Blog
Dodavatelský řetězec: Achillova pata kyberbezpečnosti – a 7 tipů, jak ji chránit

Dodavatelský řetězec: Achillova pata kyberbezpečnosti – a 7 tipů, jak ji chránit

David Martínek
8. prosince 2025
7 min čtení

Co je „dodavatelský řetězec“ v kyberbezpečnosti

Dodavatelský řetězec (supply‑chain) zahrnuje všechny externí partnery a technologie, které spoluvytvářejí vaše IT/OT prostředí – od fakturačního softwaru přes cloudovou infrastrukturu až po díly výrobní linky či konzultační služby. Útok zaměřený na jediného dodavatele může otevřít zadní vrátka do desítek až stovek organizací – klasickým příkladem je kompromitace SolarWinds z roku 2020 (Microsoft Threat Intelligence Analysis, 2021).

ENISA definuje útok na dodavatelský řetězec jako „kybernetický incident, jehož cílem je zneužití důvěry mezi dodavatelem a odběratelem“ (Supply‑Chain Threat Landscape 2022).

Proč je dodavatelský řetězec pod lupou nového zákona o kybernetické bezpečnosti

  • Rozšířená due‑diligence dodavatelů – povinné subjekty musí pravidelně hodnotit bezpečnost klíčových partnerů.

  • Možnost zákazu technologie – vláda může (na návrh NÚKIB) omezit či zakázat rizikového dodavatele u strategických služeb.

  • Osobní odpovědnost managementu – nový zákon stanoví sankce až do výše 2 % z obratu za porušení povinností včetně nedostatečné kontroly dodavatelů.

7 tipů, jak zabezpečit dodavatelský řetězec

1. Inventarizujte a kategorizujte dodavatele

  • Vytvořte jednotný seznam partnerů (software, hardware, služby).

  • Rozdělte je podle kritičnosti: vysoká, střední, nízká.

2. Zapracujte bezpečnost do smluv (SLA & SLS – Service Level Security)

  • Specifikujte MFA, šifrování, Minimální bezpečnostní standard vyžadovaný u dodavatelů.

  • U klíčových dodavatelů sjednejte oznámení incidentu ve lhůtě odpovídající jeho kritičnosti.

3. Provádějte předaudit a pravidelné kontroly

  • Před podpisem smlouvy požadujte dotazník zabezpečení (např. SIG Lite).

  • Kritické partnery auditujte alespoň jednou ročně.

4. Omezte přístupová práva (princip PoLP)

  • Dodavatel nesmí mít širší přístup, než služba vyžaduje.

  • Využívejte just‑in‑time (JIT) přidělování – například privilegium platné 1 hodinu pro servisní zásah místo trvalého přístupu.

5. Sledujte zranitelnosti dodaných komponent

  • Odebírejte bulletiny CSIRT/NÚKIB a spravujte SBOM (Software Bill of Materials).

  • Nasaďte nástroj pro monitoring SBOM (např. CycloneDX + Dependency‑Track).

6. Testujte závislosti v krizových scénářích

  • V table‑top cvičení simulujte výpadek klíčového dodavatele.

  • Aktualizujte BCP/DRP podle zjištěných slabin.

7. Budujte transparentní vztahy

  • Podepisujte NDA, ale podporujte sdílení hrozeb (TLP: AMBER).

  • Motivujte partnery k certifikaci ISO 27001 nebo TISAX.

Příklad z praxe: zranitelnost Log4Shell

V prosinci 2021 byla zveřejněna kritická zranitelnost Log4Shell v knihovně Log4j 2. I firmy, které Log4j nikdy vědomě nepoužívaly, musely reagovat – problém se skrýval v komponentách třetích stran. Společnosti s aktuálním SBOM lokalizovaly zranitelnou verzi během několika hodin; ostatním trval manuální průzkum dny.

Poučení: Bez inventáře závislostí nelze rychle rozhodnout, zda jste ohroženi.

Rychlá mapa odpovědnosti

Role Odpovědnost Nástroj / Důkaz
Vrcholové vedení Schválit politiku řízení dodavatelů Usnesení boardu
CISO / Manažer ISMS Nastavit metodiku hodnocení dodavatelů ISMS dokument
Nákup / Právní odd. Začlenit bezpečnostní požadavky do smluv Šablona SLA
IT / OT správa Implementovat technické kontroly přístupu Záznam v SIEM
Risk / Compliance Auditovat plnění (1× ročně, ISO 27036) Auditní zpráva

Nejčastější mýty

Mýtus Realita
„Máme ISO 27001, tudíž máme dodavatelskou bezpečnost vyřešenou.“ ISO 27001 je teprve začátek – bez požadavků z ISO 27036 a pečlivé kontroly dodavatelů v praxi zůstávají bezpečnostní díry.
„Stačí nám smlouva o MLP (Master Lease/Purchase – smlouva bez bezpečnostních záruk).“ Bez technických kontrol smlouva nezabrání kompromitaci.
„Dodavatel je zodpovědný za své chyby.“ Regulátor pokutuje vás, pokud nedodržíte due-diligence.

Shrnutí

  • Dodavatelský řetězec je dnes častou vstupní bránou pro útoky.

  • Nový zákon o kybernetické bezpečnosti vyžaduje prokazatelnou kontrolu partnerů.

  • 7 kroků – od inventarizace přes smlouvy až po SBOM – snižuje riziko a zrychluje reakci.

  • Kraita Cyber One eviduje partnery, vyhodnocuje rizika a generuje šablony SLA.

👉 Tip: Spusťte Kraita Cyber One a zjistěte, kteří z vašich dodavatelů představují největší riziko.

Doporučené zdroje

  • ENISA – Threat Landscape for Supply‑Chain Attacks 2022
  • NIST SP 800‑161 r1 – Supply‑Chain Risk Management
  • NÚKIB – Bezpečnostní doporučení k dodavatelskému řetězci, 05/2024
  • CISA – SBOM Guidance for Vendors, 2023
  • Microsoft – SolarWinds Attack Analysis, 2021
Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies