Pravidlům kybernetické bezpečnosti musí odpovídat i mnohé dodavatelské smlouvy
Novým přísnějším pravidlům zákona o kybernetické bezpečnosti, která vycházejí ze směrnice NIS2 a jsou v České republice účinná od roku 2025, musí odpovídat také celá řada dodavatelských smluv, a to zejména těch, které se týkají vývojářů počítačových systémů, poskytovatelů cloudových služeb, správců IT infrastruktury a dalších subjektů pohybujících se v oblasti informačních technologií a digitálních řešení.
Na které smlouvy pravidla dopadají
Prvním a naprosto zásadním krokem ke správnému splnění nových požadavků zákona o kybernetické bezpečnosti a jejich správné implementaci do smluvní dokumentace je přesné a pečlivé určení toho, na které konkrétní dodavatelské smlouvy se daná opatření skutečně vztahují a na které naopak nikoli. Toto rozlišení je klíčové hned z několika důvodů, neboť plošná aplikace bezpečnostních požadavků na všechny smlouvy bez rozdílu by byla nejen administrativně náročná a ekonomicky neefektivní, ale také právně neopodstatněná. Je zcela zřejmé, že smlouva uzavřená například s dodavatelem kancelářského nábytku, vybavení kuchyňky nebo klimatizačních jednotek nepodléhá požadavkům kybernetické bezpečnosti, neboť takovýto dodavatel svým plněním nijak nezasahuje do informačních systémů, digitální infrastruktury ani do bezpečnostních procesů firmy. Naproti tomu smlouvy s dodavateli IT zařízení, softwaru, síťových prvků, zabezpečovacích systémů nebo cloudových platforem je nezbytné z hlediska kybernetické bezpečnosti řešit vždy, přičemž intenzita a rozsah těchto bezpečnostních požadavků se může lišit podle toho, jaký konkrétní vliv má daný dodavatel na celkovou bezpečnostní úroveň firmy a jejích kritických systémů.
Soulad s bezpečnostní dokumentací
Správné a komplexní vymezení klíčových dodavatelů a identifikace těch smluv, v nichž musí být pravidla kybernetické bezpečnosti reálně, důsledně a odpovídajícím způsobem zapracována, musí vycházet z interní bezpečnostní dokumentace firmy a být s ní plně sladěno, zejména pak s dokumentací týkající se analýzy a řízení kyberbezpečnostních rizik. Tento přístup není pouze doporučenou praxí, ale přímo zákonnou povinností, neboť dle ustanovení § 13 odst. 5 zákona o kybernetické bezpečnosti je poskytovatel regulované služby povinen při zavádění nebo provádění bezpečnostních opatření prostřednictvím dodavatele tohoto dodavatele vybrat v souladu s požadavky vyplývajícími z bezpečnostních opatření a současně tyto požadavky závazně promítnout do smluvní dokumentace. Jinými slovy, firma nemůže přistupovat k výběru dodavatele a k uzavírání smluv s ním izolovaně od svého bezpečnostního rámce, ale musí zajistit, aby celý proces výběru dodavatele, nastavení smluvních podmínek a následná správa smluvního vztahu byly v souladu s tím, jak firma identifikovala a ohodnotila kybernetická rizika spojená s danou dodávkou služby nebo produktu, a aby smluvní dokumentace tyto závěry jasně a jednoznačně odrážela.
Standardní versus vyšší bezpečnostní režim
Dalším zcela zásadním aspektem, který musí firmy při nastavování dodavatelských smluv z pohledu kybernetické bezpečnosti zohlednit, je správné určení toho, zda konkrétní smlouva podléhá z hlediska kybernetické bezpečnosti takzvanému standardnímu režimu bezpečnostních opatření, nebo naopak přísnějšímu režimu vyšších opatření, jak jej upravuje příslušná vyhláška vydaná k zákonu o kybernetické bezpečnosti. Toto rozlišení má naprosto zásadní praktický dopad na rozsah, hloubku a závaznost smluvních ujednání, která musí být s dodavatelem sjednána. Pokud se jedná o takzvaného významného dodavatele, jehož plnění má klíčový a nezastupitelný význam pro zajištění kybernetické bezpečnosti celé firmy či konkrétního regulovaného systému, například o dodavatele bezpečnostních prvků IT infrastruktury, správce kritických síťových komponent nebo poskytovatele bezpečnostního monitoringu, musí být jak samotný výběr tohoto dodavatele, tak veškerá smluvní ujednání s ním provedena a nastavena v režimu vyšších bezpečnostních opatření. V takovém smluvním vztahu musí dodavatel nést vysokou míru odpovědnosti, musí být smluvně zavázán k přesnému dodržování všech dohodnutých bezpečnostních pravidel a postupů, a zejména musí být ve smlouvě jednoznačně a detailně upravena pravidla umožňující co nejrychlejší a co nejméně problematické ukončení smluvního vztahu v případě náhlých, závažných nebo opakujících se problémů na straně dodavatele, které by mohly ohrozit bezpečnost firmy.
Riziko vysokých pokut
Pokud uzavřený smluvní vztah s dodavatelem, nebo již samotný proces výběru klíčového dodavatele, neodpovídá požadavkům na bezpečnostní opatření stanoveným zákonem o kybernetické bezpečnosti, vystavuje se firma, která takto podceňuje a zanedbává plnění povinností v režimu vyšších bezpečnostních opatření, velmi závažným právním a finančním důsledkům, neboť jí hrozí uložení správní sankce v podobě pokuty dosahující až výše 250 milionů korun českých, anebo alternativně až 2 % čistého celosvětového ročního obratu dané firmy, přičemž platí, že správní orgán uloží sankci ve výši té z uvedených částek, která je v konkrétním případě vyšší, což může v praxi u větších společností znamenat astronomické finanční postihy dalece přesahující samotnou hranici 250 milionů korun, a proto je důsledná a odborná příprava smluvní dokumentace v souladu s požadavky zákona o kybernetické bezpečnosti naprostou nezbytností, nikoliv pouhou formalitou.
