Dodavatelský dotazník NIS 2
Otázky, které musí regulovaný subjekt NIS 2 položit svým dodavatelům. Jednou ukotveno v právu EU. Volně k použití.
Téměř každý nákupní tým na evropském středním trhu si dnes píše vlastní dodavatelský dotazník NIS 2. Stejných zhruba padesát otázek ukotvených v právu EU, v mírně odlišných podobách, posílaných dodavatelům, kteří nakonec vyplňují pět verzí téhož. Tento dotazník je sdílený základ.
Každé pole je ukotveno v primárním zdroji na úrovni EU: NIS 2 čl. 21 odst. 2, CIR 2024/2690, technické prováděcí pokyny ENISA, GDPR čl. 28 nebo akt o kybernetické odolnosti. Sektorové nadstavby jako TISAX, VDA ISA, BSI C5 nebo auditní katalogy KRITIS stojí nad tímto základem, ne místo něj.
- Verze
- 3.1.0
- Naposledy aktualizováno
- 2026-05-15
- Pole
- 59
- Licence
- MIT (schéma) + CC BY 4.0 (obsah)
Profil dodavatele
18 poleObchodní firma (právní název)
Zapsaný název vaší společnosti tak, jak je uveden v obchodním rejstříku. Příklad: Müller GmbH nebo Acme Software Ltd.
Právní základ: ENISA TIG §5.2
Sídlo společnosti
Zapsaná obchodní adresa vaší společnosti. Jedna adresa stačí, i když máte více provozoven.
Právní základ: ENISA TIG §5.2
Země
Země, ve které je vaše společnost právně usazena. Dvě písmena, například DE pro Německo.
Právní základ: ENISA TIG §5.2
Hlavní doména
Vaše hlavní doména, obvykle adresa URL vašich webových stránek. Příklad: acmesoftware.com.
Právní základ: ENISA TIG §5.2(b)
Slogan (jeden řádek, viditelný pro zákazníky)
Jeden řádek shrnující, co nabízíte. Zákazníci jej vidí ve vašem profilu dodavatele. Příklad: ERP pro výrobu v malých a středních podnicích.
Právní základ: ENISA TIG §5.2(b)
Veřejný popis (delší)
Dvě až tři věty o vaší společnosti a tom, co děláte. Zobrazí se ve vašem profilu dodavatele. Prodejní sdělení, bezpečnostní postoj nebo obojí.
Právní základ: ENISA TIG §5.2(b)
Popis poskytovaných služeb
Jeden odstavec o tom, co vaše společnost zákazníkům technicky dodává. Konkrétní produkty, moduly nebo služby. Vyhněte se čistě marketingovému jazyku.
Právní základ: ENISA TIG §5.2(b) + §5.1.4 TIPS
Země / regiony, kde se zpracovávají data zákazníků
Všechny země, kde se ukládají nebo zpracovávají data vašich zákazníků. Oddělené čárkami, kódy zemí ISO. Příklad: DE, NL, US. Pokud zpracováváte výhradně v rámci EU, stačí uvést země EU.
Právní základ: ENISA TIG §5.1.4 TIPS
Jméno bezpečnostního kontaktu
Na koho se zákazníci obrátí, když dojde k bezpečnostnímu incidentu. V menších společnostech často jednatel nebo vedoucí IT. Jedna osoba stačí.
Právní základ: CIR 2024/2690 §5.1.4(d)
E-mail pro kontakt při incidentech
E-mailová adresa, kterou zákazníci používají k nahlášení bezpečnostního incidentu. Ideálně distribuční seznam jako security@example.com, který zastihne více osob.
Právní základ: CIR 2024/2690 §5.1.4(d)
Telefon pro kontakt při incidentech (24/7)
Telefonní číslo pro naléhavá hlášení incidentů. Pokud neprovozujete pohotovost 24/7, uveďte v závorce svou pracovní dobu.
Právní základ: CIR 2024/2690 §5.1.4(d)
SLA pro oznamování incidentů (hodiny)
Počet hodin od zjištění incidentu do oznámení zákazníkovi, nejpozději. Realistické sebehodnocení, nikoli cílová hodnota. Obvyklé hodnoty: 24, 48 nebo 72 hodin.
Právní základ: NIS2 Art. 23
Registrační ID BSI (pouze pokud vaše společnost sama podléhá NIS2)
Pokud vaše společnost sama podléhá NIS 2 a je registrována u BSI, zadejte zde registrační ID. Volitelné. Zákazníci tak na první pohled vidí, že plníte stejnou povinnost jako regulovaný subjekt.
Právní základ: ENISA TIG §5.1.2
Poskytujeme SaaS / hostované služby
Provozujete software pro zákazníky na vlastní infrastruktuře a dodáváte jej přes internet. Pokud nabízíte více modelů, zaškrtněte více políček.
Právní základ: ENISA TIG §5.2(b)
Dodáváme on-premise software
Dodáváte software, který si zákazníci instalují a provozují na vlastní infrastruktuře.
Právní základ: ENISA TIG §5.2(b)
Poskytujeme profesionální služby / poradenství
Vaším hlavním výstupem je lidská práce: poradenství, implementace, školení, audit nebo přizpůsobení.
Právní základ: ENISA TIG §5.2(b)
Poskytujeme spravované služby / MSP
Provozujete pro zákazníka části jeho IT vlastním personálem. Typické pro modely MSP a MSSP.
Právní základ: ENISA TIG §5.2(b)
Používáme, integrujeme nebo poskytujeme systémy AI
Zpracovávají vaše produkty nebo služby data zákazníků prostřednictvím modelu AI nebo ML? Včetně externích modelů, které voláte přes API, například OpenAI nebo Anthropic.
Právní základ: NIS2 Art. 21(2)(d)
Bezpečnostní praktiky
26 poleDokumentovaný systém řízení bezpečnosti informací (ISMS)
Zaškrtněte ano, pokud máte písemnou politiku bezpečnosti informací s přidělenými rolemi, pravidelnými přezkumy a dokumentovaným řešením incidentů. Certifikace ISO 27001 nebo BSI Grundschutz znamená ano.
Právní základ: CIR 2024/2690 §5.1.2(a)
Držení certifikace ISO 27001, BSI Grundschutz nebo rovnocenné
Zaškrtněte ano, pokud vaše společnost aktuálně drží certifikaci ISO 27001, BSI Grundschutz, SOC 2 Type II nebo rovnocennou. Certifikát nahrajte na kartě Certifikace.
Právní základ: CIR 2024/2690 §5.1.2(b)
Každoroční školení o povědomí o bezpečnosti pro všechny zaměstnance
Zaškrtněte ano, pokud každý zaměstnanec absolvuje alespoň jedno každoroční školení o povědomí o bezpečnosti informací. E-learning se počítá, simulace phishingu jsou doplňkem.
Právní základ: CIR 2024/2690 §5.1.4(b)
Prověřování zaměstnanců s přístupem k zákaznickým datům
Zaškrtněte ano, pokud provádíte prověření zaměstnanců s přístupem k zákaznickým datům. Obvyklá úroveň: výpis z rejstříku trestů nebo rovnocenný dokument při nástupu.
Právní základ: CIR 2024/2690 §5.1.4(c)
Dokumentovaný proces řešení zranitelností a instalace záplat
Zaškrtněte ano, pokud máte písemný proces pro řešení bezpečnostních zranitelností: detekce, vyhodnocení, stanovení priorit, záplatování nebo zmírnění. Monitorování CVE a záplatování řízené SLA jsou standardem.
Právní základ: CIR 2024/2690 §5.1.4(f)
Akceptace práva zákazníka na audit (nebo poskytnutí auditních zpráv)
Zaškrtněte ano, pokud zákazníkům buď udělujete právo na audit na místě, nebo poskytujete náhradní auditní zprávy (například SOC 2, ISAE 3402).
Právní základ: CIR 2024/2690 §5.1.4(e)
Využití dalších zpracovatelů / subdodavatelů
Zaškrtněte ano, pokud k poskytování své služby využíváte jiné společnosti, které mají přístup k zákaznickým datům nebo infrastruktuře. Typické příklady: AWS, Azure, Cloudflare, Stripe.
Právní základ: CIR 2024/2690 §5.1.4(g)
Seznam dalších zpracovatelů
Uveďte každého dalšího zpracovatele s názvem, místem zpracování a tím, co pro vás dělá. Postačí tabulka nebo odrážkový seznam. Aktualizujte ji vždy, když nějakého přidáte nebo odeberete.
Právní základ: CIR 2024/2690 §5.1.4(g)
Závazek vrátit / zničit zákaznická data při ukončení smlouvy
Zaškrtněte ano, pokud se smluvně zavazujete vrátit nebo zničit zákaznická data na konci smlouvy. Obvyklá praxe: export a vrácení, poté smazání do 30 dnů.
Právní základ: CIR 2024/2690 §5.1.4(h)
Dostupná standardní smlouva o zpracování dat (DPA)
Zaškrtněte ano, pokud máte standardní smlouvu o zpracování dat podle článku 28 GDPR, kterou mohou zákazníci podepsat. Vyžadováno, jakmile zpracováváte osobní údaje.
Právní základ: GDPR Art. 28
Bezpečnostní politiky se přezkoumávají alespoň jednou ročně
Zaškrtněte ano, pokud se vaše bezpečnostní politiky přezkoumávají alespoň jednou ročně a podle potřeby aktualizují. Písemná poznámka v dokumentu je dostatečným důkazem.
Právní základ: NIS2 Art. 21(2)(a) / ENISA TIG §1.1
Dokumentovaný plán reakce na incidenty
Zaškrtněte ano, pokud máte písemný plán pro řešení bezpečnostních incidentů: kdo rozhoduje, kdo komunikuje, kdo dokumentuje. Alespoň jedno stolní cvičení ročně je dobrou praxí.
Právní základ: NIS2 Art. 21(2)(b) / ENISA TIG §3
Dokumentovaný plán kontinuity činnosti / obnovy po havárii
Zaškrtněte ano, pokud máte plán, který vysvětluje, jak udržíte provoz nebo se rychle zotavíte při výpadku: kritické systémy, záložní řešení, cíle RTO a RPO.
Právní základ: NIS2 Art. 21(2)(c) / ENISA TIG §4
Dokumentovaná politika kryptografie
Zaškrtněte ano, pokud máte písemně stanoveno, jakou kryptografii používáte a kde: data při přenosu (TLS 1.2+), data v klidu (AES-256), správa klíčů, hashovací algoritmy.
Právní základ: NIS2 Art. 21(2)(h) / ENISA TIG §9
Správa privilegovaného přístupu (PAM) pro interní zaměstnance
Zaškrtněte ano, pokud administrátoři a privilegované účty mají dodatečné kontroly: oddělené přihlášení, MFA, protokolování relací nebo přístup just-in-time.
Právní základ: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
MFA vynuceno pro všechny interní administrátorské / privilegované účty
Zaškrtněte ano, pokud každý interní administrátorský nebo privilegovaný účet musí používat MFA. Hardwarové tokeny nebo autentizační aplikace se počítají, SMS nikoli.
Právní základ: NIS2 Art. 21(2)(j)
Vedení inventáře informačních aktiv
Zaškrtněte ano, pokud vedete aktuální seznam každého informačního systému, který používáte k poskytování své služby: servery, databáze, nástroje SaaS, koncové body. Postačí tabulka.
Právní základ: NIS2 Art. 21(2)(i) / ENISA TIG §12.4
Program penetračního testování každý rok nebo každé dva roky
Zaškrtněte ano, pokud si necháváte provést externí penetrační test alespoň jednou za jeden až dva roky. U menších společností je jako minimální krok přijatelné externí skenování zranitelností.
Právní základ: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Na žádost zákazníků zveřejňujeme minulé ohlašovací povinnosti podléhající události kybernetické bezpečnosti
Zaškrtněte ano, pokud na žádost zákazníka otevřeně sdělíte, zda a jaké ohlašovací povinnosti podléhající bezpečnostní incidenty vaše společnost v minulosti měla. Obvyklé okno: poslední tři až pět let.
Právní základ: ENISA TIG §5.1.2
Poskytujeme zákazníkům pomoc při incidentu bez nákladů / za předem stanovené náklady
Zaškrtněte ano, pokud se zavazujete pomáhat zákazníkům bez dodatečných nákladů, když je incident způsoben vaším produktem nebo službou. Pokud místo toho předem sjednáte stanovenou denní sazbu, zaškrtněte rovněž ano.
Právní základ: ENISA TIG §5.1.4 TIPS
Plná spolupráce s příslušnými orgány (BSI, ENISA, národní CSIRT)
Zaškrtněte ano, pokud se zavazujete plně spolupracovat s příslušnými orgány, jako jsou BSI, ENISA nebo národní CSIRT, při inspekcích, auditech a řešení incidentů. Standard pro seriózní dodavatele.
Právní základ: ENISA TIG §5.1.4 TIPS
Informujeme zákazníky o každé podstatné změně ovlivňující poskytování služby
Zaškrtněte ano, pokud se zavazujete informovat zákazníky o každé podstatné změně ovlivňující vaši schopnost poskytovat službu: akvizice, změny dalšího zpracovatele, zásadní technické změny.
Právní základ: ENISA TIG §5.1.4 TIPS
Informujeme zákazníky předem, pokud se mění místa zpracování dat
Zaškrtněte ano, pokud zákazníky informujete předem, než se změní místo zpracování jejich dat. Důležité pro ochranu dat a pro dohled nad dodavatelským řetězcem v souladu s GDPR.
Právní základ: ENISA TIG §5.1.4 TIPS
Dokumentovaná strategie ukončení s povinným přechodným obdobím
Zaškrtněte ano, pokud máte písemnou strategii ukončení: jak dlouho trvá řádné předání, jaká data a znalosti se předávají, k čemu se v průběhu přechodu zavazujete.
Právní základ: ENISA TIG §5.1.4 TIPS
Poskytujeme SBOM-for-AI podle minimálních prvků G7
Volitelné. Zaškrtněte ano, pokud dokážete poskytnout SBOM-for-AI podle minimálních prvků G7 (květen 2026). Dokumentuje metadata, modely, trénovací data, infrastrukturu, bezpečnostní vlastnosti, KPI a chování systému. Dobrovolný standard.
Právní základ: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
URL dokumentu SBOM-for-AI
Veřejná nebo sdílená URL k vašemu dokumentu SBOM-for-AI. Může to být PDF, soubor JSON nebo stránka projektu.
Právní základ: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
Specifické pro SaaS
5 poleRegion hostingu
Region cloudu, ve kterém jsou hostována zákaznická data. Příklad: AWS eu-central-1, Azure West Europe. Uveďte hlavní region; sekundární nebo záložní regiony lze doplnit oddělené čárkami.
Právní základ: ENISA TIG §5.2
Šifrování dat v klidu
Zaškrtněte ano, pokud jsou zákaznická data na disku šifrována v klidu pomocí AES-256 nebo rovnocenného standardu. Platí i šifrování disků spravované cloudem (AWS EBS, Azure Disk Encryption).
Právní základ: NIS2 Art. 21(2)(h) / ENISA TIG §9
Šifrování při přenosu (TLS ≥ 1.2)
Zaškrtněte ano, pokud všechny koncové body dostupné zákazníkům vynucují TLS 1.2 nebo vyšší. Preferován je TLS 1.3. Prostý HTTP musí přesměrovávat na HTTPS.
Právní základ: NIS2 Art. 21(2)(h) / ENISA TIG §9
MFA vynuceno pro všechny administrátorské účty
Zaškrtněte ano, pokud každý interní administrátorský účet na platformě SaaS musí používat MFA. Stejný standard jako vaše interní administrátorská pravidla.
Právní základ: NIS2 Art. 21(2)(j) / ENISA TIG §11.3
Cílová doba obnovení (RTO) v hodinách
Maximální počet hodin, po které může být vaše služba nedostupná před obnovením. Realistická hodnota SLA, nikoli aspirační. Obvyklé hodnoty SaaS: 4, 8 nebo 24 hodin.
Právní základ: NIS2 Art. 21(2)(c) / ENISA TIG §4
Specifické pro on-premise
4 polePoskytnutí soupisu softwarových komponent (SBOM)
Zaškrtněte ano, pokud s každým vydáním dodáváte soupis softwarových komponent (SBOM). Standardními formáty jsou CycloneDX nebo SPDX. Povinné podle Cyber Resilience Act pro produkty uváděné na trh EU od prosince 2027.
Právní základ: CRA / NIS2 Art. 21(2)(d)
Vydání jsou kryptograficky podepsána
Zaškrtněte ano, pokud každý artefakt vydání nese kryptografický podpis, který si zákazníci mohou ověřit. Podpisové klíče jsou dokumentovány a rotovány. Počítají se podpisy Sigstore i PGP.
Právní základ: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Zveřejněná politika zveřejňování zranitelností
Zaškrtněte ano, pokud máte veřejně dokumentovaný způsob hlášení bezpečnostních zranitelností. Postačí soubor security.txt na vaší doméně (podle RFC 9116) nebo vyhrazená e-mailová adresa, například security@example.com.
Právní základ: NIS2 Art. 21(2)(e) / ENISA TIG §3
SLA pro opravy kritických CVE (hodiny)
Hodiny od veřejného zveřejnění CVE do vydání s opravou pro kritické zranitelnosti (CVSS 9.0+). Realistický závazek, nikoli cílová hodnota. Obvyklé hodnoty: 24, 48 nebo 72 hodin.
Právní základ: CIR 2024/2690 §5.1.4(f)
Odborné služby
3 poleRozsah prověření spolehlivosti
Popište, jak prověřujete konzultanty pro citlivé role. Příklad: výpis z rejstříku trestů pro všechny konzultanty, navíc ověření referencí u zakázek zahrnujících utajované údaje.
Právní základ: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)
NDA uzavřené se všemi konzultanty
Zaškrtněte ano, pokud každý konzultant podepíše dohodu o mlčenlivosti před přidělením k práci u zákazníka. Buď jako součást pracovní smlouvy, nebo jako samostatné NDA.
Právní základ: NIS2 Art. 21(2)(i) / ENISA TIG §11.4
Dokumentovaná pravidla chování v prostorách zákazníka
Zaškrtněte ano, pokud máte písemný kodex chování pro konzultanty pracující v prostorách zákazníka: zacházení s průkazy, povinnost zamykání obrazovky, postup při vynesení dat z lokality.
Právní základ: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Spravované služby
3 poleZavedená správa privilegovaného přístupu (PAM)
Zaškrtněte ano, pokud pro administrativní vzdálené relace na systémech zákazníků používáte nástroj pro správu privilegovaného přístupu. Příklady: CyberArk, BeyondTrust, Teleport. Protokolovaná konfigurace jump-host se počítá.
Právní základ: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Administrátorské relace jsou nahrávány
Zaškrtněte ano, pokud jsou administrátorské relace na systémech zákazníků nahrávány a uchovávány k přezkoumání. Obvyklá doba uchování: 90 dní až 1 rok. Nezbytné pro forenzní rekonstrukci po incidentech.
Právní základ: NIS2 Art. 21(2)(f) / ENISA TIG §10
Pohotovost 24/7
Zaškrtněte ano, pokud provozujete pohotovostní službu 24/7, která reaguje na bezpečnostní incidenty na systémech zákazníků. Podpora pouze v pracovní době tomuto požadavku nevyhovuje.
Právní základ: NIS2 Art. 21(2)(b) / ENISA TIG §3
Tento dotazník pokrývá právní podstatu EU pro prověření dodavatelů podle NIS 2. Je zamýšlen jako sdílený základ, ne jako úplná sektorově specifická šablona.
TISAX, VDA ISA, BSI C5, auditní katalogy KRITIS a vaše vlastní nadstavby rizik stojí nahoře jako rozšíření. Forkněte repozitář, přidejte své sektorové otázky nebo použijte sdílená pole jako základ vlastní šablony.