- Kateřina Kubíková
- David Polách
Návrh zákona o kybernetické bezpečnosti přenáší směrnici NIS2 do České republiky a nezapomíná ani na regulaci dodavatelů poskytovatelů regulovaných služeb. Dodavatelé jsou zařazeni mezi tzv. podpůrná aktiva, která podporují fungování primární aktiv (těch nejdůležitějších aktiv pro činnost společnosti).
Významný dodavatel
Zákon o kybernetické bezpečnosti definuje tzv. významné dodavatele, tedy ty dodavatele, kteří s poskytovatelem regulované služby vstupují do závazkového vztahu, jenž je významný z hlediska bezpečnosti informací. Organizace musí písemně a prokazatelně informovat dodavatele, kterého určila jako pro ni významného.
S významnými dodavateli pak souvisí speciální úprava povinností. Například se jedná o předávání informací a dat od významného dodavatele, kdy NÚKIB může za specifických podmínek při kybernetickém incidentu uložit tomuto dodavateli povinnost předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby. Tato povinnost se uplatní, pokud dodavatel nepředá tuto informaci nebo data dobrovolně.
Dodavatelé v režimu vyšších povinností
V kontextu kybernetické bezpečnosti je důležité správně identifikovat a řídit všechny dodavatele společnosti, jejichž služby a produkty mohou mít vliv na bezpečnost informací a dat. Například, pokud dodavatel poskytuje cloudové služby pro ukládání a zpracování dat, pak by měl být tento dodavatel považován za podpůrné aktivum a měly by být přijaty odpovídající opatření k zajištění bezpečnosti těchto dat.
Řízení dodavatelů je pro společnosti v režimu vyšších povinností organizační opatření, které se promítá (jako ostatní bezpečnostní opatření) do obsahu bezpečnostní politiky a dokumentace organizace.
Povinnosti jsou v navrhované vyhlášce k vyššímu režimu rozlišeny podle toho, zda se vztahují na všechny dodavatele organizace nebo pouze na významné dodavatele.
V rámci politiky řízení dodavatelů, bude muset organizace stanovit například:
- pravidla a principy výběru dodavatelů,
- pravidla pro hodnocení rizik souvisejících s dodavateli,
- pravidla určování významných dodavatelů,
- pravidla pro provádění kontroly bezpečnostních opatření,
- pravidla pro vedení evidence kontaktních údajů dodavatelů pověřených výkonem systémové a technické podpory,
- náležitosti smlouvy zohledňující relevantní požadavky na dodavatele plynoucí z bezpečnostních politik a bezpečnostní dokumentace.
Vyhláška stanovuje povinné náležitosti obsahu smlouvy uzavírané s významnými dodavateli. Jedná se mimo jiné o povinnost zahrnout do smluv ustanovení o bezpečnosti informací, o oprávnění využívat data, o kontrole a auditu dodavatele (neboli pravidla zákaznického auditu) a další.
Řízení a kontrola dodržování povinností plynoucích z dodavatelských vztahů by pak mělo patřit mezi klíčové činnosti Manažera kybernetické bezpečnosti. Více k bezpečnostním rolím se můžete dočíst třeba zde.
Dodavatelé v režimu nižších povinností
Poskytovatel regulovaných služeb v režimu nižších povinností nemá výslovně stanovené bezpečnostní opatření vztahující se k dodavatelům, jako je tomu u vyššímu režimu. To však neznamená, že by společnost nemusela své dodavatele nijak řešit.
V rámci bezpečnostního opatření zajišťování kybernetické bezpečnosti je stanovena povinnost zajistit, aby smlouvy s dodavateli obsahovaly zejména relevantní oblasti uvedené v příloze vyhlášky o nižším režimu povinností.
Smlouvy s dodavateli musí obsahovat:
- ustanovení o možnosti auditu dodavatele,
- ustanovení o sankcích za porušení smluvních povinností,
- ustanovení upravující povinnost dodržovat pravidla pro dodavatele, se kterými byli relevantní pracovníci dodavatele prokazatelně seznámení nebo třeba náležitosti smlouvy o úrovni služeb (SLA).
Příloha navrhované vyhlášky pak i doporučuje organizacím požadovat po dodavatelích při uzavírání smluv i další nevyjmenované body, jež budou zohledňovat specifické požadavky plynoucí ze zajištění bezpečnosti související s regulovanou službou.
To však není vše, organizace musí také zajistit, aby její dodavatelé oznamovali neobvyklé chování spravovaných technických aktiv a podezření na jakékoliv zranitelnosti. Tato povinnost se skrývá v jiném bezpečnostním opatření nazvaném jako řešení kybernetických bezpečnostních incidentů nebo řízení zranitelností.
Spadáte pod novou legislativu?
NÚKIB a dodavatelé poskytovatelů regulovaných služeb
Návrh zákona o kybernetické bezpečnosti se zabývá i tzv. mechanismem prověřování bezpečnosti dodavatelského řetězce. Stanoví pravomoc Národního úřadu pro informační a komunikační bezpečnost (NÚKIB) shromažďovat a vyhodnocovat informace a data spojená s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek, a to za účelem prověřování rizik spojených s dodavateli.
Cílem tohoto mechanismu je umožnit, aby stát mohl včas identifikovat hrozby. Nejdříve by měly být prověřeni dodavatelé, u nichž se očekává největší vliv na poskytovatele strategicky významných služeb.
V rámci tohoto mechanismu má NÚKIB stanovenou i pravomoc omezení rizik spojených s dodavatelem, kdy může vydat opatření obecné povahy stanovující podmínky nebo zákaz využít plnění „dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu“. Mělo by se jednat jen o ty bezpečnostně významné dodávky a v částech, jež jsou považovány za kritické a mají dopad na vnitřní či veřejný pořádek nebo bezpečnost České republiky.
