Preskočiť na obsah
7.37Pokročilý7 min

NIS-2 dodávateľský reťazec: povinnosti pre IT poskytovateľov dotknutých podnikov

Blck Alpaca·
Definition

NIS-2 dodávateľský reťazec označuje bezpečnostné požiadavky, ktoré podnik regulovaný smernicou NIS-2 prostredníctvom zmlúv prenáša na svojich IT a AI poskytovateľov. Základom je článok 21 smernice NIS-2: dotknuté subjekty musia posudzovať a zabezpečovať riziká vo svojom dodávateľskom reťazci. Tým sú fakticky viazaní aj priamo neregulovaní poskytovatelia.

Key Takeaways

  • Článok 21 smernice NIS-2 výslovne zaväzuje dotknuté podniky posudzovať a zabezpečovať bezpečnosť svojho dodávateľského reťazca a svojich priamych poskytovateľov.
  • IT a AI poskytovatelia sú zriedka sami regulovaní smernicou NIS-2, no prostredníctvom zmlúv svojich dotknutých zákazníkov sú fakticky viazaní rovnakými bezpečnostnými požiadavkami.
  • Rozhodujúce nie je, či došlo k útoku: zodpovednosť riadiacich orgánov sa podľa článku 20 a recitálu 137 viaže na porušenie povinnosti, nie na škodu.
  • V Nemecku platí NIS2UmsuCG od 6. decembra 2025; v Rakúsku nadobúda NISG 2026 účinnosť 1. októbra 2026.
  • Kto ako agentúra disponuje štandardmi ako ISO/IEC 27001, BSI C5 alebo AIC4, sa ľahšie kvalifikuje ako dodávateľ dotknutých podnikov.
  • Toto nie je právne poradenstvo: konkrétne povinnosti, lehoty a zmluvné klauzuly je potrebné vyjasniť s kvalifikovanými poradcami.

NIS-2 dodávateľský reťazec opisuje bezpečnostné požiadavky, ktoré podnik regulovaný smernicou NIS-2 prostredníctvom zmlúv prenáša na svojich IT a AI poskytovateľov. Právnym základom je článok 21 smernice NIS-2 (EÚ) 2022/2555: dotknuté subjekty musia posudzovať a zabezpečovať riziká vo svojom dodávateľskom reťazci. Práve tým sa do povinnosti dostávajú aj poskytovatelia, ktorí sami vôbec nespadajú do rozsahu pôsobnosti, no dodávajú dotknutým podnikom.

  • Koho sa to týka? Nie primárne samotnej agentúry, ale jej dotknutého zákazníka. Ten musí zabezpečiť svojich dodávateľov a požiadavky zmluvne prenáša ďalej.
  • Na čom sa to zakladá? Na článku 21 (opatrenia riadenia rizík vrátane bezpečnosti dodávateľského reťazca), ako aj na článku 20 a recitáli 137 (zodpovednosť riadiacich orgánov).
  • Aký je dôsledok? IT a AI poskytovatelia musia dodať preukázateľné technické a organizačné opatrenia, aj bez toho, aby boli formálnym adresátom zákona.

Prečo sú neregulovaní poskytovatelia napriek tomu dotknutí

NIS-2 reguluje subjekty v definovaných sektoroch od určitých veľkostných prahov. Špecializovaná AI alebo webová agentúra spravidla sama nespadá do rozsahu pôsobnosti. Páka leží o úroveň vyššie: článok 21 smernice výslovne zaväzuje základné a dôležité subjekty zahrnúť do svojho riadenia rizík bezpečnosť svojho dodávateľského reťazca a vzťahov so svojimi priamymi poskytovateľmi a dodávateľmi.

Konkrétne to znamená: regulovaný podnik musí posúdiť bezpečnostnú prax svojich dodávateľov, definovať požiadavky a zaistiť ich dodržiavanie. Keďže túto povinnosť môže splniť len vtedy, ak dodávatelia spolupracujú, požiadavky prenáša ďalej zmluvne. Touto cestou sa neregulovaný poskytovateľ stáva fakticky viazaným rovnakými štandardmi, ktoré platia pre jeho zákazníka. Povinnosť teda nevzniká priamo zo zákona, ale zo zmluvy s dotknutým podnikom.

Strategicky to zostruje logika ručenia smernice. Článok 20 vyžaduje, aby riadiaci orgán schválil opatrenia riadenia rizík a dohliadal na ich implementáciu. Recitál 137 jasne uvádza, že zodpovednosť môže nastúpiť aj vtedy, keď si riadiaci orgán nesplnil svoje povinnosti v oblasti governance, a to dokonca aj bez úspešného útoku. Zodpovednosť sa tým viaže na porušenie povinnosti, nie na vzniknutú škodu. Pre prax to znamená: vedenia dotknutých podnikov majú tvrdý vlastný záujem dôkladne preveriť svojich dodávateľov a zmluvne ich zaviazať, pretože opomenutie padá na ich plecia.

Právny rámec v DACH: rovnaký cieľ, rozdielna implementácia

NIS-2 je smernica a musí byť implementovaná na národnej úrovni. Pre dodávateľské reťazce v DACH preto platia rozdielne referenčné rámce, ktoré by mal poskytovateľ poznať.

  • Nemecko: Implementačný zákon NIS2UmsuCG bol 13. novembra 2025 schválený Spolkovým snemom, 5. decembra 2025 vyhlásený a 6. decembra 2025 nadobudol účinnosť bez prechodného obdobia. Rozsah pôsobnosti sa rozširuje z približne 4 500 na asi 29 500 dotknutých podnikov. Registračný portál BSI sa otvoril 6. januára 2026, lehota na prvotnú registráciu uplynula 6. marca 2026. Povinnosti dodávateľského reťazca sú v národnom znení zakotvené prostredníctvom BSIG.
  • Rakúsko: NISG 2026 bol 12. decembra 2025 schválený v Národnej rade, 23. decembra 2025 vyhlásený a o deväť mesiacov neskôr, 1. októbra 2026, nadobúda účinnosť. Rozsah pôsobnosti zahŕňa približne 4 000 podnikov v 18 sektoroch. Charakteristický je systémový prechod k samozaradeniu a samodeklarácii namiesto úradného rozhodnutia, ako aj zriadenie Spolkového úradu pre kybernetickú bezpečnosť pri BMI. Základné subjekty musia zakotviť kybernetickú bezpečnosť na úrovni riadiaceho orgánu.
  • Švajčiarsko: Švajčiarsko nie je viazané smernicou NIS-2, no revidovaným zákonom o informačnej bezpečnosti prevádzkuje paralelný režim. Prevádzkovatelia kritických infraštruktúr musia od 1. apríla 2025 oznamovať závažné kybernetické útoky do 24 hodín Spolkovému úradu pre kybernetickú bezpečnosť (BACS). Švajčiarske dcérske spoločnosti často fakticky spadajú do kontextu NIS-2 dodávateľského reťazca prostredníctvom vzťahov k materskej spoločnosti v EÚ alebo k zákazníkom.

V regulovanom finančnom sektore existuje s DORA (nariadenie (EÚ) 2022/2554) príbuzný, prísnejší model pre riziko tretích strán: články 28 až 30 upravujú riziko tretích strán v oblasti IKT so záväznými zmluvnými požiadavkami, ako sú práva na audit, exit klauzuly a kontroly sub-processorov. Dňa 18. novembra 2025 európske dozorné orgány po prvý raz určili 19 kritických poskytovateľov IKT tretích strán, medzi nimi AWS, Microsoft Azure a Google Cloud. Kto dodáva finančným podnikom, mal by vedieť, že tam sú požiadavky na dodávateľský reťazec zmluvne ešte výrazne prísnejšie.

Čo musí AI agentúra alebo IT poskytovateľ konkrétne dodať

Zmluvné prenášanie povinností nie je abstraktný konštrukt, ale premieta sa do preskúmateľných dôkazov. Nasledujúca tabuľka priraďuje typické požiadavky z katalógu riadenia rizík článku 21 príslušnému zodpovednému subjektu a konkrétnemu opatreniu.

Požiadavka

Dotknutý subjekt

Opatrenie poskytovateľa

Posúdenie rizík dodávateľského reťazca

Regulovaný podnik (objednávateľ)

Vyplniť bezpečnostný dotazník, poskytnúť dôkazy a certifikáty

Bezpečnosť vo vzťahu k priamym poskytovateľom (čl. 21)

Objednávateľ voči poskytovateľovi

Akceptovať zmluvné bezpečnostné klauzuly, dokumentovať technické a organizačné opatrenia

Riadenie informačnej bezpečnosti

Poskytovateľ

Zaviesť ISMS, prednostne certifikovaný podľa ISO/IEC 27001

Riadenie zraniteľností a patchov

Poskytovateľ

Dokumentovaný patch proces, definované reakčné časy

Riadenie prístupov a viacfaktorová autentifikácia

Poskytovateľ

MFA pre všetky relevantné prístupy, princíp least-privilege

Incident response a spolupráca pri oznamovaní

Obaja, koordinovane

Vlastný IR plán, zmluvne prisľúbená súčinnosť pri oznamovacích povinnostiach zákazníka

Kontrola sub-poskytovateľov

Poskytovateľ

Zverejniť a zabezpečiť vlastných subdodávateľov (napr. cloud, LLM provideri)

Dôkaz a audit

Objednávateľ preveruje

Priznať právo na audit, predložiť cloudové dôkazy ako BSI C5 alebo AIC4

Pre AI poskytovateľov pribúda zvláštnosť: vlastný dodávateľský reťazec často obsahuje poskytovateľov modelov a cloudu ako subdodávateľov. Kto integruje LLM cez API, posúva tým ďalší subprocesor do reťazca zákazníka. Tieto subprocesory musia byť zverejnené a posúdené v rámci vlastného bezpečnostného konceptu, pretože dotknutý zákazník nesie zodpovednosť za celý reťazec. V prostredí DACH je AIC4 (AI Cloud Service Compliance Criteria Catalogue) od BSI relevantným referenčným bodom, keď sa AI služby poskytujú prostredníctvom cloudovej služby; rozširuje BSI C5 o kontroly špecifické pre AI.

Praktický príklad: ako sa povinnosť premieta do výberového konania

Konkrétny, typizovaný scenár zo segmentu stredných podnikov objasňuje mechanizmus. Priemyselný podnik v DACH s približne 1 200 zamestnancami sa kvalifikuje ako dôležitý subjekt podľa NIS-2. Zadáva vybudovanie zákazníckeho portálu poháňaného AI externej agentúre.

Pseudokód reťazca povinností:

```
Objednávateľ (dôležitý subjekt)
-> plní čl. 21: riadenie rizík vrátane dodávateľského reťazca
-> podmienka: každý poskytovateľ musí preukázať bezpečnostnú baseline
IF Agentúra.certifikovaná(ISO_27001) == false:
Agentúra vyplní bezpečnostný dotazník
Agentúra akceptuje zmluvné klauzuly (TOM, MFA, IR, zoznam subprocesorov)
Agentúra.zverejniť(Subprocesory = [Cloud-Provider, LLM-Provider])
-> Objednávateľ preveruje, dokumentuje, dohliada (čl. 20)
```

V praxi teda agentúra dostane nielen špecifikáciu pre dizajn a funkcie, ale aj bezpečnostnú prílohu. Musí predstaviť svoj systém riadenia informačnej bezpečnosti, pomenovať svojich subdodávateľov, prisľúbiť postup incident response a priznať právo na audit. Agentúra, ktorá tieto dôkazy dokáže ihneď predložiť, prejde predbežným preskúmaním; agentúra bez zodpovedajúcej štruktúry často vypadne ešte pred odborným pitchom. Z čistej compliance záťaže objednávateľa sa tým stáva výberové kritérium pre dodávateľov.

Posúdenie rizík dodávateľov: pohľad objednávateľa

Z pohľadu dotknutého podniku nie je posúdenie dodávateľov jednorazový akt, ale priebežný proces. Typickými súčasťami sú zaradenie kritickosti poskytovateľa (aký prístup má k systémom a dátam?), preskúmanie bezpečnostných dôkazov, zmluvné zakotvenie požiadaviek a pravidelný dohľad. Čím hlbšie je poskytovateľ zapojený do kritických procesov, tým prísnejšie vyznie preskúmanie. AI poskytovateľ, ktorý produktívne pristupuje k zákazníckym dátam alebo automatizuje workflowy, je posudzovaný prísnejšie ako dodávateľ bez prístupu k dátam.

Pre poskytovateľov z toho vyplýva jasný dôsledok: kto vytvorí transparentnosť o vlastnej bezpečnostnej architektúre a o vlastnom reťazci subprocesorov, znižuje záťaž preskúmania pre zákazníka a robí sa ako partner atraktívnejším. V prostredí DACH BFSI poskytovatelia bez uznaných dôkazov ako ISO/IEC 27001, SOC 2, BSI C5 alebo AIC4 typicky nedosiahnu finálne kolo výberu.

Pre agentúry a B2B rozhodovateľov

Pre agentúry a IT poskytovateľov v priestore DACH NIS-2 posúva logiku konkurencie: preukázateľná informačná bezpečnosť už nie je hygienickým faktorom, ale podmienkou prístupu k zákazkám dotknutých podnikov. Kto vybuduje ISMS, dokumentuje svoj reťazec subprocesorov a spĺňa štandardy ako ISO/IEC 27001 alebo AIC4, získava odolný náskok vo výberových konaniach. Pre B2B rozhodovateľov na strane objednávateľa platí naopak: preskúmanie dodávateľov patrí k vlastnému plneniu povinností a malo by byť včas zabudované do obstarávacích procesov. Ako AI a digitálna agentúra vo Viedni Blck Alpaca pomáha nastaviť AI projekty tak, aby zapadli do riadenia rizík dodávateľského reťazca dotknutých podnikov, od transparentnej dokumentácie subprocesorov až po čisté rozhranie pre oznamovacie povinnosti.

Poznámka: Tento príspevok slúži na odbornú orientáciu a nie je právnym poradenstvom. Konkrétnu dotknutosť, presný výklad článku 21, zmluvné klauzuly, lehoty a možné sankcie je potrebné vyjasniť s kvalifikovanými poradcami v príslušnej jurisdikcii.

Často kladené otázky

Je AI agentúra sama dotknutá smernicou NIS-2, ak dodáva dotknutým podnikom?
Väčšinou nie priamo. NIS-2 reguluje subjekty v definovaných sektoroch od určitých veľkostných prahov. Malá agentúra zriedka sama spadá do rozsahu pôsobnosti. Prostredníctvom článku 21 smernice je však jej dotknutý zákazník povinný riadiť riziká dodávateľov a zmluvne prenášať bezpečnostné požiadavky. Tým sa agentúra stáva fakticky viazanou, bez toho, aby bola formálnym adresátom zákona.
Ktoré články smernice NIS-2 sú relevantné pre dodávateľský reťazec?
Ústredný je článok 21: vymenúva opatrenia riadenia rizík, ktoré musia základné a dôležité subjekty implementovať, vrátane bezpečnosti dodávateľského reťazca a vzťahov s priamymi poskytovateľmi. Článok 20 a recitál 137 navyše zakotvujú zodpovednosť a možnú ručenie riadiacich orgánov, aj bez úspešného útoku.
Čo musí IT poskytovateľ konkrétne dodať?
Typicky preukázateľné technické a organizačné opatrenia: zavedený systém riadenia informačnej bezpečnosti, patch a vulnerability management, riadenie prístupov a MFA, šifrovanie, dokumentovanú incident response, ako aj spoluprácu pri oznamovacích povinnostiach zákazníka. Certifikácie ako ISO/IEC 27001, BSI C5 alebo AIC4 slúžia ako dôkaz a v prostredí DACH sa čoraz viac stávajú výberovým kritériom.
Platí to v Nemecku, Rakúsku a Švajčiarsku rovnako?
Nie. Nemecko implementuje NIS-2 zákonom NIS2UmsuCG, účinným od 6. decembra 2025. Rakúsko schválilo NISG 2026, ktorý nadobúda účinnosť 1. októbra 2026 a stavia na samozaradení a samodeklarácii. Švajčiarsko nie je viazané smernicou NIS-2, no revidovaným zákonom o informačnej bezpečnosti má paralelný režim oznamovacích povinností. Pre dodávateľské reťazce v DACH preto platia rozdielne referenčné rámce.
Je tento príspevok právnym poradenstvom?
Nie. Tento príspevok odborne zaraďuje požiadavky NIS-2 na dodávateľský reťazec a uvádza len overené fakty z podkladového výskumu. Nenahrádza právne preskúmanie. Konkrétne otázky o dotknutosti, zmluvných klauzulách, lehotách alebo sankciách je potrebné vyjasniť s kvalifikovanými poradcami v príslušnej jurisdikcii.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousOznamovacie povinnosti NIS-2: 24-hodinové včasné varovanie v praxiNextNISG 2026 a inštitucionálny dohľad nad kybernetickou bezpečnosťou v Rakúsku