Zero Trust v dodávateľskom reťazci kritickej infraštruktúry: keď dôvera musí byť overená

18. júna 2026

Najslabším miestom organizácie už dávno nemusí byť jej vlastná technológia. Čoraz častejšie sa ním stáva dodávateľ, ktorý má prístup k systémom, údajom alebo zabezpečuje prevádzku kritických služieb.

 


S rastúcou digitalizáciou sa bezpečnosť kritickej infraštruktúry prestáva končiť na hraniciach jednej organizácie. Jej odolnosť je dnes podmienená aj bezpečnosťou partnerov, dodávateľov a celého digitálneho ekosystému, ktorý ju obklopuje. Práve táto zmena prináša nový pohľad na dôveru a posúva do popredia koncept Zero Trust, teda prístup, ktorý je založený na jednoduchom princípe: Never trust, always verify – Nikdy automaticky nedôveruj, vždy overuj.


Čo je Zero Trust?


Zero Trust je moderný bezpečnostný prístup založený na predpoklade, že žiadny používateľ, zariadenie, aplikácia ani dodávateľ by nemali byť automaticky považovaní za dôveryhodných, a to bez ohľadu na to, či sa nachádzajú vo vnútri alebo mimo organizácie. Jeho podstatou je dôsledné overovanie každej identity a každého prístupu, poskytovanie nevyhnutných oprávnení a priebežné monitorovanie a vyhodnocovanie rizík. Zároveň vychádza z predpokladu, že ku kompromitácii môže dôjsť kdekoľvek v systéme, a preto nemožno bezpečnosť stavať na automatickej dôvere. Zero Trust preto neznamená nedôveru voči partnerom. Predstavuje budovanie dôvery na základe overiteľných skutočností, transparentnosti a zodpovedného riadenia rizík.


Dodávateľský reťazec ako nová hranica bezpečnosti


Moderná kritická infraštruktúra je čoraz viac závislá od cloudových služieb, externých dátových centier, priemyselného softvéru, vzdialenej správy technológií, služieb tretích strán či integrácií prostredníctvom aplikačných rozhraní. Kybernetickí útočníci si čoraz častejšie vyberajú ako vstupný bod práve dodávateľský reťazec. Dôvod je jednoduchý: dodávatelia často disponujú oprávneným prístupom do systémov svojich zákazníkov, spravujú ich technológie, alebo poskytujú kritické služby.


Kritická infraštruktúra je len taká silná, ako je silný jej najslabší dodávateľ. Preto je dôležité vedieť nielen to, čo nám dodávateľ poskytuje, ale aj to, ako zodpovedne pristupuje k bezpečnosti svojich systémov,“ hovorí Tibor Straka, prezident Asociácie kritickej infraštruktúry Slovenskej republiky.


Každý nový dodávateľ rozširuje takzvanú útočnú plochu organizácie. Z pohľadu bezpečnosti preto už nestačí hodnotiť iba cenu, technické parametre alebo funkcionalitu riešenia. Rovnako dôležitými sa stávajú otázky: Aké riziko prináša samotný dodávateľ? Dokáže chrániť citlivé informácie? Má zavedené bezpečnostné procesy? Vie reagovať na incidenty a zabezpečiť kontinuitu poskytovaných služieb?

Práve odpovede na tieto otázky tvoria rizikový profil dodávateľa, ktorý sa dnes stáva jedným z rozhodujúcich faktorov pri výbere partnerov v oblasti kritickej infraštruktúry.


Čo znamená Zero Trust v praxi

 

Dodávateľ už nie je automaticky považovaný za dôveryhodného partnera. Organizácie čoraz častejšie vyžadujú preukázanie bezpečnostných opatrení, certifikácií a procesov riadenia incidentov. 

 

Externí partneri získavajú iba také prístupy a oprávnenia, ktoré sú nevyhnutné na výkon ich činnosti, často len na obmedzený čas a do presne definovaných systémov. Dôležitou súčasťou tohto princípu je aj priebežné hodnotenie rizika, keď sa bezpečnostný stav dodávateľa nehodnotí iba pri uzatvorení zmluvy, ale sleduje sa a prehodnocuje počas celej spolupráce. Dôvera sa tak mení na dynamický proces založený na neustálom overovaní.

 

Európska regulácia potvrdzuje nový trend


Význam riadenia rizík v dodávateľskom reťazci potvrdzujú aj európske pravidlá v oblasti kybernetickej bezpečnosti. Smernica NIS2 (Network and Information Security Directive 2) zavádza prísnejšie požiadavky na riadenie kybernetických rizík a kladie dôraz aj na bezpečnosť dodávateľského reťazca. Organizácie pôsobiace v kritických sektoroch sú povinné hodnotiť riziká spojené s externými poskytovateľmi a prijímať primerané opatrenia na ich riadenie.


Nariadenie DORA (Digital Operational Resilience Act) predstavuje európsky rámec digitálnej prevádzkovej odolnosti pre finančný sektor. Jeho cieľom je zabezpečiť, aby finančné inštitúcie dokázali odolávať, reagovať a zotaviť sa z kybernetických incidentov a technologických zlyhaní. Hoci sa DORA vzťahuje predovšetkým na finančný sektor, jej princípy sa postupne stávajú inšpiráciou aj pre ďalšie sektory kritickej infraštruktúry.


Asociácia kritickej infraštruktúry Slovenskej republiky systematicky presadzuje pohľad, že bezpečnosť kritickej infraštruktúry sa už nebuduje iba v rámci jednotlivých kritických subjektov, ale aj v kvalite ich partnerstiev a dodávateľských vzťahov. Koncept Zero Trust predstavuje viac než len technologický trend. Nie je prejavom spochybňovania dodávateľa, ale prejavom zodpovednosti. V dnešnom digitálnom prostredí sa stáva prirodzenou súčasťou budovania bezpečnej a odolnej kritickej infraštruktúry. 

Zero Trust in the Supply Chain of Critical Infrastructure: When Trust Must Be Verified

18. júna 2026
The weakest point of an organization has long ceased to be its own technology. Increasingly, it is becoming a supplier who has access to systems, data, or ensures the operation of critical services.

Introducing Critical Infrastructure Sectors: Digital Infrastructure

15. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its presentation of individual critical infrastructure sectors. This time, the focus is on an area that forms the digital backbone of modern society and ensures the continuous flow of information, data, and electronic services – the Digital Infrastructure sector.

Predstavujeme sektory kritickej infraštruktúry: Digitálna infraštruktúra

15. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v predstavovaní jednotlivých sektorov kritickej infraštruktúry. Tentoraz sa zameriavame na oblasť, ktorá tvorí digitálnu kostru modernej spoločnosti a zabezpečuje nepretržitý tok informácií, dát a elektronických služieb – sektor Digitálna infraštruktúra.

Introducing Essential Services of Critical Infrastructure: Operation, Maintenance and Development of the Electricity Transmission System

12. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of articles introducing the essential services defined by Act No. 367/2025 Coll. on Critical Infrastructure. Following our previous articles on electricity supply and the operation, maintenance and development of the electricity distribution system, we now turn our attention to the service that ensures the safe and reliable transmission of electricity across the entire territory of the Slovak Republic – the operation, maintenance and development of the electricity transmission system.

Predstavujeme základné služby kritickej infraštruktúry: Prevádzka, údržba a rozvoj elektrizačnej prenosovej sústavy

12. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii článkov, v ktorej postupne predstavujeme základné služby definované zákonom č. 367/2025 Z. z. o kritickej infraštruktúre. Po predstavení dodávky elektriny a prevádzky, údržby a rozvoja elektrizačnej distribučnej sústavy sa tentokrát pozrieme na službu, ktorá zabezpečuje bezpečný a spoľahlivý prenos elektrickej energie naprieč celým územím Slovenskej republiky – prevádzku, údržbu a rozvoj elektrizačnej prenosovej sústavy.

Critical Infrastructure Doesn't Start at the Power Plant. It Starts in the Supply Chain.

10. júna 2026
Imagine a situation where equipment that ensures the supply of electricity, the production of drinking water, or the operation of a hospital fails. The failure itself may not be the biggest problem. A much greater challenge can be discovering that the replacement part is manufactured on the other side of the world and its delivery will take several months. It is in situations like these that the true importance of resilient supply chains becomes clear.

Kritická infraštruktúra sa nezačína v elektrárni. Začína sa v dodávateľskom reťazci.

10. júna 2026
Predstavme si situáciu, že dôjde k poruche zariadenia zabezpečujúceho dodávku elektriny, výrobu pitnej vody alebo fungovanie nemocnice. Samotná porucha nemusí znamenať najväčší problém. Oveľa väčšou výzvou môže byť zistenie, že náhradný diel sa vyrába na druhom konci sveta a jeho dodanie potrvá niekoľko mesiacov. Práve v takýchto situáciách sa ukazuje skutočný význam odolnosti dodávateľských reťazcov.

Introducing Critical Infrastructure Sectors: Water and Atmosphere

8. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of professional articles dedicated to the individual sectors of critical infrastructure under Act No. 367/2024 Coll. on Critical Infrastructure. The aim of this series is to present to both the professional and general public the significance of individual critical sectors, their position within the state security system, essential services, risks, and the obligations of critical infrastructure entities.

Predstavujeme sektory kritickej infraštruktúry: Voda a atmosféra

8. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii odborných článkov venovaných jednotlivým sektorom kritickej infraštruktúry podľa zákona č. 367/2025 Z. z. o kritickej infraštruktúre. Cieľom tejto série je priblížiť odbornej aj laickej verejnosti význam jednotlivých kritických sektorov, ich postavenie v systéme bezpečnosti štátu, základné služby, riziká a povinnosti subjektov kritickej infraštruktúry.

Introducing Essential Critical Infrastructure Services: Operation, Maintenance, and Development of the Electricity Distribution System

5. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of articles introducing the essential services defined by Act No. 367/2025 Coll. on Critical Infrastructure. Following the topic of electricity supply, we now focus on the service that acts as its "backbone": the operation, maintenance, and development of the electricity distribution system.