Když společnost outsourcuje své IT systémy a data, stává se z každé slabiny v bezpečnosti dodavatele problém celé společnosti – včetně jejího vedení a právního oddělení. Článek ukazuje, jak evropská a česká regulace kybernetické bezpečnosti a ochrany dat mění smlouvy s poskytovateli cloudových a softwarových řešení a co z toho v praxi plyne pro každodenní práci in-‑house právníků a compliance manažerů.
Proč je potřeba kyberbezpečnost řešit
Ještě před několika lety bylo typické, že smlouva s IT dodavatelem obsahovala jednu obecnou větu o „přiměřených bezpečnostních opatřeních“ a odkaz na zpracovatelskou smlouvu podle GDPR. Dnes je situace zásadně jiná. Nová regulační vlna - směrnice NIS2 a navazující český zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „nZKB“), Cyber Resilience Act, Data Act a stále přítomné GDPR - v kombinaci s řadou velkých incidentů způsobených kompromitací dodavatelského řetězce přinesla do smluvní praxe výrazný posun. Kyberbezpečnost přestala být výhradní agendou IT oddělení a stala se tématem statutárních orgánů a compliance a právních oddělení.
Co se změnilo v regulaci: přehled pro nespecialisty
Než se dostaneme ke smlouvám, stojí za to stručně si ujasnit, které předpisy dnes určují „laťku“ pro trh a regulátory – z pohledu praktických dopadů, nikoli paragrafového výkladu.
NIS2 a nZKB
Směrnice NIS2, transponovaná do českého práva nZKB výrazně rozšiřuje okruh regulovaných subjektů. Nově dopadá na střední a velké podniky v řadě odvětví (např. energetika, doprava, zdravotnictví, digitální infrastruktura, výroba), přičemž rozlišuje dva režimy - vyšší pro „zásadní“ subjekty a nižší pro „důležité“. Klíčový je důraz na bezpečnost dodavatelského řetězce. Regulovaný subjekt totiž musí aktivně řídit kybernetická rizika plynoucí z jeho dodavatelů a partnerů, nikoli se omezit na vlastní systémy.
GDPR jako trvalý průřez
GDPR samo o sobě nepřináší novou vlnu povinností, ale v kontextu kyberincidentů zůstává velmi „živé“. Každý bezpečnostní incident, který se dotkne osobních údajů, je zároveň incidentem z pohledu čl. 32 (bezpečnost zpracování) a čl. 28 (podmínky pro zpracovatele). Takový incident tak může vést i k sankcím jak vůči správcům, tak vůči zpracovatelům.
Cyber Resilience Act
Nařízení o kybernetické odolnosti (Cyber Resilience Act) se postupně začne plně uplatňovat od roku 2027. Toto nařízení zásadně změní odpovědnost výrobců softwaru a hardwaru s digitálními prvky. Výrobci budou muset řešit kybernetická rizika již při návrhu produktu (security by design), zveřejňovat seznam softwarových komponent (SBOM), zajišťovat patch management po dobu životního cyklu a nést odpovědnost i za bezpečnost integrovaných komponent třetích stran. Pro odběratele softwaru to znamená nový rámec pro posuzování bezpečnostní zralosti dodavatelů.
Data Act
Data Act přináší od roku 2025 nové povinnosti pro poskytovatele cloudových služeb. Zákazník má právo přejít ke konkurenci bez zbytečných technických, smluvních či cenových překážek (omezení vendor lock‑inu), poskytovatelé musí smluvně zajistit portabilitu dat, jejich bezpečné mazání po ukončení smlouvy a přiměřenou migrační asistenci. Pro in‑house právníky to v praxi znamená, že smlouvy bez reálného exit plánu a nastavené portability dnes představují minimálně vážné smluvní riziko.
Tři klíčové trendy pro soukromé firmy
1. Kyberbezpečnost jako agenda statutárních orgánů
Nová regulace posouvá kybernetickou bezpečnost na úroveň péče řádného hospodáře. Statutáři, kteří kybernetická rizika ignorují nebo je bez dalšího delegují pouze na IT, se vystavují riziku, že v případě incidentu budou muset obhájit, proč neexistovala adekvátní governance (například schválená bezpečnostní politika, jasné role a odpovědnosti, přidělené zdroje a pravidelný reporting statutárnímu orgánu).
2. „Regulace přes smlouvy“: i neregulovaná společnost pocítí tlak
Stále častěji vidíme, že i společnosti, které samy přímo nepodléhají NIS2 nebo sektorovým regulacím, čelí požadavkům svých zákazníků, kteří regulaci podléhají. Velké korporace, banky, pojišťovny nebo veřejné instituce přenášejí své regulatorní povinnosti do RFP a smluvních podmínek vůči dodavatelům - včetně požadavků na certifikace, auditní práva, reporting, incident management či omezení poddodavatelů. Chce‑li tedy společnost dodávat SaaS nebo outsourcing do těchto segmentů, musí se na tyto standardy připravit, i když jí je zákon přímo neukládá.
3. Bezpečnost dodavatelského řetězce jako nová norma
Velká část dnešních incidentů nezačíná útokem přímo na cílovou organizaci, ale přes kompromitovaného dodavatele nebo společně používaný nástroj. Tlak na Third Party Risk Management (TPRM) – tedy systematické posuzování a průběžné sledování bezpečnostní zralosti dodavatelů – se z finančního sektoru přesouvá do běžné komerční praxe. Certifikace typu ISO 27001 nebo SOC 2 se tak z dřívější konkurenční výhody stávají spíše minimálním standardem ve větších výběrových řízeních.
Co to znamená pro smlouvy s IT dodavateli v praxi
Pojďme k tomu, co in‑house právníky a procurement zajímá nejvíc: jak se uvedené trendy propisují do konkrétních ustanovení smluv.
Bezpečnostní standardy a certifikace
Smlouvy dnes často vyžadují, aby dodavatel udržoval certifikaci ISO 27001 nebo ekvivalent (např. SOC 2 Type II) a aby na vyžádání předkládal aktuální certifikáty či auditní zprávy. Ztráta certifikace by měla být považována za podstatnou změnu, která zakládá povinnost informovat a případně i právo na nápravu či ukončení smlouvy.
Řízení zranitelností a patch management
V prostředí, které směřuje k plnému uplatnění Cyber Resilience Actu, je neudržitelné, aby smlouvy mlčely o lhůtách pro řešení kritických zranitelností. Dobrou praxí je nastavit odlišné lhůty pro kritické a vysoké zranitelnosti a navázat na ně povinnost informovat zákazníka a případně umožnit mimořádný audit.
Incident management a reporting
GDPR pracuje s lhůtou 72 hodin pro oznámení incidentu dozorovému úřadu, NIS2 a nZKB mají vlastní notifikační režimy. Smlouva proto typicky vyžaduje, aby dodavatel informoval zákazníka bez zbytečného odkladu – často v řádu několika hodin od zjištění incidentu – a poskytl do 72 hodin detailní zprávu obsahující popis incidentu, dotčená data a přijatá opatření.
Auditní práva
Právo na audit (ať už přímý, nebo prostřednictvím akreditovaného auditora) je dnes standard, ale jeho přínos závisí na konkrétní formulaci. Důležitý je popis rozsahu, frekvence, podmínek provedení a také zvláštní režim pro forenzní audit v případě incidentu, včetně přístupu k logům a další relevantní dokumentaci. Nicméně pro samotnou praxi je nejdůležitější faktické pravidelné provádění takového auditu – samotné (nikdy nevyužité) právo logicky nestačí.
Odpovědnost, pojištění a SLA
Standardní limity odpovědnosti (např. jednonásobek či dvounásobek ročního plnění) často neodpovídají rozsahu potenciálních škod při větším incidentu. Častým řešením je vyčlenění bezpečnostních porušení nebo hrubé nedbalosti z obecného limitu (carve‑out) a požadavek na přiměřené kybernetické pojištění dodavatele.
Exit a portabilita dat (Data Act)
Exit klauzule už nejsou formalitou na konci smlouvy. Data Act dává zákazníkům nárok na portabilitu a omezuje překážky přechodu ke konkurenci. Smlouvy proto čím dál častěji definují formáty pro export dat, lhůty pro poskytnutí exportu, způsob bezpečného smazání dat (včetně potvrzení o výmazu) a rozsah migrační asistence.
Provázání s DPA a ISMS
Klíčové, ale v praxi často podceněné je sladění bezpečnostní přílohy, DPA (Data Processing Agreement) podle GDPR a interních bezpečnostních politik či ISMS (Information Security Management System). Pokud tyto dokumenty vznikají odděleně, hrozí rozpory (například rozdílné definice incidentu nebo notifikační lhůty). Dobrou praxí je pracovat s jednotnou terminologií a smluvně vymezit hierarchii dokumentů tak, aby v případě konfliktu bylo zřejmé, co má přednost.
Závěr: konkrétní kroky pro společnosti
Komplexní regulace se dá převést do několika konkrétních kroků, které jsou zvládnutelné i pro „běžnou“ obchodní společnost.
- Zmapujte svůj regulatorní status. Ověřte, zda vy nebo vaši klíčoví zákazníci spadáte pod NIS2/nZKB a v jakém rozsahu.
- Proveďte audit stávajících IT smluv. Identifikujte smlouvy, kde chybí bezpečnostní standardy, jasné notifikační povinnosti o incidentech, auditní práva, flow‑down na poddodavatele nebo exit/portabilita dle Data Act.
- Aktualizujte šablony IT smluv a DPA. Připravte modulární bezpečnostní přílohu provázanou s DPA a interním ISMS a počítejte s tím, že půjde o živý dokument, který se bude vyvíjet spolu s regulací a praxí.
- Nastavte procesy řízení rizik třetích stran (TPRM). Zaveďte kategorizaci dodavatelů podle citlivosti a systematické hodnocení jejich bezpečnostní zralosti – při onboardingu i průběžně.
- Otestujte incident response se svými klíčovými dodavateli. Ujistěte se, že vědí, koho kontaktovat, v jaké lhůtě a jaká data vám musí poskytnout, abyste byli schopni splnit vlastní oznamovací povinnosti.
- Zařaďte kyberbezpečnostní rizika do agendy statutárního orgánu. Pravidelný reporting kybernetických rizik a stavu opatření statutárnímu orgánu je dnes součástí standardní péče řádného hospodáře, nikoli nadstandardní luxus.
- Připravte realistické exit scénáře pro klíčové cloudové služby. Ověřte, že od svých poskytovatelů skutečně dokážete data ve standardním formátu vyexportovat a v přiměřené lhůtě přenést jinam, včetně bezpečného výmazu u původního poskytovatele.
Kyberbezpečnost se v průběhu let stala již přirozenou součástí standardní právní péče. Nikoli proto, že jde o módní téma, ale proto, že regulace, pojistitelé i obchodní partneři ji začínají vnímat jako podmínku spolupráce. Společnosti, které tuto změnu včas zachytí a promítnou do smluvní dokumentace i vnitřních procesů, mohou výrazně snížit regulatorní i reputační riziko a současně posílit svoji pozici na trhu.
Tým HAVEL & PARTNERS dlouhodobě pomáhá soukromým společnostem i dodavatelům IT řešení propojovat požadavky kybernetické bezpečnosti, ochrany dat a smluvní praxe tak, aby byly dobře uchopitelné pro byznys a současně obstály před regulátorem. Pokud tedy chcete mít jistotu, že vaše smluvní dokumentace i interní procesy kybernetickou regulaci skutečně „unesou“, rádi s vámi projdeme konkrétní smlouvy, nastavíme vhodné bezpečnostní a exit klauzule a pomůžeme vám připravit se na požadavky vašich zákazníků i dozorových orgánů.
