Stručně: Paragraf 27 zákona č. 264/2025 Sb. stanovuje, že Úřad pro kybernetickou bezpečnost shromažďuje a vyhodnocuje informace o dodavatelích strategicky významných služeb, aby prověřil rizika pro bezpečnost České republiky nebo vnitřní pořádek.
§ 27 Prověřování rizik spojených s dodavatelem
(1) Úřad za účelem prověřování rizik spojených s dodavatelem poskytovatele strategicky významné služby shromažďuje a vyhodnocuje informace a data o tom, kdo přímo nebo zprostředkovaně poskytuje plnění do strategicky významné služby, a které se týkají možné hrozby pro bezpečnost České republiky nebo vnitřní pořádek.
(2) Pro potřeby mechanismu prověřování bezpečnosti dodavatelského řetězce se rozumí
a) kritickou částí stanoveného rozsahu aktiva stanoveného rozsahu strategicky významné služby, u kterých poskytovatel strategicky významné služby postupem podle vyhlášky Úřadu ohodnotil dopad narušení bezpečnosti informací na stanovený rozsah strategicky významné služby úrovní kritická; kritickou částí stanoveného rozsahu jsou vždy alespoň aktiva stanoveného rozsahu strategicky významné služby, která zajišťují nepominutelné funkce strategicky významné služby,
b) bezpečnostně významnou dodávkou plnění směřující do kritické části stanoveného rozsahu, spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu nebo servisu aktiv, a
c) dodavatelem bezpečnostně významné dodávky ten, kdo poskytovateli strategicky významné služby poskytne přímo nebo jako poddodavatel bezpečnostně významnou dodávku.
(3) Nepominutelnou funkcí je činnost nebo vlastnost aktiva zajišťující provoz strategicky významné služby, jejichž narušení by mohlo mít závažný dopad na poskytování strategicky významné služby.
(4) Vláda nařízením stanoví seznam nepominutelných funkcí strategicky významných služeb.
Paragraf 27 zákona č. 264/2025 Sb. stanovuje, že Úřad pro kybernetickou bezpečnost shromažďuje a vyhodnocuje informace o dodavatelích strategicky významných služeb, aby prověřil rizika pro bezpečnost České republiky nebo vnitřní pořádek.
Co to znamená v praxi
Úřad bude aktivně sbírat data o tom, kdo dodává komponenty nebo služby do strategicky významných služeb, a to i nepřímo.
Zákon definuje, co je "kritická část" strategicky významné služby a "bezpečnostně významná dodávka", což jsou klíčové pojmy pro posuzování rizik.
"Nepominutelné funkce" jsou ty činnosti nebo vlastnosti aktiv, jejichž narušení by mělo závažný dopad na strategicky významnou službu.
Vláda určí konkrétní seznam nepominutelných funkcí pro strategicky významné služby.
Na co si dát pozor
Úřad se zaměřuje na dodavatele, kteří mohou představovat hrozbu pro bezpečnost státu nebo vnitřní pořádek.
Prověřování se týká i poddodavatelů, tedy těch, kteří dodávají plnění dodavateli strategicky významné služby.
Důraz je kladen na dodávky směřující do kritických částí strategicky významných služeb.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.