Kybernetická bezpečnost je dnes více než kdy jindy klíčovým aspektem podnikání. S novými regulacemi NIS2 a DORA se otázka ochrany před kybernetickými hrozbami v dodavatelském řetězci stává zásadním tématem. Jak zajistit, aby vaši dodavatelé a třetí strany splňovali požadované bezpečnostní standardy a chránili vaši organizaci?

Rizika spojená s externími partnery a dodavateli

Spolupráce s externími partnery může přinést mnohé výhody, ale také řadu rizik, pokud nejsou dodržována přísná bezpečnostní pravidla.

Mezi hlavní hrozby patří:

  • Ztráta kontroly nad citlivými daty.
  • Potenciální bezpečnostní mezery v systémech dodavatelů.
  • Nedostatečná transparentnost v bezpečnostních opatřeních dodavatelů.
  • Koordinace bezpečnostních procesů mezi různými subjekty.

Klíčové body pro smlouvy v éře NIS2 a DORA

Při aktualizaci smluv s dodavateli je nezbytné reflektovat nové požadavky NIS2 a DORA. Zde je několik klíčových bodů, které by smlouvy měly zahrnovat:

1. Závazek dodržování NIS2 a DORA – Smlouvy by měly jasně stanovovat, že dodavatelé musí dodržovat příslušné regulace.

2. Kybernetická bezpečnost jako povinnost – Definujte konkrétní bezpečnostní standardy a opatření, která musí dodavatel splňovat.

3. Odpovědnost za incidenty – Určete, kdo ponese odpovědnost v případě bezpečnostního narušení.

4. Oznamovací povinnost – Stanovte jasné lhůty pro hlášení incidentů (např. do 24 hodin).

5. Právo na audity – Zajistěte si možnost provádět pravidelné bezpečnostní audity dodavatelů.

6. Zálohování a disaster recovery – Definujte požadavky na zálohování dat a plány obnovy po havárii.

7. Penalizace za porušení – Stanovte sankce za nedodržení bezpečnostních standardů.

8. Školení zaměstnanců – Vyžadujte od dodavatelů, aby pravidelně školili své zaměstnance v oblasti kybernetické bezpečnosti.

9. Vztahy s třetími stranami – Zajistěte, aby i subdodavatelé dodržovali stejné bezpečnostní standardy.

10. Pravidelné aktualizace a patchování – Požadujte závazek k pravidelným aktualizacím systémů a patchování.

11. Testy zranitelnosti a penetrační testování – Vyžadujte pravidelné provádění testů zranitelnosti a případně i penetračních testů. Stanovte frekvenci těchto testů a způsob sdílení výsledků.

12. Prověření subdodavatelů – Požadujte transparentnost ohledně využívání subdodavatelů (např. dalších poskytovatelů cloudu). Zajistěte, aby i tito subdodavatelé byli smluvně zavázáni dodržovat stejné bezpečnostní standardy.

13. Zátěžové testy – Především pro organizace podléhající nařízení DORA zahrňte požadavek na pravidelné provádění zátěžových testů. Tyto testy by měly ověřit odolnost systémů při extrémním zatížení nebo v krizových situacích.

Na co si dát pozor při uzavírání smluv

Při vyjednávání nebo aktualizaci smluv s dodavateli je třeba myslet na několik důležitých aspektů:

  • Jasná definice odpovědností – Zamezte nejasnostem v rozdělení odpovědností.
  • Detailní SLA – Specifikujte přesné reakční časy / časové rámce na bezpečnostní incidenty.
  • Soulad s NIS2/DORA a GDPR – Zajistěte, aby smlouvy reflektovaly všechny relevantní regulace.
  • Auditní práva – Vyžadujte možnost provádět audity u kritických dodavatelů.
  • Bezpečnostní aktualizace – Pravidelné přehodnocování bezpečnostních opatření musí být samozřejmostí.

Závěr

Implementace NIS2 a DORA představuje výzvu, ale také příležitost k posílení kybernetické bezpečnosti vaší organizace. Důkladná revize a aktualizace smluv s dodavateli je klíčovým krokem k minimalizaci rizik v dodavatelském řetězci. Pamatujte, že kybernetická bezpečnost je kontinuální proces, který vyžaduje neustálou pozornost a adaptaci.

Investice do robustních smluvních vztahů a jasných bezpečnostních standardů se v dlouhodobém horizontu vyplatí. Nejen že snížíte riziko kybernetických incidentů, ale také posílíte důvěru vašich klientů a partnerů. V éře NIS2 a DORA je proaktivní přístup k bezpečnosti dodavatelského řetězce nejen regulatorním požadavkem, ale i konkurenční výhodou.