Evropská směrnice NIS2 o kybernetické bezpečnosti prohlubuje povinnost hlídat si bezpečnost dodavatelského řetězce. V tuzemsku konkrétní úkoly uloží nový zákon o kybernetické bezpečnosti, na kterém teď pracují zákonodárci.
Na zajištění bezpečnosti dodavatelského řetězce klade směrnice NIS2 důraz. To proto, že v minulosti často právě dodavatelské a subdodavatelské firmy zapříčinily vznik kybernetického incidentu.
Při výběru dodavatele se tak nově budete muset rozhodovat i podle toho, jak řeší kybernetickou bezpečnost. Jinými slovy, je třeba spolupracovat jen s těmi, kdo splňují daná bezpečnostní kritéria.
Tip: Dobrým orientačním vodítkem je certifikace ISO 27001. Pokrývá asi 70 % požadavků, které stanovuje NIS2.
Co obnáší řízení dodavatelského řetězce podle NIS2
Povinnosti se týkají už procesů při výběru dodavatelů, dále pak nastavení konkrétních požadavků na dodavatele, uzavírání smluv a průběžných kontrol.
Firmy v přísnějším režimu
Musí nastavit transparentní pravidla výběru dodavatelů, která zohlední požadavky kybernetické bezpečnosti podle zákona a vyhlášky. A průběžně hlídat jejich dodržování.
Významné dodavatele musí evidovat a o této evidenci jim dát vědět.
Podle zákona je významným dodavatelem provozovatel informačního nebo komunikačního systému a také každý další dodavatel, který je významný z hlediska bezpečnosti informačního a komunikačního systému.
U významných dodavatelů musí ještě před uzavřením smlouvy provést také hodnocení rizik souvisejících s plněním zakázky. Doporučené metodiky uvádí NÚKIB ve zvláštním dokumentu na svých stránkách.
U všech dodavatelů musí už ve výběrovém řízení stanovit, jak konkrétně má dotyčný dodavatel k bezpečnosti přistupovat, aby bylo možné s ním uzavřít smlouvu. A tato pravidla a vzájemné povinnosti také upravit ve smlouvě. To znamená například:
- určit rozsah přístupů jednotlivých pracovníků, způsoby komunikace či užití a předávání dat
- zakotvit možnosti zákaznického auditu
- zajistit, aby dodavatel sám u sebe dodržoval stanovenou úroveň bezpečnostních opatření
- zahrnout tohoto dodavatele do krizového plánu, je-li to nutné
- popsat bezpečné ukončení spolupráce tak, aby byla zajištěna kontinuita služeb
- jasně si dohodnout vzájemnou smluvní odpovědnost za tato opatření
Naprosto klíčovou součástí dohody je také řetězení dodavatelů, což znamená, že všichni případní subdodavatelé budou muset nastavená pravidla dodržovat také.
Firmy v mírnějším režimu
Pravidla jsou pochopitelně stručnější. Základem je zakotvit ve smlouvě způsoby realizace bezpečnostních opatření i vzájemnou smluvní odpovědnost za jejich dodržování a kontrolu.
Specificky pak opět jde o bezpečnost informací (přístupy, oprávnění, důvěrnost, integrita a dostupnost služby), dodržování minimálních bezpečnostních pravidel, zajištění business kontinuity, pravidla pro ukončení smluvního vztahu. I tady bude nutné podchytit subdodavatele.
Hodnocení rizikových dodavatelů
Kontroverzní novinkou, která se dostala do návrhu zákona, je hodnocení rizikových dodavatelů s ohledem na bezpečnost ČR a jejích strategických zájmů. Týkat se to bude jen nejvýznamnějších či největších firem v přísnějším režimu zákona a bezpečnost dodavatelů bude vyhodnocovat NÚKIB.
V případě zjištěného rizika by mohl tento úřad spolupráci s určitými firmami ve vybraných oblastech omezit nebo zcela zakázat. Týkalo by se to firem jako Huawei, které jsou podezřelé ze spolupráce s autoritářskými režimy.
Zlepšete kybernetickou bezpečnost svého dodavatelského řetězce v klidu, dřív, než vám to uloží zákon. Pomůžeme vám nastavit procesy a standardy, které pak jednoduše uplatníte na vaše výběrová řízení, veřejné zakázky a smlouvy. Dejte nám vědět a pustíme se společně do toho.
