Dodavatelský řetězec NIS 2: základy
Článek 21(2)(d) NIS 2 vyžaduje, aby regulované firmy zabezpečily celý svůj dodavatelský řetězec. Tato stránka pokrývá základy: co pravidlo říká, koho se dotkne, co budou vaši zákazníci požadovat a jak dodavatelé prokáží kybernetickou bezpečnost, aniž by se sami stali regulovaným subjektem.
Proč se NIS2 týká i malých dodavatelů
NIS2 (čl. 21(2)(d) NIS-2, transponováno v §30(2)(4) BSIG) výslovně vyžaduje, aby regulované firmy zabezpečily celý svůj dodavatelský řetězec. To znamená, že každý základní a důležitý subjekt (odhady BSI kladou německou skupinu do rozmezí zhruba 29 500) musí smluvně vyžadovat od svých dodavatelů standardy kybernetické bezpečnosti.
Pokud má vaše firma méně než 50 zaměstnanců nebo se pohybuje pod prahy obratu, nejste přímo regulováni NIS2. Ale pokud poskytujete IT služby, software, komponenty, logistiku nebo jakoukoli jinou službu firmě, která regulovaná je, dolehnou na vás požadavky NIS2 prostřednictvím vašich smluv.
Není to teoretické. Velké firmy už aktualizují své nákupní podmínky, přidávají doložky o kybernetické bezpečnosti a vyžadují od dodavatelů důkazy o souladu. Firmy, které nedokážou prokázat odpovídající bezpečnostní opatření, riskují ztrátu zakázek ve prospěch konkurentů, kteří to dokážou.
§30(2) č. 4 BSIG: zabezpečení dodavatelského řetězce
Regulované subjekty musí zajistit "zabezpečení dodavatelského řetězce, včetně bezpečnostních aspektů vztahů s přímými dodavateli" (§30(2)(4) BSIG, transponuje čl. 21(2)(d) NIS-2). Tato povinnost se smluvně přenáší na každého dodavatele v řetězci.
Smluvní požadavky
Firmy regulované NIS2 musí zahrnout požadavky kybernetické bezpečnosti do smluv s dodavateli. Očekávejte nové doložky pokrývající řízení rizik, hlášení incidentů a řízení přístupu. Stávající smlouvy budou znovu sjednány.
Audity a dotazníky pro dodavatele
Vaši zákazníci budou posílat bezpečnostní dotazníky a mohou provádět audity. Firmy, které používají nisd2.eu, mohou důkazy o souladu vygenerovat okamžitě: ty bez systému se s tím lopotí celé týdny.
Ohlašovací povinnosti při incidentech
Pokud bezpečnostní incident u vaší firmy zasáhne zákazníka regulovaného NIS2, musí ten do 24 hodin odeslat BSI včasné varování (s úplným hlášením do 72 hodin a závěrečnou zprávou do jednoho měsíce, §32 BSIG). Potřebují, abyste měli zavedené funkční procesy detekce a hlášení incidentů.
Konkurenční výhoda
Když si regulovaná firma vybírá mezi dvěma dodavateli a jeden dokáže prokázat bezpečnost v souladu s NIS2, zatímco druhý ne: volba je jasná. Soulad se stává prodejním rozlišovacím prvkem.
Požadavky kybernetického pojištění
Kybernetičtí pojistitelé stále častěji vyžadují důkazy o zabezpečení dodavatelského řetězce. Pojistné smlouvy vašich zákazníků mohou nařizovat, aby jejich dodavatelé splňovali minimální standardy kybernetické bezpečnosti.
Posouzení rizik
Identifikujte a zdokumentujte rizika systémů, které používáte pro práci pro zákazníka. Nemusí to být složité: stačí strukturovaný seznam s plány opatření.
Řízení přístupu
Kdo má přístup k datům a systémům zákazníka? Přístup podle rolí, MFA pro vzdálený přístup a doložená správa uživatelů.
Zvládání incidentů
Doložený proces pro detekci, reakci a hlášení bezpečnostních incidentů. Váš zákazník to potřebuje vědět během hodin, ne týdnů.
Kontinuita provozu
Co se stane, když vaše systémy selžou? Strategie zálohování, postupy obnovy a otestované plány, jak pokračovat v dodávkách vašim zákazníkům.
Zásady a důkazy
Písemné bezpečnostní zásady, záznamy o školeních a auditní stopa dokazující, že dodržujete vlastní pravidla. Právě to auditoři skutečně kontrolují.
Zkontrolujte svou expozici
Použijte naši bezplatnou kontrolu působnosti k potvrzení svého statusu NIS2. I když nespadáte přímo do působnosti, zjistěte, kteří z vašich zákazníků jsou regulováni NIS2: ty smlouvy přijdou s novými požadavky.
Proveďte gap analýzu
Porovnejte své stávající bezpečnostní postupy s 10 opatřeními v §30 BSIG. Většina malých firem už něco z toho neformálně dělá: mezera je obvykle v dokumentaci, ne v praxi.
Zaveďte základy
Začněte s položkami s největším dopadem: řízení přístupu, strategie zálohování, proces reakce na incidenty. Platforma nisd2.eu vás provede každým požadavkem s předpřipravenými šablonami.
Sestavte svůj balíček důkazů
Když vám zákazník pošle bezpečnostní dotazník, potřebujete mít odpovědi připravené. Zásady, záznamy o školeních, posouzení rizik a technická opatření: vše doložené a exportovatelné.
Přezkoumejte každý rok
Soulad s NIS2 není jednorázový projekt. Naplánujte si roční přezkum svých rizik, aktualizujte své zásady a obnovte školení zaměstnanců. Platforma sleduje lhůty automaticky.
Časté dotazy
Jsem jako malý dodavatel právně povinen dodržovat NIS2?▾
Ne přímo: NIS2 platí pro firmy nad prahem středního podniku EU (50 a více zaměstnanců NEBO (obrat nad 10 mil. EUR A bilanční suma nad 10 mil. EUR), podle doporučení Komise 2003/361/ES) v regulovaném sektoru. Vaši zákazníci regulovaní NIS2 jsou však právně povinni zabezpečit svůj dodavatelský řetězec (§30(2)(4) BSIG, transponuje čl. 21(2)(d) NIS-2). To vytváří smluvní povinnost, která se přenáší na vás. BSI vám pokutu neudělí, ale můžete přijít o zakázky.
Co se stane, když soulad nesplním?▾
Vašim zákazníkům regulovaným NIS2 hrozí pokuty až do 10 mil. EUR / 2 % celosvětového ročního obratu (základní subjekty) nebo 7 mil. EUR / 1,4 % (důležité subjekty), pokud nesplní své povinnosti zabezpečit dodavatelský řetězec (§65 BSIG). Buď budou vyžadovat, abyste soulad splnili, nebo vás nahradí dodavatelem, který to dokáže. Praktickým důsledkem je ztracený obchod, ne pokuta od BSI.
Kolik stojí soulad dodavatele?▾
Platforma nisd2.eu je zdarma. Pro malou firmu (10 až 50 zaměstnanců) je hlavním nákladem čas: obvykle 2 až 4 týdny práce na částečný úvazek na nastavení počátečních zásad, posouzení rizik a procesů. Průběžná údržba je pár hodin za čtvrtletí.
Mohu soulad s NIS2 použít jako prodejní argument?▾
Rozhodně. Když dokážete prokázat bezpečnostní postupy v souladu s NIS2 s doloženými důkazy, stanete se preferovaným dodavatelem. Některé firmy už soulad dodavatelského řetězce s NIS2 inzerují jako konkurenční rozlišovací prvek v poptávkách a nabídkách.
Co když se můj zákazník zatím nezeptal?▾
Zeptá se. Lhůta pro registraci u BSI uplynula v březnu 2026 a mnoho tisíc firem stále dohání zavádění. Jak budou zavádět NIS2, zabezpečení dodavatelského řetězce je jedním z 10 povinných opatření (§30(2)(4) BSIG). Když požadavku předejdete, postavíte se do role proaktivního, důvěryhodného partnera.
Začněte se souladem svého dodavatelského řetězce: zdarma
Platforma nisd2.eu vás provede každým požadavkem, vygeneruje váš balíček důkazů a udrží vás připravené na audit. Bez nákladů, bez platební karty.