Bezpečnosť dodávateľského reťazca

Úvod

Riadenie bezpečnosti dodávateľského reťazca (supply chain security management) je v posledných rokoch výrazne akcentovanou požiadavkou niekoľkých právnych predpisov EÚ. Okrem smernice NIS2 (ktorá je ďalej predmetom tohto článku) je to najmä nariadenie (EU) 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora (DORA), ktoré stanovuje požiadavky na riziká spojené s externými poskytovateľmi ICT. Taktiež nariadenie (EU) 2024/2847 o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami (CRA), ktoré upravuje kybernetickú odolnosť výrobkov s digitálnymi prvkami (hardvér, softvér); mení zodpovednosť výrobcov aj v dodávateľskom reťazci. Potrebné je spomenúť aj smernicu (EÚ) č. 2024/1760 o náležitej starostlivosti podnikov v oblasti udržateľnosti (Corporate Sustainability Due Diligence Directive), ktorá sa zaoberá povinnosťou podnikov vykonávať náležité posúdenie (tzv. Due Diligence) aj v riadení hodnotového reťazca, a to vrátane tretích strán a dodávateľov.

Požiadavka na bezpečnosť dodávateľského reťazca je transponovaná najmä zo smernice (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (ďalej len „NIS2“) do zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení účinnom od 1. 1. 2025 (ďalej len „Zákon“).

Ustanovenia o bezpečnosti dodávateľov existovali už v predchádzajúcom znení Zákona. Detail bol rozpracovaný v § 9 a § 14 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Tento predpis bol 31. 8. 2025 zrušený a nahradený vyhláškou Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach (ďalej len „Vyhláška“).

Požiadavka na prijatie bezpečnostných opatrení pre riadenie bezpečnosti dodávateľského reťazca je v platnom znení Zákona uvedená v § 20 ods. 2 písm. q) a nepriamo aj v § 20 ods. 2 písm. f). Detail uvádza § 7 ods. 2 Vyhlášky. Oproti pôvodnému detailu, žiaľ, vo výrazne okresanej forme.

Podľa rámca ENISA Good Practices for Supply Chain Cybersecurity (2023) a ISO/IEC 27036-1:2024 Kyberbezpečnosť – Vzťahy s dodávateľmi – Časť 1: Prehľad a koncepty sa termín Supply Chain Security chápe ako súčasť širšieho procesu Supply Chain Risk Management (SCRM).

 

Bezpečnosť tretích strán v NIS2

Požiadavka na riadenie bezpečnosti tretích strán a bezpečnosť dodávateľského reťazca sa v smernici NIS2 nachádza v niekoľkých ustanoveniach.

Smernica kladie dôraz na strategickú úroveň riadenia bezpečnosti dodávateľského reťazca. Štát má povinnosť zahrnúť do svojej národnej stratégie kybernetickej bezpečnosti politiky, ktoré podporujú bezpečnosť produktov a služieb IKT v dodávateľskom reťazci produktov IKT a služieb IKT, ktoré prevádzkovatelia základnej služby (ďalej len „PZS“) používajú na poskytovanie svojich vlastných služieb [čl. 7 písm. a) NIS2].

Na operačnej úrovni smernica ukladá povinnosť, aby bezpečnostné opatrenia zahŕňali aj bezpečnosť celého dodávateľského reťazca. Organizácie musia pri ochrane sietí a informačných systémov zohľadniť aj bezpečnostné aspekty vzťahov s ďalšími dodávateľmi úplne alebo čiastočne zabezpečujúcimi plnenie namiesto dodávateľa, vrátane ich priamych dodávateľov alebo poskytovateľov služieb [čl. 21 ods. 2 písm. d) NIS2].

Smernica zároveň vyžaduje, aby organizácie pri výbere a hodnotení dodávateľov zohľadňovali ich špecifické zraniteľnosti, kvalitu produktov a postupy bezpečného vývoja. Tým sa posilňuje dôraz na preukázateľné riadenie rizík spojených s tretími stranami (čl. 21 ods. 3 NIS2).

Dôležitým prvkom je aj požiadavka európskej koordinácie pri posudzovaní rizík kritických dodávateľských reťazcov, ktorá má umožniť jednotný prístup k identifikácii hrozieb a rizikových subjektov v rámci EÚ (čl. 21 ods. 3 NIS2).

NIS2 mení riadenie bezpečnosti dodávateľského reťazca na povinnosť. Organizácie musia preukázateľne hodnotiť a riadiť riziká produktov, procesov a služieb tretích strán a zaviesť overovanie, výber a monitorovanie dodávateľov ako súčasť systému riadenia bezpečnosti.

Nechápte však riadenie bezpečnosti tretích strán len ako administratívnu požiadavku. Ide (alebo malo by ísť) o integrovanú súčasť systému manažérstva informačnej bezpečnosti, prepojenú s obstarávaním, riadením súladom a riadením incidentov.

NIS2 takto spája technické opatrenia, právnu zodpovednosť a regulačný dohľad.

 

Bezpečnosť tretích strán v Zákone

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti vytvára podrobný rámec pre riadenie bezpečnosti tretích strán a preukázateľnú kontrolu ich vplyvu na bezpečnosť prevádzkovateľa základnej služby.

Výrazy „dodávateľ“ ani „tretia strana“ nie sú v zákone terminologicky vymedzené. Po prvom výskyte v paragrafovom znení je však ďalej používaný len výraz „tretia strana“. Z toho sa dá usudzovať, že pre potreby Zákona treťou stranou je dodávateľ výkonu činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby [§ 5 ods. 1 písm. ad)].

Úrad má podľa zákona nielen regulačnú, ale aj hodnotiacu kompetenciu voči dodávateľom. „Úrad v oblasti kybernetickej bezpečnosti posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby … a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky“ [§ 5 ods. 1 písm. ad)]. Toto ustanovenie vytvára mechanizmus štátneho dohľadu nad kľúčovými tretími stranami, ktorých činnosť môže ovplyvniť kybernetickú bezpečnosť štátu.

Súčasťou registra prevádzkovateľov sa podľa zákona stáva aj informácia o významných tretích stranách. „Do registra prevádzkovateľov základnej služby sa zapisuje tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti…“ [§ 17 ods. 1 písm. i)]. Zákon tým uznáva, že niektorí dodávatelia majú fakticky rovnaký význam pre kybernetickú odolnosť ako samotní prevádzkovatelia základných služieb.

Vzťahy s tretími stranami musia byť zmluvne ošetrené aj pre oblasť kybernetickej bezpečnosti. „Prevádzkovateľ základnej služby je povinný … uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík“ (§ 19 ods. 2). Ide o jadro zákonnej povinnosti — každá spolupráca s treťou stranou musí byť podložená riadením rizík a zmluvnou garanciou plnenia bezpečnostných opatrení a notifikačných povinností.

Podľa tohto ustanovenia zároveň platí, že „tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby“ (§ 19 ods. 2). Dodávateľ už nebude môcť obísť povinnosť preukázať plnenie svojich záväzkov v kybernetickej bezpečnosti, aby mohol odberateľovi potvrdiť aj túto stránku kvality svojich služieb.

Zákon pamätá aj na situácie, keď incident u PZS môže ovplyvniť zmluvný vzťah. „Prevádzkovateľ základnej služby je povinný informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente…“ (§ 19 ods. 4). Cieľom je zabezpečiť, aby dodávatelia disponovali informáciami potrebnými na zabránenie laterálneho šírenia zraniteľností, no pri zachovaní povinnosti mlčanlivosti.

Platí to aj naopak. Dôležitou časťou systému riadenia rizík je analýza závislostí na dodávateľskom reťazci. „Prevádzkovateľ základnej služby je ďalej povinný analyzovať závislosti svojich aktív, informačných systémov, využívaných produktov IKT a služieb IKT tretích strán v dodávateľskom reťazci … s cieľom identifikovať možné dopady kybernetického bezpečnostného incidentu“ [§ 19 ods. 6 písm. f)]. Toto ustanovenie vyžaduje, aby PZS mohol odhadnúť možné dopady incidentov, ktoré sa stanú dodávateľom.

Zákon zavádza povinnosť priebežne informovať úrad o zmenách v dodávateľských vzťahoch. „Prevádzkovateľ základnej služby je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou … a aj informáciu o jej ukončení“ (§ 19 ods. 7). Ide o nástroj na priebežnú aktualizáciu registra a zamedzenie spolupráce s neoverenými subjektmi.

Osobitnú pozornosť zákon venuje aj analýze politického rizika spojeného s dodávateľmi z tretích krajín. „Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na …“ (§ 20 ods. 5). Ustanovenie reflektuje geopolitické riziká a povinnosť preverovať vlastnícku štruktúru, väzby na cudzie štáty a ich legislatívne prostredie. V dobe hybridných hrozieb je to pochopiteľná a logická požiadavka Zákona.

Zákon tiež umožňuje úradu priamo zasiahnuť v prípade incidentu. „Povinnosť riešiť kybernetický bezpečnostný incident ukladá úrad rozhodnutím … prevádzkovateľovi základnej služby alebo tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“ (§ 27 ods. 3). Znamená to, že zodpovednosť za riešenie incidentu môže byť uložená aj dodávateľovi, ak jeho činnosť súvisí s incidentom.

V prípade nečinnosti alebo neúspešného riešenia incidentu môže úrad nariadiť nápravné opatrenia. „Povinnosť vykonať reaktívne opatrenie ukladá úrad rozhodnutím … prevádzkovateľovi základnej služby alebo tretej strane…“ (§ 27 ods. 5). Tým sa posilňuje právna vymáhateľnosť bezpečnostných opatrení v celom dodávateľskom reťazci aj pre prípady, keď by PZS nemal vhodne zmluvne ošetrené požiadavky kybernetickej bezpečnosti s dodávateľmi. Ale aj pre prípady, keď je dodávateľ pri riešení závažného kybernetického bezpečnostného incidentu PZS nečinný, alebo ak riešenie závažného kybernetického bezpečnostného incidentu je zjavne neúspešné.

Napokon zákon ukladá aj povinnosť spätnej väzby. „Prevádzkovateľ základnej služby alebo tretia strana … sú povinní bezodkladne oznámiť a preukázať úradu … vykonanie reaktívneho opatrenia a jeho výsledok“ (§ 27 ods. 6). Ustanovenie uzatvára cyklus riadenia bezpečnostného incidentu a zabezpečuje preukázateľnosť vykonaných krokov, najmä pri závažných incidentoch.

Zákon o kybernetickej bezpečnosti posúva riadenie bezpečnosti tretích strán z odporúčania na záväznú povinnosť. Prevádzkovateľ základnej služby musí riadiť vplyv dodávateľov na dostupnosť, integritu a dôvernosť svojich systémov počas celej doby spolupráce.

Prevádzkovateľ základnej služby je povinný:

• uzatvoriť zmluvu o plnení bezpečnostných opatrení s každou treťou stranou,
• vykonať analýzu rizík vrátane politického rizika pred podpisom zmluvy,
• kontrolovať plnenie bezpečnostných povinností,
• oznamovať úradu zmeny v zmluvných vzťahoch a
• spolupracovať pri reaktívnych opatreniach.

Bezpečnosť dodávateľského reťazca je súčasťou národného dohľadu nad kybernetickou bezpečnosťou. Úrad môže posudzovať riziká tretích strán a v odôvodnených prípadoch obmedziť alebo zakázať používanie rizikových produktov, procesov či služieb. Zákon tým vytvára mechanizmus zdieľanej zodpovednosti, v ktorom sú všetky subjekty dodávateľského reťazca viazané na zachovanie požadovanej úrovne kybernetickej bezpečnosti.

Autor: Ing. Ivan Makatura, BSc. CRISC, CDPSE, CCISO