Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Moje Daně

Informační portál pro správu daní – Aktuální informace pro laiky i odborníky.

Ostatní informace

Pravidlům kybernetické bezpečnosti musí odpovídat i mnohé dodavatelské smlouvy

Zdeňka Poková

Základní povinnost

  • Nová přísnější pravidla zákona o kybernetické bezpečnosti z roku 2025 vycházející ze směrnice NIS2 se vztahují nejen na samotné firmy, ale přímo dopadají i na jejich dodavatelské smlouvy
  • Povinnost přizpůsobit smlouvy se týká zejména dodavatelů IT systémů, vývojářů softwaru, poskytovatelů cloudových služeb a dalších technologických partnerů

Určení, které smlouvy pravidlům podléhají

  • Prvním a klíčovým krokem je správně identifikovat, kterých dodavatelských smluv se nová pravidla týkají a kterých nikoliv
  • Smlouvy s dodavateli nábytku, klimatizace či jiného netehnologického vybavení pod tato pravidla nespadají
  • Smlouvy s dodavateli IT zařízení, softwaru a zabezpečovacích systémů naopak pravidlům vždy podléhají, a to s různou mírou intenzity požadavků

Soulad s bezpečnostní dokumentací

  • Vymezení klíčových dodavatelů musí vycházet z bezpečnostní dokumentace a analýzy kyberbezpečnostních rizik
  • Výběr dodavatelů a obsah smluv musí být v souladu s § 13 odst. 5 zákona o kybernetické bezpečnosti
  • Zákon výslovně ukládá, že poskytovatel regulované služby je povinen:
    • vybrat dodavatele v souladu s požadavky bezpečnostních opatření
    • tyto požadavky následně závazně promítnout přímo do smluvní dokumentace

Rozlišení režimu opatření – standardní vs. vyšší

  • Každou smlouvu je nutné posoudit z hlediska toho, zda spadá do standardního (nižšího) nebo vyššího režimu bezpečnostních opatření
  • Rozhodujícím kritériem je charakter a důležitost dodávané služby pro celkovou kybernetickou bezpečnost firmy

Zvláštní požadavky na klíčové dodavatele ve vyšším režimu

  • Pokud jde o významného dodavatele zajišťujícího klíčové bezpečnostní prvky IT systému, platí přísnější pravidla:
    • Samotný výběr dodavatele musí proběhnout v režimu vyšších bezpečnostních opatření
    • Dodavatel musí nést vysokou míru odpovědnosti v rámci smluvního vztahu
    • Smluvní podmínky musí být nastaveny přesně a jednoznačně
    • Smlouva musí obsahovat jasně definovaná pravidla pro rychlé ukončení smluvního vztahu při závažných problémech s dodavatelem

Sankce za nedodržení povinností

  • Pokud výběr klíčového dodavatele nebo samotná smluvní dokumentace neodpovídají zákonným požadavkům na kybernetickou bezpečnost, firmě hrozí přísné sankce
  • V režimu vyšších povinností může být uložena pokuta:
    • 250 000 000 Kč, nebo
    • 2 % čistého celosvětového ročního obratu
    • přičemž se uplatní ta vyšší z obou částek

Mohlo by vás také zajímat: Jaké pokuty ohledně kyberbezpečnosti hrozí nově vedení firem? Kdy se musí směrnici NIS2 věnovat malé podniky?

Mohlo by se vám také líbit

Kdo je nespolehlivý plátce DPH?

Zdeňka Poková

Kolik bude příplatek za práci ve ztíženém prostředí v roce 2026?

Zdeňka Poková

Kolik jsou odvody zaměstnavatele 2024?

Zdeňka Poková