Košík
0
0,00 Kč

Jak NIS2 a DORA dopadají i na neregulované dodavatele?

10.07.2025

Od roku 2025 vstupují v evropském prostředí v účinnost dvě klíčové legislativy v oblasti kybernetické bezpečnosti: směrnice NIS2 a nařízení DORA. Tento článek vysvětluje, proč jejich dopad zdaleka nepokrývá jen formálně regulované subjekty a proč by se na ně měly připravit i jejich dodavatelé. 

Regulační rámec: NIS2 a DORA v praxi 

Evropská směrnice NIS2 (Directive EU 2022/2555) rozšiřuje rozsah kybernetické regulace na desítky sektorů, včetně digitálních služeb, dopravy, energetiky, zdravotnictví nebo veřejné správy. Česká republika implementuje NIS2 prostřednictvím nového zákona o kybernetické bezpečnosti, jehož účinnost je očekávána od podzimu 2025. Směrnice zavádí rozlišení mezi "zásadními" a "důležitými" subjekty, a spolu s tím i odstupňované režimy bezpečnostních povinností.

Nařízení DORA (Regulation EU 2022/2554), které je od 17. ledna 2025 účinné, je určeno pro finanční instituce: banky, pojišťovny, investiční společnosti, fintech platformy aj. Klade důraz na operační kontinuitu, řízení ICT rizik a odpovědnost za ICT třetí strany.

Neregulovaní dodavatelé pod nepřímým tlakem 

Přestože většina malých a středních firem formálně nespadá do přímého rozsahu nové legislativy, jsou zasaženy nepřímo. Regulované subjekty totiž musí:

  • provádět hodnocení bezpečnosti svých dodavatelů,

  • zavést smluvní mechanismy, které umožňují kontrolu, audit či reakci na incident,

  • zajistit, aby dodavatelé neohrožovali jejich vlastní úroveň ochrany.

Tím se bezpečnostní požadavky přenášejí smluvně i provozně i na ty firmy, které v zákoně uvedeny nejsou. V praxi se jedná o široké spektrum dodavatelů: od výrobců a správců zařízení, přes vývojáře softwaru až po servisní firmy.

Co se dnes očekává od neregulovaných firem 

Z pohledu zákazníků (např. nemocnice, univerzita, výzkumná instituce nebo městský dopravní podnik ) není podstatné, zda je dodavatel regulovaný, ale zda je dostatečně bezpečný. Požadavky, které dnes klienti běžně kladou, zahrnují:

  • zavedenou bezpečnostní politiku a dokumentaci,

  • schopnost reagovat na incidenty a hlásit je,

  • řízení přístupů, aktualizací a provozních zásahů,

  • dohledatelnost subdodavatelů,

  • připravenost na audit (technický nebo smluvní),

  • systém pro řízení kontinuity služeb (např. plán obnovy).

Doporučení pro dodavatele: minimalizace rizika ztráty důvěry 

Firmy, které nejsou samy regulované, by měly podniknout několik konkrétních kroků:

  1. Identifikovat, zda jejich odběratelé podléhají NIS2 nebo DORA.

  2. Připravit minimální sadu bezpečnostních dokumentů (např. bezpečnostní politika, BCP, plán reakce na incidenty).

  3. Vést přehled o svých subdodavatelích a jejich zabezpečení.

  4. Umožnit zákazníkům základní formu ověření (např. vyplnění bezpečnostního dotazníku).

  5. Zohlednit kybernetické požadavky ve smluvních podmínkách.

Kybernetická bezpečnost jako tržní standard 

Kybernetická bezpečnost se po roce 2025 stává nejen právní povinností pro velké hráče, ale také podmínkou důvěry a spolupráce v celém ekosystému. I neregulované firmy budou čelit požadavkům, které je přimění zvýšit úroveň svých bezpečnostních procesů a dokumentace. Pro ty, kteří to udělají včas, to bude konkurenční výhoda. Pro ostatní může být rizikem ztráta důležitých zákazníků.

Share