečnostní praxi svých dodavatelů.
Útočníci logiku chápou lépe než mnohé IT oddělení: proč útočit přímo na dobře zabezpečenou firmu, když stačí najít jejího méně zabezpečeného IT dodavatele? Dodavatel má přístup do systémů, spravuje síťové prvky, nasazuje aktualizace. V podstatě jde o zadní vrátka, o jejichž existenci víte, ale jejichž zámky jste nikdy nekontrolovali.
Letectví ale není výjimka. ENISA ve svém Threat Landscape reportu za rok 2025 označuje kompromitaci dodavatelského řetězce za jednu z hlavních hrozeb v odvětvích energie, dopravy, financí a veřejné správy – tedy přesně tam, kde platí český zákon o kybernetické bezpečnosti.
Co zákon a vyhlášky skutečně vyžadují
Zákon č. 264/2025 Sb. ukládá regulovaným firmám prověřovat bezpečnost celého dodavatelského řetězce. Klíčové paragrafy jsou 27–31, které zavádějí mechanismus prověřování bezpečnosti dodavatelského řetězce včetně možnosti NÚKIB (resp. vlády) zakázat nebo omezit využití konkrétního dodavatele u strategicky významných služeb.
Pro většinu firem ale podstatnější jsou § 9 vyhlášky 409/2025 Sb. (vyšší režim) a § 3 odst. 5 vyhlášky 410/2025 Sb. (nižší režim), které říkají jednoduchou věc: vaše smlouvy s významnými dodavateli musí obsahovat konkrétní ustanovení.
Kdo je „významný dodavatel"?
Definici najdete v § 2 písm. h) vyhlášky 409. Zjednodušeně: dodavatel, jehož kompromitace nebo výpadek by mohl ovlivnit bezpečnost nebo dostupnost vaší regulované služby. Typicky:
- Poskytovatel cloudové infrastruktury (AWS, Azure, Google Cloud)
- Managed Security Service Provider (MSSP)
- Poskytovatel kritického softwaru (ERP, výrobní systémy)
- Outsourcované IT centrum nebo správce sítě
- Poskytovatel zálohovacích nebo DR služeb
Jakmile dodavatele identifikujete jako významného, musíte ho písemně informovat o tom, že je v evidenci – a do smluv s ním zapracovat příslušná ustanovení.
Příloha č. 5 (vyšší režim) vs. Příloha č. 2 (nižší režim): co do smluv patří
Toto je praktické jádro článku. Oba režimy mají vlastní přílohu, která vyjmenovává požadovaná smluvní ustanovení. Nižší režim (příloha č. 2 vyhlášky 410) jich má 14, vyšší (příloha č. 5 vyhlášky 409) přidává ještě další. Projdeme ty nejdůležitější a co přesně znamenají v praxi.
1. Bezpečnost informací – důvěrnost, integrita, dostupnost
Základ. Dodavatel musí mít smluvně zakotvenou povinnost chránit vaše data. Ne jen GDPR klausulemi, ale konkrétními bezpečnostními požadavky. Minimum: šifrování dat v klidu a při přenosu, jasné definice, kdo má přístup k čemu, a co se stane v případě úniku.
2. Audit dodavatele
Máte právo auditovat bezpečnostní praxi dodavatele, a to buď vlastními silami nebo prostřednictvím třetí strany. Dodavatel to musí smluvně akceptovat. Praxe ukazuje, že velcí cloudoví poskytovatelé (AWS, Azure) mají standardní certifikace (ISO 27001, SOC 2), které audit v podstatě nahrazují. U menších dodavatelů je to citlivější téma, ale zákon vám dává právo to požadovat.
Praktický tip: Nezapomeňte na frekvenci. Jednou ročně je zákonné minimum. Pro kritické dodavatele doporučujeme auditovat při každé větší změně smlouvy nebo po incidentu.
3. Řetězení dodavatelů (subdodavatelé)
Tady se skrývá jedno z největších rizik. Váš IT dodavatel může sám využívat dalšího poskytovatele, o kterém nevíte nic. Smlouva musí řešit, za jakých podmínek může váš dodavatel zapojit subdodavatele a co musí takový subdodavatel splňovat.
Letiště zmíněná na začátku článku nebyla hacknuta přes přímého dodavatele – útočníci pravděpodobně prošli přes subdodavatele v řetězci. Bez smluvního ošetření tohoto bodu nemáte žádnou páku.
4. Exit strategie a podmínky ukončení smluvního vztahu
Co se stane, když musíte dodavatele vyměnit? Máte právo na bezpečné předání všech dat? V jakém formátu? Do kdy? Co se stane s kopiemi dat u dodavatele po ukončení spolupráce?
Tato klauzule se zdá banální, dokud ji nepotřebujete. Pak je zásadní – zejména pokud NÚKIB rozhodne, že váš dodavatel představuje bezpečnostní riziko a musíte ho vyměnit v zákonem stanovené lhůtě.
5. Kybernetické incidenty
Dodavatel musí mít povinnost vám hlásit kybernetické bezpečnostní incidenty, které se ho týkají a které mohou ovlivnit vaši regulovanou službu. A to v časových lhůtách, které jsou kompatibilní s vašimi vlastními povinnostmi hlásit incidenty NÚKIB (prvotní hlášení do 24 hodin).
Bez této klauzule se může stát, že dodavatel incident zatají nebo ho nahlásí s týdenním zpožděním – a vy pak nestihnete vlastní zákonnou povinnost.
6. Kontinuita činností a SLA
Smlouva musí specifikovat, jaké záruky dostupnosti a obnovy dodavatel poskytuje. RTO (Recovery Time Objective – do kdy musí být obnova hotova) a RPO (Recovery Point Objective – o kolik dat maximálně přijdete). Tyto parametry musí být kompatibilní s vaším vlastním BCP/DRP plánem.
7. Dodržování bezpečnostních politik
Dodavatel musí respektovat vaše interní bezpečnostní politiky nebo s vámi odsouhlasit vlastní bezpečnostní politiku, která je kompatibilní. To zahrnuje pravidla pro vzdálený přístup, správu hesel, používání MFA a podobně.
Příloha č. 5 (vyšší režim) nad rámec nižšího přidává:
- Specifikace podmínek pro formát předání dat a informací na výzvu
- Pravidla pro likvidaci dat po ukončení smlouvy
- Právo jednostranně odstoupit od smlouvy při změně kontroly nad dodavatelem (mimořádně důležité v případě akvizic nebo změny vlastníka dodavatele)
- Ustanovení o zpřístupnění dat cizozemskému orgánu (relevantní zejména pro poskytovatele cloudových služeb mimo ČR)
Jak na to prakticky: čtyřkrokový postup
Krok 1: Inventura dodavatelů
Zmapujte všechny dodavatele, kteří mají přístup k vašim systémům, datům nebo infrastruktuře. Výsledkem by měl být seznam s hodnocením: kdo je „významný" a kdo ne. Kritérium: co by se stalo, kdybychom přišli o tohoto dodavatele nebo kdyby byl kompromitován?
Krok 2: Kategorizace rizik
Ne všichni dodavatelé potřebují stejnou úroveň smluvní ochrany. Cloudový provider s ISO 27001 a SOC 2 certifikací je jiné riziko než malá IT firma, která vám spravuje zálohy. Kategorizujte: kritický, vysoké riziko, standardní.
Krok 3: Revize stávajících smluv
Projděte existující smlouvy s klíčovými dodavateli a zkontrolujte, jestli obsahují ustanovení z přílohy. Praxe ukáže, že většina smluv starších než 2–3 roky tato ustanovení nemá nebo je má neúplně. Pro stávající smlouvy hledejte cestu k dodatku; pro nové smlouvy vytvořte šablonu, která přílohu automaticky zahrnuje.
Krok 4: Průběžný monitoring
Zákon nevyžaduje jednorázové ošetření – vyžaduje pravidelné hodnocení rizik u významných dodavatelů a pravidelnou kontrolu zavedených opatření. Minimálně jednou ročně proveďte přezkum: změnil se dodavatel? Má nového vlastníka? Měl bezpečnostní incident? Jsou smluvní podmínky stále aktuální?
Nejčastější chyby, na které narazíme při auditech
„Máme NDA, to stačí." Ne, nestačí. NDA (Non-Disclosure Agreement) chrání informace před únikem, ale neřeší bezpečnostní opatření, audit práva, kontinuitu ani exit.
„Dodavatel je velký, určitě to má v pořádku." Velký neznamená bezpečný. SolarWinds byl velký. 18 000 organizací dostalo ransomware přes aktualizaci jejich softwaru.
„Smlouvu podepsalo právní oddělení. Ti vědí, jak je to správně." Bezpečnostní klauzule jsou technická záležitost, ne jen formální text. Bez zapojení IT a bezpečnostního manažera do přípravy smlouvy vznikají díry, které právník nezachytí.
„Subdodavatele neřídíme, to je věc dodavatele." Ze zákona nesete odpovědnost vy, i když breach přišel přes subdodavatele vašeho dodavatele. Smluvní řetězec musíte mít ošetřen celý.
Kde Kraita Cyber One pomůže
Jednou z nejnáročnějších částí implementace je právě dodavatelský řetězec – je neviditelný, mění se a vyžaduje průběžnou péči. Kraita Cyber One vám pomůže:
- Identifikovat a evidovat významné dodavatele v rámci stanoveného rozsahu
- Mapovat smluvní soulad – které smlouvy přílohu splňují a které mají mezery
- Nastavit procesy pro pravidelné hodnocení rizik u dodavatelů
- Dokumentovat hodnocení způsobem, který obstojí při kontrole NÚKIB
Zákon o dodavatelském řetězci nemluví jen jednou větou. Vyhradil mu celý díl a dvě přílohy. To samo o sobě napovídá, jak moc to zákonodárce myslí vážně.
→ Vyzkoušejte Kraita Cyber One zdarma nebo si domluvte nezávaznou konzultaci.
Zdroje: Agoria – Cyber Risks in the Supply Chain (říjen 2025), Third Wave Identity – NIS2 Supply Chain White Paper (únor 2025), ENISA Threat Landscape 2025, zákon č. 264/2025 Sb. (§§ 27–31), vyhláška č. 409/2025 Sb. (§ 9 + příloha č. 5), vyhláška č. 410/2025 Sb. (§ 3 odst. 5 + příloha č. 2)