Které dodavatelsko-odběratelské smlouvy musí odpovídat požadavkům kyberbezpečnosti?
Problematika kybernetické bezpečnosti již dávno přesáhla hranice interních IT oddělení a stala se nedílnou součástí každodenního fungování firem a organizací napříč celým spektrem odvětví, přičemž dodavatelsko-odběratelské vztahy představují jednu z klíčových oblastí, kde je správné nastavení pravidel kybernetické bezpečnosti naprosto zásadní a nelze jej v žádném případě podceňovat ani opomíjet.
Zákonné požadavky a jejich dopad na smluvní dokumentaci
Požadavky na kybernetickou bezpečnost vyplývající z novelizovaného zákona o kybernetické bezpečnosti, který nabyl účinnosti v listopadu roku 2025 a který do českého právního řádu implementuje evropskou směrnici NIS2, se vztahují především na smlouvy týkající se poskytování specifických regulovaných služeb a správy kritické infrastruktury, což v praxi znamená, že dotčené subjekty musí důkladně přezkoumat veškerou svou smluvní dokumentaci a zajistit, aby tyto smlouvy obsahovaly veškeré zákonem vyžadované náležitosti a bezpečnostní požadavky, přičemž tato povinnost se nevztahuje pouze na nově uzavírané smlouvy, ale v mnoha případech i na smlouvy již existující, které je nutné uvést do souladu s aktuálně platnou legislativou v přiměřené lhůtě stanovené zákonem.
Konkrétní kategorie smluv podléhající přísné regulaci
Mezi smlouvy, na které dopadají nejpřísnější požadavky zákona o kybernetické bezpečnosti, patří v první řadě smlouvy uzavírané s vývojáři klíčového bezpečnostního softwaru, neboť právě tento software tvoří páteř ochrany celých informačních systémů regulovaných subjektů a jakékoli bezpečnostní nedostatky na straně jeho vývojáře mohou mít fatální důsledky pro celou chráněnou infrastrukturu, dále pak smlouvy na údržbu a správu informačních systémů, v jejichž rámci mají dodavatelé přímý přístup k citlivým datům a systémům odběratele, a rovněž smlouvy o cloudových a hostingových službách, které v moderním podnikatelském prostředí zajišťují provoz stále většího množství kritických aplikací a datových úložišť, přičemž u všech těchto kategorií, stejně jako u smluv s externími dodavateli IT a správci technologií, je zákonem výslovně vyžadováno striktní a prokazatelně dokumentované řízení přístupových práv, které musí být jako závazný smluvní požadavek výslovně zakotveno v textu každé takové smlouvy.
Širší okruh smluvních vztahů a jejich individuální posouzení
Povinnosti plynoucí ze zákona o kybernetické bezpečnosti se ovšem nezastavují pouze u výše vyjmenovaných kategorií smluv a mohou se zcela nebo i jen částečně dotýkat celé řady dalších smluvních vztahů, které na první pohled nemusí mít s kybernetickou bezpečností nic společného, avšak po důkladné analýze se ukáže, že jejich plnění může mít přímý nebo nepřímý dopad na bezpečnost regulované služby, a právě proto je nezbytné, aby každý regulovaný subjekt přistupoval k posouzení svého smluvního portfolia individuálně, systematicky a s dostatečnou odbornou péčí, ideálně za asistence právních a technických specialistů na kybernetickou bezpečnost, kteří jsou schopni objektivně vyhodnotit míru rizika spojeného s konkrétním smluvním vztahem a navrhnout odpovídající smluvní záruky a bezpečnostní opatření šitá na míru danému vztahu a danému regulovanému prostředí.
Sankce za nedodržení povinností a motivace k zodpovědnému přístupu
Regulovaný subjekt, který při výběru svých dodavatelů nepostupuje v souladu s požadavky vyplývajícími z jím povinně přijatých bezpečnostních opatření, nebo který tyto zákonné požadavky důsledně nezapracuje do textu uzavíraných smluv, se dopouští přestupku ve smyslu zákona o kybernetické bezpečnosti, za který mu hrozí velmi citelná finanční sankce dosahující výše až stovek milionů korun, přičemž uložení takové pokuty může mít pro mnohé subjekty likvidační charakter, a právě proto je naprosto nezbytné, aby firmy a organizace, na které zákon dopadá, nepodceňovaly svou smluvní připravenost a věnovaly patřičnou pozornost nejen technickým, ale i právním aspektům kybernetické bezpečnosti, neboť obě tyto dimenze jsou stejně důležité a vzájemně se doplňují při budování skutečně komplexní a zákonem vyžadované ochrany regulovaných služeb a kritické infrastruktury.
