Požadavky na objednatele z pohledu zajištění kybernetické bezpečnosti v rámci IT dodávek jsou pro některé případy upraveny legislativně. To však lze vnímat pouze jako minimální povinný standard u významných dodavatelů nebo provozovatelů v režimu zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „ZKB“). Úprava bezpečnostních požadavků by však měla být systematicky řešená i u dalších IT zakázek, a to zejména s ohledem na možné následky v rámci kybernetických bezpečnostních incidentů. Smluvní zajištění kybernetické bezpečnosti tak nelze v žádném případě podceňovat a objednatel by se měl vždy zamyslet, co a jak ve smlouvách upravit.
Současná úprava požadavků na smlouvy s dodavateli
Aktuální tuzemská právní úprava vychází ze ZKB a vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (dále jen „VKB“). V návaznosti na přijetí Směrnice Evropského parlamentu a Rady EU 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen „směrnice NIS 2“) a její transpozici má být aktuální ZKB nahrazen novým zákonem o kybernetické bezpečnosti (dále jen „NZKB“). Pokud jde o režim nastavený aktuální právní úpravou v ZKB, tak je třeba v rámci uzavírání smluv s dodavateli nejprve definovat povinné osoby, které jsou vymezeny v § 8 VKB. Tyto povinné osoby totiž řídí rizika spojená s dodavateli. Před samotným uzavřením smlouvy a při výběru dodavatele je třeba zohlednit stanovená bezpečnostní opatření dle výsledku analýzy rizik. Veškerá rizika spojená s dodavateli posuzují samotné povinné osoby. Dále dle § 4 odst. 4 ZKB je nutné zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele a tyto požadavky je třeba zahrnout do smlouvy, která má být s dodavatelem uzavřena. Právní úprava od obecné kategorie dodavatelů odlišuje ještě kategorii významných dodavatelů (a její podmnožinu provozovatelů), kteří se vyznačují svou důležitostí v právním vztahu z hlediska systému bezpečnostního, informačního a komunikačního (bližší vymezení § 2 písm. n VKB). Právě jednotlivé požadavky na obsah smlouvy s významnými dodavateli (bezpečnostní opatření pro smluvní strany) jsou obsaženy v příloze č. 7 VKB. Mezi taková nutná ustanovení smlouvy patří např.:
- ustanovení o bezpečnosti informací (z pohledu důvěrnosti a integrity),
- ustanovení o oprávnění užívat data,
- ustanovení o autorství programového kódu,
- popřípadě programových licencí,
- ustanovení o kontrole auditu dodavatele (pravidla zákaznického auditu),
- ustanovení o souladu smluv s obecně závaznými právními předpisy,
- ustanovení o řízení změn,
- pravidla o likvidaci dat a další.
Povinná osoba pak musí zajistit, aby smlouva tyto náležitosti vyčtené v příloze č. 7 vyhlášky skutečně obsahovala. Ve chvíli, kdy z důvodu specifického smluvního vztahu nemá určité ustanovení uvedené v příloze náležitou relevanci, je možné takové ustanovení vypustit. Pro smlouvy s ostatními dodavateli, kteří nespadají do kategorie významných dodavatelů, má tato příloha pouze doporučující povahu.
Směrnice NIS2
Výše zmíněná směrnice NIS2 nahrazuje předchozí směrnici 2016/1148 (směrnice NIS), kdy obecně směrnice NIS 2 má výrazně širší okruh subjektů, na které dopadá, než měla předcházející směrnice NIS. Do tohoto širšího okruhu pak spadají i smlouvy s dodavateli. Evropská právní úprava ve směrnici NIS 2 ke smlouvám s dodavateli stanovuje v Čl. 21: „Základní a důležité subjekty by měly přijmout přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, která zahrnují i bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb.“
Jak je z textu patrné, státy mají určitou volnost ve stanovení vnitrostátní právní úpravy, která má danou oblast směrnice naplňovat. Směrnice NIS 2 zavedla kategorie subjektů, které se dělí na základní a důležité podle kritické důležitosti daných subjektů. Právě u těchto subjektů pak klade směrnice důraz na začlenění opatření k řízení kybernetických bezpečnostních rizik do smluvních ujednání se svými přímými dodavateli a poskytovateli služeb, aby zajistila u těchto významných subjektů náležitý standard kybernetické bezpečnosti. Směrnice NIS 2 také stanovuje koordinované posouzení bezpečnostních rizik kritických dodavatelských řetězců na unijní úrovni, do něhož je zapojena agentura ENSIA.
Navrhovaný zákon o kybernetické bezpečnosti
Co se týče zapracování požadavků z oblasti kybernetické bezpečnosti a výše zmíněné směrnice NIS2 v rámci navrhované právní úpravy NZKB, tak návrh zákona přebírá pro smlouvy s dodavateli princip stanovený v § 4 odst. 4 ZKB. S nadcházející novou zákonnou úpravou je také spojena navrhovaná úprava podzákonná, zejména v podobě návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby, která v režimu vyšších povinností plně přebírá dosavadní principy řízení dodavatelů dle ZKB a VKB. V čem se však návrh zákona od stávající úpravy liší, je to, že ruší dosavadní kategorii „provozovatelů“ a ponechává stále kategorii významných dodavatelů, stejně jako tomu je v aktuální zákonné úpravě. Novinkou v rámci navrhované právní úpravy pak je např. mechanismus prověřování bezpečnosti dodavatelského řetězce.
Tipy pro praxi
Smlouvy s dodavateli a smlouvy zasahující do oblasti IT jsou velice specifické a z toho důvodu je třeba s nimi také takovým způsobem pracovat. V rámci smluv s dodavateli a zejména s významnými dodavateli není možné vytvořit zcela univerzální vzor smlouvy či obecně aplikovatelné obchodní podmínky pro všechny případy. Takovými specifickými částmi smluv jsou např. specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy, specifikace podmínek pro řízení kontinuity činnosti v souvislosti s dodavateli. Na druhou stranu je možné určitá ustanovení velice dobře nahradit obchodními podmínkami či smluvními vzory, ovšem není možné z výše zmíněného důvodu rezignovat na pečlivý přístup ke každé smlouvě. V neposlední řadě je třeba jednotlivé požadavky smluv určovat individuálně, ať již jde o bezpečnostní či jiné požadavky smlouvy, a to z důvodu, že i dle metodických pokynů NÚKIB ve smlouvách nelze odkázat na „plnění všech povinností dle ZKB“.