Řízení dodavatelů v kontextu kybernetické bezpečnosti: Další povinnosti spojené s řízením významných dodavatelů

V rámci procesu řízení dodavatelů je u významných dodavatelů navíc nutné:

1. v rámci výběrového řízení a před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním předmětu výběrového řízení - v maximální možné míře provést ohodnocení rizik související s implementací i plněním smlouvy (zahrnout možné problémy při spolupráci, poskytnutí relevantních lidských zdrojů, vyčíslení času potřebného k poskytnutí součinnosti, rizika spojená s přístupem dodavatele do objektu apod.),
2. smluvně stanovit způsoby jak budou realizována bezpečnostní opatření včetně jejich úrovně a určit obsah vzájemné odpovědnosti za zavedení a kontrolu těchto opatření,
3. provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření (s případnou možností přizvání 3. strany),
4. zajistit nápravu a odstranění zjištěných rizik a nedostatků.

Příloha č. 7 VKB stanovuje přehled náležitostí, které by měly smlouvy uzavírané s významnými dodavateli obsahovat.
Výklad kompletního seznamu požadavků na smlouvy uzavírané s významnými dodavateli je uveden v podpůrném materiálu zveřejněném zde.

Kroky v procesu řízení dodavatelů, které je nutné splnit:

1. stanovit pravidla pro dodavatele,
2. evidovat významné dodavatele (a prokazatelně je o této skutečnosti informovat),
3. řídit rizika související se vztahy s dodavateli – rizika z předsmluvních analýz zohlednit při výběru ustanovení do smluv minimálně z přílohy č. 7 VKB, a následně rizika zohlednit v souhrnné analýze rizik. Dodavatelé musí být evidováni jako podpůrná aktiva a rizika související s nimi musí být ošetřena,
4. pravidelně přezkoumávat, zda jsou stanovená pravidla dodržována – jedním z možných vstupů pro přezkoumávání jsou výsledky zákaznických auditů.