Koncentračné riziko v dodávateľskom reťazci
NIS2 Art. 21(2)(d) vyžaduje aby essential/important subjekty vyhodnocovali riziká svojich priamych dodávateľov. DORA Art. 28-30 pridáva register ICT tretích strán a monitoring závislosti. Bez jasného pohľadu na supply chain koncentráciu nevidíte skryté single-point-of-failure situácie.
Právny základ
NIS2 Art. 21(2)(d) — cybersecurity of supply chain. Essential/important subjekty musia mať zavedené politiky vyhodnocovania bezpečnostnej úrovne priamych dodávateľov, ICT služieb a ICT produktov. Pre finančné inštitúcie DORA Art. 28 ide ešte ďalej — register of information so všetkými ICT poskytovateľmi + klasifikácia kritickosti + monitoring.
5 typov koncentračného rizika
Každý z týchto typov môže v prípade incidentu zasiahnuť viacero vašich dodávateľov súčasne. NIS2 aj DORA od vás očakávajú ich monitoring.
Zdieľané UBO (skutoční majitelia)
Dvaja nezávislí dodávatelia zdieľajú toho istého majiteľa cez RPVS/RPO. Ak padne UBO (sankcia, insolvencia, výmena vlastníctva), oba dodávatelia sa ocitnú v probléme naraz.
Zdieľaní korporátni spoločníci
Viaceré firmy pod jedným materským subjektom. Finančné problémy matky, reorganizácia alebo predaj ovplyvnia všetkých súčasne.
Geografická koncentrácia
Všetci kľúčoví ICT dodávatelia z jednej krajiny (napr. 80 % cloud v US) = geopolitické riziko, data-sovereignty, sankčné režimy.
Technologická koncentrácia
Viaceré kritické služby na rovnakom tech-stacku (MS Azure, AWS, MongoDB). Zero-day v komponente zasiahne viacero vendorov súčasne.
Finančná nestabilita
Dodávateľ s klesajúcim credit scoreom, negatívnymi súdnymi konaniami alebo daňovými nedoplatkami — early warning pre výpadok služby.
Ako NISMap deteguje koncentráciu
Automaticky cez RPVS (SK) + RPO (CZ) + ARES + Entyrix — žiadne manuálne zadávanie. Stačí IČO dodávateľa.
- IČO → auto-lookup UBO + majetkovej štruktúry + credit scoring
- Graph-based detekcia zdieľaných UBO, korporátnych spoločníkov, bánk
- Alert keď 2+ dodávatelia zdieľajú uzol v grafe (= koncentrácia)
- Export DORA Art. 28 register of information v CSV / xBRL-CSV (Pro tier)
Príklad real-world detekcie 3 klastrov v 15-vendor portfóliu:
- Skupina HOLDING-A · 2 dodávateliaZdieľaný materský subjekt
- Skupina UBO-X · 3 dodávateliaZdieľaný skutočný majiteľ
- Skupina TB-BANK · 4 dodávateliaZdieľaný bankový účet
Porovnanie so špecializovanou konkurenciou
3rdRisk (Holandsko) a Venvera (Česko) sú dedikované third-party risk nástroje. NISMap Free tier pokrýva kľúčové SME use-casy bez platby.
| Funkcia | NISMap Free | 3rdRisk | Venvera |
|---|---|---|---|
| Auto-lookup z registrov (RPVS/RPO/ARES) | ● | ● | ● |
| Detekcia zdieľaných UBO | ● | ● | ● |
| Native CZ/SK UI | ● | ● | ● |
| NIS2 Art. 21(2)(d) mapping | ● | ● | ● |
| Free tier | ● | ● | ● |
● zelená = plne podporované · amber = čiastočne · červená = chýba
Často kladené otázky
Čo presne vyžaduje NIS2 Art. 21(2)(d)?
Prijatie vhodných a primeraných technických, prevádzkových a organizačných opatrení na riadenie rizík bezpečnosti sietí a informačných systémov — konkrétne pre aspekty vzťahov s dodávateľmi vrátane dodávateľov ICT produktov a služieb. V SK zákone 366/2024 je to § 20 ods. 2 písm. d) a vyhláška 227/2025 špecifikuje metodiku.
Kto sa kvalifikuje ako 'dodávateľ' v kontexte NIS2?
Priami dodávatelia a poskytovatelia služieb — nielen ICT. Zahŕňa to cloud, SaaS, outsourcing, MSP/MSSP, bankové služby, právne a účtovné služby ak spracúvajú citlivé dáta. Pre finančné inštitúcie pod DORA je definícia užšia — len ICT tretie strany (Art. 28 DORA).
Aký je rozdiel medzi koncentračným rizikom NIS2 a DORA?
NIS2 Art. 21(2)(d) je rámcová požiadavka — prijmite opatrenia primerané riziku. DORA Art. 29 je konkrétnejšia pre finančné inštitúcie: register ICT poskytovateľov (Register of Information), hodnotenie kritickosti, limit koncentrácie, plán výstupnej stratégie. NISMap podporuje oba prístupy.
Ako často treba supply-chain risk prehodnocovať?
NIS2 ani DORA neurčujú presnú frekvenciu, ale best-practice je kontinuálny monitoring kritických vendorov + ročný formálny prehľad všetkých. NISMap monitoring (Pro tier) posiela alerty pri zmene UBO, credit score, sankciách alebo incidentoch u dodávateľa.