Evropská směrnice NIS2 o kybernetické bezpečnosti prohlubuje povinnost hlídat si bezpečnost dodavatelského řetězce. V tuzemsku konkrétní úkoly uloží nový zákon o kybernetické bezpečnosti, na kterém teď pracují zákonodárci.

Na zajištění bezpečnosti dodavatelského řetězce klade směrnice NIS2 důraz. To proto, že v minulosti často právě dodavatelské a subdodavatelské firmy zapříčinily vznik kybernetického incidentu.

Při výběru dodavatele se tak nově budete muset rozhodovat i podle toho, jak řeší kybernetickou bezpečnost. Jinými slovy, je třeba spolupracovat jen s těmi, kdo splňují daná bezpečnostní kritéria.

Tip: Dobrým orientačním vodítkem je certifikace ISO 27001. Pokrývá asi 70 % požadavků, které stanovuje NIS2.

Co obnáší řízení dodavatelského řetězce podle NIS2

Povinnosti se týkají už procesů při výběru dodavatelů, dále pak nastavení konkrétních požadavků na dodavatele, uzavírání smluv a průběžných kontrol.

Firmy v přísnějším režimu

Musí nastavit transparentní pravidla výběru dodavatelů, která zohlední požadavky kybernetické bezpečnosti podle zákona a vyhlášky. A průběžně hlídat jejich dodržování.

Významné dodavatele musí evidovat a o této evidenci jim dát vědět.

Podle zákona je významným dodavatelem provozovatel informačního nebo komunikačního systému a také každý další dodavatel, který je významný z hlediska bezpečnosti informačního a komunikačního systému.

U významných dodavatelů musí ještě před uzavřením smlouvy provést také hodnocení rizik souvisejících s plněním zakázky. Doporučené metodiky uvádí NÚKIB ve zvláštním dokumentu na svých stránkách.

U všech dodavatelů musí už ve výběrovém řízení stanovit, jak konkrétně má dotyčný dodavatel k bezpečnosti přistupovat, aby bylo možné s ním uzavřít smlouvu. A tato pravidla a vzájemné povinnosti také upravit ve smlouvě. To znamená například:

  • určit rozsah přístupů jednotlivých pracovníků, způsoby komunikace či užití a předávání dat
  • zakotvit možnosti zákaznického auditu
  • zajistit, aby dodavatel sám u sebe dodržoval stanovenou úroveň bezpečnostních opatření
  • zahrnout tohoto dodavatele do krizového plánu, je-li to nutné
  • popsat bezpečné ukončení spolupráce tak, aby byla zajištěna kontinuita služeb
  • jasně si dohodnout vzájemnou smluvní odpovědnost za tato opatření

Naprosto klíčovou součástí dohody je také řetězení dodavatelů, což znamená, že všichni případní subdodavatelé budou muset nastavená pravidla dodržovat také.

Firmy v mírnějším režimu

Pravidla jsou pochopitelně stručnější. Základem je zakotvit ve smlouvě způsoby realizace bezpečnostních opatření i vzájemnou smluvní odpovědnost za jejich dodržování a kontrolu.

Specificky pak opět jde o bezpečnost informací (přístupy, oprávnění, důvěrnost, integrita a dostupnost služby), dodržování minimálních bezpečnostních pravidel, zajištění business kontinuity, pravidla pro ukončení smluvního vztahu. I tady bude nutné podchytit subdodavatele.

Hodnocení rizikových dodavatelů

Kontroverzní novinkou, která se dostala do návrhu zákona, je hodnocení rizikových dodavatelů s ohledem na bezpečnost ČR a jejích strategických zájmů. Týkat se to bude jen nejvýznamnějších či největších firem v přísnějším režimu zákona a bezpečnost dodavatelů bude vyhodnocovat NÚKIB.

V případě zjištěného rizika by mohl tento úřad spolupráci s určitými firmami ve vybraných oblastech omezit nebo zcela zakázat. Týkalo by se to firem jako Huawei, které jsou podezřelé ze spolupráce s autoritářskými režimy.

Zlepšete kybernetickou bezpečnost svého dodavatelského řetězce v klidu, dřív, než vám to uloží zákon. Pomůžeme vám nastavit procesy a standardy, které pak jednoduše uplatníte na vaše výběrová řízení, veřejné zakázky a smlouvy. Dejte nám vědět a pustíme se společně do toho.