Firmy čeká zásadní změna: stát bude moci zakázat rizikové dodavatele
27. 05. 2025
Návrh nového zákona o kybernetické bezpečnosti přináší výrazné zpřísnění požadavků na české firmy, zejména ty působící ve strategických oblastech. Pokud Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vyhodnotí určitého dodavatele jako bezpečnostní riziko, bude moci navrhnout jeho zákaz. Vláda následně rozhodne o tom, zda daný subjekt bude smět nadále působit v českém dodavatelském řetězci.
Regulace se dotkne desítek tisíc firem, nejen velkých podniků a státních institucí, ale také jejich subdodavatelů. Podle odborníků půjde o zásadní zásah do dodavatelských řetězců napříč sektory – od energetiky přes zdravotnictví až po digitální služby a veřejnou správu.
Změna přinese firmám výraznou administrativní zátěž. Budou muset identifikovat tzv. kritické dodavatele, uzavírat s nimi specifické smlouvy, provádět pravidelné audity, vyžadovat certifikace a veškeré změny hlásit NÚKIB do 10 dnů. Náklady na tyto úpravy se pohybují v řádu statisíců až milionů korun za zabezpečený systém. Celkově půjde podle odhadů o náklady v jednotkách miliard korun.
„Změny budou pro firmy znamenat administrativní zátěž, nutnost upravit smluvní dokumentaci a často i výměnu technologií. Pokud firmy nové povinnosti zanedbají, hrozí jim právní odpovědnost, včetně zveřejnění nesouladu nebo trestního postihu vedení,“ upozorňuje Tomáš Ščerba z DLA Piper.
Proces kontroly rizikovosti bude mít v rukou NÚKIB. Ten obdrží seznam dodavatelů od poskytovatelů strategických služeb, provede jejich posouzení a případně doporučí vládě omezení nebo zákaz. Teprve poté vydá NÚKIB závazný pokyn firmám. Konkrétní lhůty na vyřazení zakázaného dodavatele však zákon nestanovuje – budou určovány individuálně podle situace a například i účetních odpisů.
Někteří experti varují před možným zneužitím nově získaných pravomocí. „Na jedné straně je potřeba chránit stát a jeho systémy, na druhé straně nesmí jít o neomezenou moc bez legislativní opory. Musí být jasně dané, koho a proč lze označit za rizikového, a firmy musí mít možnost se bránit,“ říká Tomáš Budník, Managing Partner skupiny Thein, která se zaměřuje na digitalizaci a kybernetickou bezpečnost.
Přes všechna rizika odborníci považují posílení bezpečnosti dodavatelských řetězců za logické. Kybernetické útoky totiž často míří právě na méně zabezpečené dodavatele, přes které se mohou útočníci dostat dál. Jak ale upozorňují právníci i podnikatelé, zásadní bude, jak bude regulace v praxi provedena – a jak bude stát nakládat se svou novou pravomocí.