Dodavatelé poskytovatelů regulovaných služeb

NIS2 v Česku, zlom v kyberbezpečnosti dorazí letos
Návrh zákona o kybernetické bezpečnosti přenáší směrnici NIS2 do České republiky a nezapomíná ani na regulaci dodavatelů poskytovatelů regulovaných služeb. Dodavatelé jsou zařazeni mezi tzv. podpůrná aktiva, která podporují fungování primární aktiv (těch nejdůležitějších aktiv pro činnost společnosti).
Významný dodavatel

Zákon o kybernetické bezpečnosti definuje tzv. významné dodavatele, tedy ty dodavatele, kteří s poskytovatelem regulované služby vstupují do závazkového vztahu, jenž je významný z hlediska bezpečnosti informací. Organizace musí písemně a prokazatelně informovat dodavatele, kterého určila jako pro ni významného.

S významnými dodavateli pak souvisí speciální úprava povinností. Například se jedná o předávání informací a dat od významného dodavatele, kdy NÚKIB může za specifických podmínek při kybernetickém incidentu uložit tomuto dodavateli povinnost předat poskytovateli regulované služby v režimu vyšších povinností informace a data související s provozem aktiv sloužících k poskytování regulované služby. Tato povinnost se uplatní, pokud dodavatel nepředá tuto informaci nebo data dobrovolně.

Dodavatelé v režimu vyšších povinností

V kontextu kybernetické bezpečnosti je důležité správně identifikovat a řídit všechny dodavatele společnosti, jejichž služby a produkty mohou mít vliv na bezpečnost informací a dat. Například, pokud dodavatel poskytuje cloudové služby pro ukládání a zpracování dat, pak by měl být tento dodavatel považován za podpůrné aktivum a měly by být přijaty odpovídající opatření k zajištění bezpečnosti těchto dat.

Řízení dodavatelů je pro společnosti v režimu vyšších povinností organizační opatření, které se promítá (jako ostatní bezpečnostní opatření) do obsahu bezpečnostní politiky a dokumentace organizace.

Povinnosti jsou v navrhované vyhlášce k vyššímu režimu rozlišeny podle toho, zda se vztahují na všechny dodavatele organizace nebo pouze na významné dodavatele. 

V rámci politiky řízení dodavatelů, bude muset organizace stanovit například:

Vyhláška stanovuje povinné náležitosti obsahu smlouvy uzavírané s významnými dodavateli. Jedná se mimo jiné o povinnost zahrnout do smluv ustanovení o bezpečnosti informací, o oprávnění využívat data, o kontrole a auditu dodavatele (neboli pravidla zákaznického auditu) a další.

Řízení a kontrola dodržování povinností plynoucích z dodavatelských vztahů by pak mělo patřit mezi klíčové činnosti Manažera kybernetické bezpečnosti. Více k bezpečnostním rolím se můžete dočíst třeba zde.

Dodavatelé v režimu nižších povinností

Poskytovatel regulovaných služeb v režimu nižších povinností nemá výslovně stanovené bezpečnostní opatření vztahující se k dodavatelům, jako je tomu u vyššímu režimu. To však neznamená, že by společnost nemusela své dodavatele nijak řešit.

V rámci bezpečnostního opatření zajišťování kybernetické bezpečnosti je stanovena povinnost zajistit, aby smlouvy s dodavateli obsahovaly zejména relevantní oblasti uvedené v příloze vyhlášky o nižším režimu povinností.

Smlouvy s dodavateli musí obsahovat:

Příloha navrhované vyhlášky pak i doporučuje organizacím požadovat po dodavatelích při uzavírání smluv i další nevyjmenované body, jež budou zohledňovat specifické požadavky plynoucí ze zajištění bezpečnosti související s regulovanou službou.

To však není vše, organizace musí také zajistit, aby její dodavatelé oznamovali neobvyklé chování spravovaných technických aktiv a podezření na jakékoliv zranitelnosti. Tato povinnost se skrývá v jiném bezpečnostním opatření nazvaném jako řešení kybernetických bezpečnostních incidentů nebo řízení zranitelností.

Spadáte pod novou legislativu?

Vyvinuli jsme aplikaci, kde si po zadání odpovědí na jednoduché otázky můžete zdarma ověřit, zda pod novou regulaci pravděpodobně spadnete či nikoliv. Dozvíte se i co budete muset případně plnit a jaké by měly být další kroky, které v tomto směru musíte podniknout.
NÚKIB a dodavatelé poskytovatelů regulovaných služeb

Návrh zákona o kybernetické bezpečnosti se zabývá i tzv. mechanismem prověřování bezpečnosti dodavatelského řetězce. Stanoví pravomoc Národního úřadu pro informační a komunikační bezpečnost (NÚKIB) shromažďovat a vyhodnocovat informace a data spojená s orgánem či osobou, které se týkají možné hrozby pro bezpečnost České republiky, vnitřní či veřejný pořádek, a to za účelem prověřování rizik spojených s dodavateli.

Cílem tohoto mechanismu je umožnit, aby stát mohl včas identifikovat hrozby. Nejdříve by měly být prověřeni dodavatelé, u nichž se očekává největší vliv na poskytovatele strategicky významných služeb.

V rámci tohoto mechanismu má NÚKIB stanovenou i pravomoc omezení rizik spojených s dodavatelem, kdy může vydat opatření obecné povahy stanovující podmínky nebo zákaz využít plnění „dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu“. Mělo by se jednat jen o ty bezpečnostně významné dodávky a v částech, jež jsou považovány za kritické a mají dopad na vnitřní či veřejný pořádek nebo bezpečnost České republiky.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.

Další články

Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?
Pusťte si podcast s Katkou Hůtovou, která vás provede připravovanými změnami podle nového zákona o kybernetické bezpečnosti.
Krizová komunikace během kybernetického útoku by měla být rychlá, transparentní a konzistentní, aby minimalizovala škody a udržela důvěru všech zainteresovaných stran. Jak na to?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.