EU přijala rámec pro bezpečnost ICT dodavatelských řetězců. Základy položila Česká republika
Skupinou pro spolupráci NIS byl 13. února 2026 přijat ICT Supply Chain Security Toolbox – společný nezávazný rámec EU pro identifikaci, hodnocení a snižování kybernetických rizik v ICT dodavatelských řetězcích. Dokument navazuje na práci zahájenou během českého předsednictví Rady EU v roce 2022 a doplňuje článek 22 směrnice NIS2.
Otázka bezpečnosti ICT dodavatelských řetězců patří dlouhodobě mezi priority evropské kybernetické bezpečnosti. Narušení jednoho článku dodavatelského řetězce může mít kaskádový dopad na celé odvětví nebo stát – jak ukázaly případy SolarWinds nebo xz Utils. Nový Toolbox přináší poprvé strukturovaný a jednotný přístup na úrovni celé EU.
Dokument byl přijat Skupinou pro spolupráci NIS (NIS Cooperation Group), v níž zasedají zástupci všech členských států, Evropská komise a ENISA. Toolbox vychází z přístupu „all-hazards" – tedy přístupu k celému spektru hrozeb bez ohledu na jejich původ – a je striktně agnostický vůči konkrétním technologiím i zemím původu. Identifikuje rizikové scénáře ovlivňující ICT dodavatelské řetězce a nabízí koordinovaná doporučení pro hodnocení a zmírňování těchto rizik. Mezi konkrétní doporučení patří budování rámce pro hodnocení kritických dodavatelů, podpora multi-vendor strategií a snižování závislosti na dodavatelích s vysokým rizikovým profilem.
Toolbox je doprovázen dvěma hodnoceními rizik zaměřenými na připojená a automatizovaná vozidla a na detekční zařízení používaná na hraničních přechodech a celnicích. Tato přidružená hodnocení mají zvláštní relevanci pro provozovatele kritické dopravní infrastruktury.
Česká republika sehrála v přípravě dokumentu průkopnickou roli. Potřeba společného přístupu k bezpečnosti ICT dodavatelských řetězců byla poprvé dojednána na úrovni EU právě za českého předsednictví v roce 2022 a tříleté přípravné práce probíhaly pod spoluvedením České republiky a Švédska. Ředitel NÚKIB Lukáš Kintr k tomu uvedl, že Toolbox je konkrétním výsledkem navazujícím na průkopnické snahy ČR a expertů NÚKIB.
Toolbox zároveň doplňuje implementaci článku 22 směrnice NIS2, který se týká bezpečnosti dodavatelského řetězce, a usnadní členským státům sjednocování postupů v oblasti řízení jeho bezpečnosti. Primárně je určen pro veřejné instituce členských států, ale lze jej uplatnit i v soukromém sektoru.
V neposlední řadě stojí za zmínku, že Evropská komise v revidovaném Aktu o kybernetické bezpečnosti, představeném 20. ledna 2026, navrhuje i závazný rámec důvěryhodných ICT dodavatelských řetězců, který by řešil netechnická rizika, jako je zahraniční vměšování. Toolbox a budoucí závazný rámec se vzájemně doplňují.
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
