Které dodavatelsko-odběratelské smlouvy musí odpovídat požadavkům kyberbezpečnosti?

Právní základ a časová účinnost

Požadavky na kybernetickou bezpečnost v rámci dodavatelsko-odběratelských smluv vycházejí z novelizovaného zákona o kybernetické bezpečnosti, který nabyl účinnosti v listopadu 2025 a který do českého právního řádu transponuje evropskou směrnici NIS2.
Tento zákon stanovuje konkrétní povinnosti zejména pro poskytovatele regulovaných služeb a správce kritické infrastruktury, přičemž tyto povinnosti se přenášejí i do jejich smluvních vztahů s dodavateli a subdodavateli.
Firmy, kterých se zákon týká, byly povinny provést revizi svých stávajících smluv a uvést je do souladu s novými požadavky nejpozději k datu účinnosti zákona, případně ve lhůtách stanovených přechodnými ustanoveními.

Smlouvy uzavírané s dodavateli, kteří vyvíjejí, upravují nebo spravují bezpečnostní software využívaný při ochraně kritické infrastruktury nebo při zajišťování regulovaných služeb, patří mezi nejvýše prioritní smluvní vztahy z pohledu kybernetické bezpečnosti.
V těchto smlouvách musí být explicitně upraveny podmínky bezpečného vývoje softwaru, požadavky na testování zranitelností, způsoby hlášení bezpečnostních incidentů a povinnosti dodavatele reagovat na zjištěné hrozby v předem definovaných časových lhůtách.
Součástí těchto smluv by měla být rovněž ustanovení o auditních právech odběratele, tedy o právu ověřit, zda dodavatel skutečně dodržuje dohodnuté bezpečnostní standardy.

Jakákoli smlouva, jejímž předmětem je údržba, správa, monitoring nebo provoz informačních systémů, které jsou součástí nebo podporují fungování regulované služby, musí obsahovat detailní bezpečnostní požadavky odpovídající zákonu o kybernetické bezpečnosti.
Tyto smlouvy musí zejména upravovat způsob a rozsah přístupu dodavatele k systémům odběratele, podmínky vzdáleného přístupu, povinnosti mlčenlivosti a ochrany dat, jakož i postupy při výskytu bezpečnostních incidentů.
Důležitou součástí je rovněž úprava odpovědnosti dodavatele v případě, že jeho činností dojde k narušení bezpečnosti systémů odběratele, včetně sjednání odpovídajících smluvních sankcí.

Smlouvy o poskytování cloudových služeb, hostingu, datových úložišť nebo vzdálené správy infrastruktury jsou z pohledu kybernetické bezpečnosti mimořádně citlivé, neboť v jejich rámci dochází k uložení nebo zpracování dat mimo přímou kontrolu odběratele.
Tyto smlouvy musí obsahovat jasná ustanovení o geografické lokaci datových center, úrovních dostupnosti služby (SLA), šifrování přenášených i uložených dat, zálohovacích procesech a postupech obnovy po havárii.
Zvláštní pozornost je třeba věnovat zajištění souladu poskytovatele cloudových služeb s příslušnými bezpečnostními certifikacemi a standardy, jako jsou ISO 27001 nebo SOC 2, jejichž splnění by mělo být smluvně garantováno.

U smluv s externími dodavateli IT služeb nebo technickými správci různých technologických celků je zákonem výslovně vyžadováno striktní řízení přístupových práv, a to jak z hlediska rozsahu přidělených oprávnění, tak i z hlediska časového omezení a průběžného přezkumu těchto oprávnění.
Smlouvy musí stanovovat povinnost dodavatele používat vícefaktorové ověřování při přístupu k systémům, vést záznamy o veškerých přístupech a změnách v systémech a neprodleně informovat odběratele o jakýchkoli bezpečnostních událostech nebo podezřeních na incident.
Dále musí tyto smlouvy upravovat podmínky vstupu zaměstnanců dodavatele do fyzických prostor odběratele v případě, kdy tito zaměstnanci přicházejí do kontaktu s prvky kritické infrastruktury nebo citlivými technologiemi.

Povinnosti plynoucí ze zákona o kybernetické bezpečnosti se mohou částečně dotýkat i celé řady dalších smluvních vztahů, které na první pohled nemusí působit jako přímá součást dodavatelského řetězce kybernetické bezpečnosti, avšak svým charakterem mohou mít nezanedbatelný dopad na bezpečnost regulované služby.
Každý takovýto smluvní vztah je nutné individuálně posoudit z hlediska jeho konkrétního dopadu na celkovou bezpečnostní architekturu poskytovatele regulované služby, přičemž toto posouzení by mělo být zdokumentováno jako součást systému řízení bezpečnosti informací.
Příkladem mohou být smlouvy s poskytovateli telekomunikačních služeb, dodavateli fyzické ostrahy, servisními techniky průmyslových zařízení nebo i smlouvy s poradenskými společnostmi, které mají přístup k citlivým informacím o infrastruktuře odběratele.

Pokud poskytovatel regulované služby nevybírá své dodavatele v souladu s požadavky vyplývajícími z bezpečnostních opatření stanovených zákonem, dopouští se tím přestupku proti pravidlům zákona o kybernetické bezpečnosti, a to bez ohledu na to, zda v důsledku tohoto pochybení skutečně došlo k bezpečnostnímu incidentu.
Stejně tak se přestupku dopouští ten poskytovatel regulované služby, který sice dodavatele formálně vybral správně, avšak požadavky kybernetické bezpečnosti nezahrnul do uzavřené smlouvy, nebo je zahrnul pouze v nedostatečném rozsahu neodpovídajícím zákonným požadavkům.
Za takovéto přestupky hrozí pokuta dosahující výše stovek milionů korun, přičemž výše sankce se odvíjí od závažnosti pochybení, velikosti dotčené organizace a míry ohrožení, které nedostatečné zabezpečení dodavatelských vztahů představovalo pro bezpečnost regulované služby a kritické infrastruktury jako celku.