§ 9 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení dodavatelů
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností · 409/2025 Sb. · § 9 · Ostatní právní předpisy
Stručně: Paragraf 9 vyhlášky 409/2025 stanovuje povinnosti regulované služby v režimu vyšších povinností ohledně řízení dodavatelů, zejména pak významných dodavatelů, s cílem zajistit bezpečnost informací.
§ 9 Řízení dodavatelů
(1) Povinná osoba při řízení dodavatelů
a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,
b) prokazatelně seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,
c) řídí rizika spojená s dodavateli,
d) identifikuje a eviduje své významné dodavatele ve smyslu § 2 písm. h),
e) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene d),
f) zajistí v souvislosti s řízením rizik spojených s významnými dodavateli, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení uvedená v příloze č. 5 k této vyhlášce, a
g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.
(2) Povinná osoba u významných dodavatelů dále
a) provádí v rámci výběrového řízení podle zákona o zadávání veřejných zakázek2) nebo před uzavřením smlouvy hodnocení rizik souvisejících s plněním podle přílohy č. 4 k této vyhlášce,
b) stanoví v rámci uzavíraných smluvních vztahů způsoby a úrovně realizace bezpečnostních opatření a smluvně určí obsah vzájemné odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a
d) zajistí v reakci na rizika a zjištěné nedostatky jejich řešení, která budou přijata bez zbytečného odkladu.
(3) Náležitosti prokazatelného informování podle odstavce 1 písm. e) jsou
a) identifikační údaje povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností,
b) název regulované služby povinné osoby,
c) identifikační údaje významného dodavatele a
d) prohlášení, že dodavatel je pro povinnou osobu významným dodavatelem.
Paragraf 9 vyhlášky 409/2025 stanovuje povinnosti regulované služby v režimu vyšších povinností ohledně řízení dodavatelů, zejména pak významných dodavatelů, s cílem zajistit bezpečnost informací.
Co to znamená v praxi
Povinná osoba musí stanovit pravidla pro své dodavatele, seznámit je s nimi a vyžadovat jejich dodržování, přičemž musí řídit rizika s dodavateli spojená.
Je nutné identifikovat a evidovat významné dodavatele a písemně je o této evidenci informovat s uvedením konkrétních náležitostí (identifikační údaje, název služby, prohlášení o významnosti).
Smlouvy s významnými dodavateli musí obsahovat relevantní ustanovení z přílohy č. 5 vyhlášky a povinná osoba musí pravidelně přezkoumávat plnění těchto smluv z hlediska bezpečnosti informací.
U významných dodavatelů je třeba provádět hodnocení rizik před uzavřením smlouvy nebo v rámci výběrového řízení, stanovit způsoby a úrovně bezpečnostních opatření ve smlouvách a pravidelně kontrolovat zavedená opatření a řešit zjištěné nedostatky.
Na co si dát pozor
Je klíčové rozlišovat mezi obecnými dodavateli a "významnými dodavateli" (§ 2 písm. h), neboť pro významné dodavatele platí přísnější pravidla a povinnosti.
Při informování významných dodavatelů o jejich evidenci je nutné dodržet přesné náležitosti uvedené v odstavci 3 paragrafu.
Smluvní dokumentace s významnými dodavateli musí být pečlivě připravena tak, aby obsahovala všechna relevantní ustanovení z přílohy č. 5 a jasně definovala odpovědnost za bezpečnostní opatření.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.