Bezpečnosť dodávateľského reťazca

Úvod

Riadenie bezpečnosti dodávateľského reťazca (supply chain security management) je v posledných rokoch výrazne akcentovanou požiadavkou niekoľkých právnych predpisov EÚ. Okrem smernice NIS2 (ktorá je ďalej predmetom tohto článku) je to najmä nariadenie (EU) 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora (DORA), ktoré stanovuje požiadavky na riziká spojené s externými poskytovateľmi ICT. Taktiež nariadenie (EU) 2024/2847 o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami (CRA), ktoré upravuje kybernetickú odolnosť výrobkov s digitálnymi prvkami (hardvér, softvér); mení zodpovednosť výrobcov aj v dodávateľskom reťazci. Potrebné je spomenúť aj smernicu (EÚ) č. 2024/1760 o náležitej starostlivosti podnikov v oblasti udržateľnosti (Corporate Sustainability Due Diligence Directive), ktorá sa zaoberá povinnosťou podnikov vykonávať náležité posúdenie (tzv. Due Diligence) aj v riadení hodnotového reťazca, a to vrátane tretích strán a dodávateľov.

Požiadavka na bezpečnosť dodávateľského reťazca je transponovaná najmä zo smernice (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (ďalej len „NIS2“) do zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení účinnom od 1. 1. 2025 (ďalej len „Zákon“).

Ustanovenia o bezpečnosti dodávateľov existovali už v predchádzajúcom znení Zákona. Detail bol rozpracovaný v § 9 a § 14 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Tento predpis bol 31. 8. 2025 zrušený a nahradený vyhláškou Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach (ďalej len „Vyhláška“).

Požiadavka na prijatie bezpečnostných opatrení pre riadenie bezpečnosti dodávateľského reťazca je v platnom znení Zákona uvedená v § 20 ods. 2 písm. q) a nepriamo aj v § 20 ods. 2 písm. f). Detail uvádza § 7 ods. 2 Vyhlášky. Oproti pôvodnému detailu, žiaľ, vo výrazne okresanej forme.

Podľa rámca ENISA Good Practices for Supply Chain Cybersecurity (2023) a ISO/IEC 27036-1:2024 Kyberbezpečnosť – Vzťahy s dodávateľmi – Časť 1: Prehľad a koncepty sa termín Supply Chain Security chápe ako súčasť širšieho procesu Supply Chain Risk Management (SCRM).

Bezpečnosť tretích strán v NIS2

Požiadavka na riadenie bezpečnosti tretích strán a bezpečnosť dodávateľského reťazca sa v smernici NIS2 nachádza v niekoľkých ustanoveniach.

Smernica kladie dôraz na strategickú úroveň riadenia bezpečnosti dodávateľského reťazca. Štát má povinnosť zahrnúť do svojej národnej stratégie kybernetickej bezpečnosti politiky, ktoré podporujú bezpečnosť produktov a služieb IKT v dodávateľskom reťazci produktov IKT a služieb IKT, ktoré prevádzkovatelia základnej služby (ďalej len „PZS“) používajú na poskytovanie svojich vlastných služieb [čl. 7 písm. a) NIS2].

Na operačnej úrovni smernica ukladá povinnosť, aby bezpečnostné opatrenia zahŕňali aj bezpečnosť celého dodávateľského reťazca. Organizácie musia pri ochrane sietí a informačných systémov zohľadniť aj bezpečnostné aspekty vzťahov s ďalšími dodávateľmi úplne alebo čiastočne ...