Řízení dodavatelů v kontextu kybernetické bezpečnosti: Řízení dodavatelů

Správně nastavené vztahy s dodavateli musí být řízeny a povinnosti z nich vyplývající musí být smluvně ošetřeny. Pro dodavatele musí být stanovena a jasně definována pravidla, požadavky a konkrétní podmínky řízení bezpečnosti informací související s dodavateli, včetně sankcí za jejich nedodržení. Tato pravidla musí být v souladu s požadavky ISMS a dodavatelé s nimi musí být prokazatelně písemně seznámeni, protože se po nich vyžaduje jejich dodržování. Požadavky týkající se kybernetické bezpečnosti musí být definovány v souladu s výsledky hodnocení rizik

Doporučení NUKIB: Při seznamování dodavatelů by s pravidly měli být seznámeni zejména jejich konkrétní zaměstnanci, kteří se na plnění smlouvy podílejí.

Organizace musí mít platnou politiku řízení dodavatelů.

Tato politika by měla obsahovat následující:

• pravidla a principy pro výběr dodavatelů,
• pravidla pro hodnocení rizik souvisejících s dodavateli,
• náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti,
• pravidla pro provádění kontroly zavedení bezpečnostních opatření,
• pravidla pro hodnocení dodavatelů.

Významný dodavatel

Dodavatelé musí být evidováni a každý dodavatel musí být posouzen z hlediska jeho významnosti, zda nenaplní definici významného dodavatele. U těchto dodavatelů je totiž nutné řešit i další povinnosti vyplývající z VKB (viz dále).

Dle § 2 písm. n) vyhlášky o kybernetické bezpečnosti se významným dodavatelem rozumí „provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému“.

Příklad: Významnost dodavatele si může organizace určit např. v návaznosti na hodnotu aktiv, ke kterým tento dodavatel přistupuje, a za významného dodavatele bude označen tedy kromě provozovatele (který je určen jako významný dodavatel přímo vyhláškou) i další dodavatel (zejména významný z hlediska bezpečnosti se rozumí dodavatel s přístupem k aktivům ohodnoceným na úroveň vysoká či kritická).

Provozovatel

Dle § 2 písm. g) zákona o kybernetické bezpečnosti se provozovatelem rozumí „orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém“.
Více informací o institutu provozovatele je uvedeno v podpůrném materiálu zveřejněném zde.
Významní dodavatelé musí být nejen evidováni, ale také prokazatelně informováni.