Najslabším článkom kybernetickej bezpečnosti dnes nie je vlastná infraštruktúra. Je ním dodávateľ, ktorý má prístup k vašim systémom, dátam alebo procesom — a na ktorého ste preniesli časť rizika bez toho, aby ste ho riadili. Smernica NIS2 a slovenský zákon 69/2018 v aktuálnom znení (po novele 366/2024) vás nútia tento problém pomenovať a vyriešiť zmluvne aj prevádzkovo.
Ak ste prevádzkovateľom základnej služby (PZS) alebo poskytovateľom digitálnej služby, do marca 2026 ste mali zaviesť bezpečnostné opatrenia v plnom rozsahu vyhlášky 227/2025 Z. z. — vrátane riadenia dodávateľského reťazca. Prvý audit alebo samohodnotenie musíte mať hotové do marca 2027. Tento článok je praktický návod, ako požiadavky preložiť do reálnych dokumentov, zmlúv a kontrolných mechanizmov, aby ste neostali na papieri, ale aby riziko zo strany dodávateľov reálne klesalo.
Prečo sa o supply chain bezpečnosti hovorí naraz všade
Útoky cez dodávateľský reťazec sú jednou z mála kategórií, ktorá v posledných troch rokoch konzistentne rastie naprieč všetkými sektormi. Útočníci si uvedomili, že kompromitovať jedného softvérového dodávateľa znamená dostať sa do stoviek alebo tisícov organizácií naraz. Preto sa SolarWinds, Kaseya, MOVEit alebo nedávne incidenty na npm balíčkoch (Bitwarden CLI, knižnica Axios) stali učebnicovými prípadmi.
Európsky regulátor na to reagoval. NIS2 (smernica EÚ 2022/2555) explicitne zaraďuje supply chain risk medzi povinné prvky riadenia kybernetickej bezpečnosti. Čl. 21 ods. 2 písm. d) NIS2 vyžaduje od povinných subjektov bezpečnosť v reťazci dodávok, vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi subjektom a jeho priamymi dodávateľmi alebo poskytovateľmi služieb. Slovensko transponovalo túto požiadavku novelou 366/2024 do zákona 69/2018 — konkrétne do § 19a, ktorý detailne upravuje vzťah medzi PZS a treťou stranou.
Čo presne hovorí § 19a zákona 69/2018
§ 19a zákona o kybernetickej bezpečnosti zaviedol povinnosť, ktorá v predchádzajúcej úprave existovala len v zúženej forme. Po novele 366/2024 znie podstata takto: ak prevádzkovateľ základnej služby využíva tretiu stranu (dodávateľa) na činnosti, ktoré priamo súvisia s dostupnosťou, dôvernosťou a integritou jeho sietí a informačných systémov, musí s ňou uzavrieť písomnú zmluvu o zabezpečení plnenia bezpečnostných opatrení a oznamovacích povinností. Pri uzatváraní zmluvy je povinný vykonať analýzu rizík tohto dodávateľského vzťahu.
Tretia strana je počas trvania zmluvy povinná:
- vykonávať a realizovať bezpečnostné opatrenia v súlade s uzatvorenou zmluvou aj v súlade so zákonom o kybernetickej bezpečnosti,
- podrobiť sa kontrole plnenia týchto opatrení zo strany PZS,
- v prípade kritickej základnej služby sa podrobiť aj kontrole zo strany NBÚ — vtedy má dodávateľ status PZS,
- zriadiť zástupcu na území EÚ, ak ide o dodávateľa bez sídla v EÚ.
Výnimky sú dve. Po prvé, ak je samotný dodávateľ tiež PZS alebo poskytovateľom digitálnej služby — vtedy už podlieha rovnakej regulácii a nie je potrebné duplicitné zmluvné dojednanie. Po druhé, ak riziko spojené s činnosťou dodávateľa je nízke, čo musí PZS zdokumentovať v analýze rizík.
Toto je dôležitý nuans, ktorý mnohé organizácie prehliadajú. Nestačí podpísať generickú „klauzulu o kybernetickej bezpečnosti“ v zmluve. Pre každého dodávateľa musíte vedieť odôvodniť, prečo ste sa rozhodli pre konkrétny rozsah opatrení. Tento záznam je predmetom kontroly NBÚ aj predmetom auditu kybernetickej bezpečnosti.
Čo k tomu pridáva vyhláška 227/2025
Vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach (účinná od 1. 9. 2025) konkretizuje, ako majú povinné subjekty požiadavky § 19a vykonávať v praxi. Vyhláška nahradila predchádzajúcu 362/2018 a posúva latku výrazne vyššie. V kontexte dodávateľského reťazca obsahuje tieto kľúčové prvky:
Riadenie životného cyklu dodávateľa. PZS musí mať zavedený proces, ktorý pokrýva výber, hodnotenie, monitorovanie a ukončenie spolupráce s dodávateľom. To znamená, že outsourcing nie je možné riešiť ad hoc — musí ísť o opakovateľný proces s definovanými rolami a zodpovednosťami.
Bezpečnostné požiadavky vo verejnom obstarávaní a v zmluvách. Ak obstarávate IT službu, kybernetické požiadavky musia byť súčasťou súťažných podkladov. V zmluve potom musia byť premietnuté do merateľných a vymáhateľných záväzkov: šifrovanie prenosu, autentifikácia, logovanie, oznamovacia povinnosť pri incidente, právo na audit.
Hodnotenie kritickosti dodávateľa. Vyhláška vyžaduje rozdelenie dodávateľov podľa toho, aký dopad má ich zlyhanie na kritickú službu. Kritickí dodávatelia (napr. cloudový provider hostujúci hlavný IS, externý SOC, externý MKB) si vyžadujú prísnejší režim než dodávateľ tlačiarenských služieb.
Bezpečnostné opatrenia pri vývoji softvéru tretími stranami. Ak si dáte vyvinúť aplikáciu externe, vyhláška vyžaduje konkrétne opatrenia: bezpečnostnú architektúru, code review, testovanie zraniteľností, riadenie verzií, postup pri zmene osôb na strane dodávateľa.
Riadenie identít a prístupov dodávateľov. Účty externých používateľov musia byť oddelené, monitorované, s povinnou viacfaktorovou autentifikáciou pri prístupe k privilegovaným systémom. Vyhláška sprísňuje pravidlá voči predchádzajúcej úprave — bežný „shared admin účet“ pre dodávateľa už nie je akceptovateľný.
Segmentácia siete vo vzťahu k dodávateľom. Externí používatelia majú prístup len do tých zón, ktoré skutočne potrebujú pre výkon služby. Laterálny pohyb cez dodávateľský účet musí byť technicky obmedzený.
Praktický postup: ako zaviesť supply chain bezpečnosť v 6 krokoch
V praxi sa na požiadavky § 19a a vyhlášky 227/2025 dá pozerať ako na šesť po sebe idúcich aktivít. Každá z nich má svoj výstup, ktorý budete potrebovať pri audite alebo pri kontrole NBÚ.
1. Inventár dodávateľov. Spíšte všetkých dodávateľov, ktorí majú akýkoľvek prístup k vašim systémom, dátam alebo k procesom v rozsahu základnej služby. Nielen IT. Patrí sem aj externý správca registratúry, externý mzdový účtovník, dodávateľ fyzickej ochrany s prístupom do serverovne, prevádzkovateľ kamerového systému. Skúsenosť ukazuje, že prvý zoznam zachytí 60 — 70 % skutočného stavu; reálne pokrytie sa rieši až druhým a tretím prechodom cez evidenciu zmlúv, prístupových účtov a sieťových logov.
2. Klasifikácia podľa kritickosti. Pre každého dodávateľa odpovedzte na tri otázky: má prístup k osobným údajom alebo iným chráneným údajom? Má prístup do produkčných systémov? Závisí kontinuita vašej základnej služby od jeho dostupnosti? Podľa odpovedí ich rozdeľte do troch kategórií (kritickí, významní, štandardní) a nastavte odlišný režim opatrení.
3. Analýza rizík dodávateľského vzťahu. Pre kritických a významných dodávateľov vykonajte štrukturovanú analýzu — aké hrozby z toho vzťahu vyplývajú, aká je pravdepodobnosť a dopad, aké zostatkové riziko ostáva po opatreniach. Toto je dokument, ktorý § 19a explicitne vyžaduje. Bez neho nemôžete uzavrieť alebo predĺžiť zmluvu so subjektom s dosahom na kybernetickú bezpečnosť.
4. Aktualizácia zmlúv. Existujúce zmluvy treba prepísať alebo doplniť o dodatok. Minimálny rozsah klauzúl: záväzok dodržiavať bezpečnostné opatrenia podľa zákona 69/2018 a vyhlášky 227/2025, oznamovacia povinnosť pri incidente do definovanej lehoty (zvyčajne 24 hodín od zistenia), právo PZS vykonať kontrolu, dôverný režim informácií, sankčné mechanizmy, pravidlá ukončenia a odovzdania dát. Pri kritickom dodávateľovi pridajte aj povinnosť doložiť audit alebo certifikát (ISO 27001, SOC 2 Type II) a jasné pravidlá subdodávateľského reťazca.
5. Technické a procesné opatrenia. Účty dodávateľov oddeliť, MFA na všetkých privilegovaných prístupoch, JIT prístup tam, kde sa to dá, segmentácia siete, logovanie aktivít, pravidelná revízia oprávnení (minimálne polročne). Toto je oblasť, kde organizácie zvyčajne najviac zaostávajú — papier zvládnu, prevádzkové opatrenia nie.
6. Priebežný monitoring a kontrola. Aspoň raz ročne zopakovať hodnotenie kritického dodávateľa, vyžiadať si dôkazy o plnení (správa o audite, výsledok penetračného testu, certifikát). Pri zmene dodávateľa, zmene rozsahu alebo incidente znova vykonať analýzu rizík. Záznamy o všetkom uchovávať — pri kontrole NBÚ alebo audite kybernetickej bezpečnosti budú prvé, čo bude audítor chcieť vidieť.
Najčastejšie chyby pri implementácii
Z auditov, ktoré v rôznych sektoroch vykonáva tím Cyllium, sa opakujú tieto vzory.
Prvou chybou je, že organizácia má v zmluve generickú vetu „dodávateľ sa zaväzuje dodržiavať platné právne predpisy v oblasti kybernetickej bezpečnosti“. Toto je prázdny záväzok. Pri kontrole NBÚ alebo pri audite ho audítor bez výnimky označí za nedostačujúci, pretože z neho nevyplývajú merateľné a kontrolovateľné povinnosti.
Druhou chybou je preceňovanie certifikátu ISO 27001 dodávateľa. Certifikát neznamená, že dodávateľ má opatrenia nastavené pre váš konkrétny prípad. Rozsah pôsobenia (scope) certifikátu môže byť úzky a vylučovať práve tie systémy, na ktorých vám dodávateľ poskytuje službu. Vždy si vyžiadajte Statement of Applicability a overte, či relevantné kontroly sú v scope.
Treťou chybou je absencia exit klauzuly. Čo sa stane s vašimi dátami a so systémami pri ukončení zmluvy? Aké sú lehoty odovzdania, v akom formáte, kto pokryje migračné náklady? Bez exit plánu sa stávate rukojemníkom dodávateľa a vystavujete sa prevádzkovému riziku v okamihu, keď ho najmenej potrebujete.
Štvrtou chybou je podcenenie subdodávateľov. Váš dodávateľ často outsourcuje časť služby ďalej. Ak v zmluve nie je transparentnosť o subdodávateľoch a právo namietať voči ich zmenám, nemáte kontrolu nad celým reťazcom — a regulátor to bude pýtať od vás, nie od neho.
Sankcie a dôsledky pri nesplnení
NIS2 a slovenský zákon zaviedli sankcie, ktoré sú o rád vyššie než pred novelou. Pre tzv. essential entities (kritické základné služby) je to až 10 000 000 € alebo 2 % z celkového ročného obratu — podľa toho, ktorá hodnota je vyššia. Pre important entities je strop 7 000 000 € alebo 1,4 % obratu.
To je trojnásobok až päťnásobok hraníc, ktoré platili predtým. Súbežne sa otvorila aj osobná zodpovednosť štatutárov: vedenie organizácie môže byť vyzvané, aby preukázalo, že dohliadlo na splnenie povinností. Pri opakovaných alebo závažných porušeniach je možný aj zákaz výkonu vrcholových manažérskych funkcií.
Aj ak sa budete pohybovať pod hranicou pokút, dôsledok zlého riadenia dodávateľa má často konkrétnejšiu podobu — incident, ktorý cez dodávateľa prejde do vašich systémov. Zo skúseností z reálnych incidentov vyplýva, že náklady na obnovu, právne riešenie, oznamovacie povinnosti a stratu reputácie spravidla niekoľkonásobne prevyšujú teoretickú pokutu.
Cyllium perspektíva
V Cyllium riešime supply chain bezpečnosť ako prierezovú tému, ktorá sa dotýka analýzy rizík, bezpečnostnej dokumentácie aj prevádzkového dohľadu. Z dvanástich aktívnych managed services projektov, kde poskytujeme externého manažéra kybernetickej bezpečnosti alebo audítorské služby, je dnes vo viac ako polovici dodávateľský reťazec hlavnou pracovnou agendou.
Praktická skúsenosť: organizácie najviac dokopne nie regulačná hrozba, ale konkrétny incident u dodávateľa v rovnakom sektore. Vtedy sa otvorí priestor na rozhovor o klasifikácii, zmluvných úpravách aj o technických opatreniach. Tím Cyllium — 6 certifikovaných manažérov kybernetickej bezpečnosti, 2 certifikovaní audítori KB a kolegovia s certifikáciami CISA, CISM, CDPSE, CEH a GICSP — pomáha klientom najmä v dvoch oblastiach: previesť požiadavky § 19a a vyhlášky 227/2025 do zmluvných šablón vhodných pre konkrétny sektor a zaviesť procesy hodnotenia dodávateľov, ktoré sú udržateľné aj v čase. Cross-sektorové skúsenosti — zdravotníctvo, verejná správa, priemysel a OT prostredie — pomáhajú odlíšiť, čo je v danom kontexte primerané a čo je nadmerná byrokracia.
Čo robiť teraz
Ak ste v roku 2025 boli zapísaní do registra prevádzkovateľov základnej služby, máte 12 mesiacov od zápisu na zavedenie opatrení podľa vyhlášky 227/2025 — vrátane časti o dodávateľoch. Ak ste PZS dlhšie, deadline na plnú implementáciu uplynul v marci 2026 a NBÚ môže začať kontrolovať plnenie. Prvý audit kybernetickej bezpečnosti alebo samohodnotenie potom musíte mať do marca 2027.
Začnite inventárom a klasifikáciou dodávateľov — to je krok, ktorý nepotrebuje veľký rozpočet a posunie vás dopredu najviac. Ak v tom potrebujete pomocnú ruku alebo nezávislé hodnotenie, naša stránka manažéra kybernetickej bezpečnosti opisuje rozsah služby externého MKB a stránka auditu kybernetickej bezpečnosti podmienky pre nezávislé overenie.
Najčastejšie otázky
Musí každý dodávateľ podpísať novú zmluvu podľa § 19a?
Nie každý. Povinnosť uzavrieť osobitnú zmluvu sa týka tretích strán, ktoré vykonávajú činnosti priamo súvisiace s dostupnosťou, dôvernosťou a integritou vašich sietí a informačných systémov. Ak je riziko nízke alebo ak je dodávateľ sám PZS či poskytovateľom digitálnej služby, je možné to v analýze rizík odôvodniť a od osobitnej zmluvy upustiť. Záznam o tomto rozhodnutí však musíte mať.
Aký je rozdiel medzi kritickým a štandardným dodávateľom?
Kritickosť určuje dopad výpadku alebo zlyhania dodávateľa na vašu základnú službu. Kritický dodávateľ je ten, bez ktorého služba prestane fungovať alebo sa výrazne zhorší jej úroveň. Patria sem napríklad cloud providers hostujúci kľúčové aplikácie, externý SOC, dodávateľ priemyselného riadiaceho systému (OT). Štandardný dodávateľ má prístup k službe alebo dátam, ale jeho výpadok nezablokuje prevádzku — typicky externý správca registratúry alebo dodávateľ kancelárskej techniky.
Ako často treba prehodnocovať dodávateľa?
Vyhláška 227/2025 nehovorí o pevnej frekvencii, ale dobrá prax z auditov je: kritickí dodávatelia minimálne raz ročne (s vyžiadaním aktuálnych dôkazov), významní raz za dva roky, štandardní pri obnovení zmluvy. Ad hoc prehodnotenie urobiť pri každej významnej zmene rozsahu služby, pri zmene vlastníka alebo subdodávateľa, alebo pri incidente.
Stačí mať od dodávateľa certifikát ISO 27001?
Nestačí. Certifikát je užitočný indikátor, ale neoslobodí vás od povinnosti zmluvy podľa § 19a a od vlastnej analýzy rizík. Skontrolujte vždy rozsah certifikácie (Statement of Applicability) — môže byť úzky a nepokrývať práve tie systémy, ktoré sa vás týkajú. ISO 27001 navyše negarantuje konkrétne kontroly, len existenciu systému ich riadenia.
Čo ak má dodávateľ sídlo mimo EÚ?
Tretia strana bez sídla v EÚ má povinnosť zriadiť si zástupcu na území EÚ pre účely plnenia zákona o kybernetickej bezpečnosti. Bez tohto zástupcu nemôžete s ňou v rozsahu kybernetických opatrení uzavrieť zmluvu, ktorá by spĺňala § 19a. V praxi to znamená, že globálnych poskytovateľov treba zazmluvniť cez ich európsku entitu alebo trvať na lokálnom kontaktnom mieste s definovanými právomocami.