Home NIS2 > Dodavatelský Řetězec
NIS2 Compliance

Bezpečnost Dodavatelského Řetězce dle NIS2 Článku 21(2)(d)

Vaši dodavatelé jsou vaší povinností. NIS2 vám nařizuje zajistit bezpečnost ALL přímých dodavatelů – od IT outsourcerů po údržbáře v serverovně. Zjistěte, co to skutečně znamená pro vaši firmu.

Stáhnout Šablonu →

Co NIS2 Vyžaduje: Povinnosti v Dodavatelském Řetězci

Článek 21(2)(d) NIS2 je jasný: Musíte uzavřít smlouvy se VŠEMI přímými dodavateli, které obsahují konkrétní bezpečnostní požadavky. Nejde o doporučení – je to povinnost.

Požadavky zahrnují:

  • Zavedení bezpečnostních opatření na úrovni dodavatele
  • Povinnost hlášení bezpečnostních incidentů (48 hodin)
  • Právo na audit bezpečnostních procesů
  • Správa osobních údajů v souladu s GDPR
  • Řízení subdodavatelů (dodavatelé vašich dodavatelů)
  • Minimálně jednou ročně zhodnotit riziko dodavatele

Tyto požadavky se vztahují na KAŽDÉHO dodavatele s přístupem k vašim systémům nebo údajům. Není důležité, zda jde o strategického IT partnera nebo firmu čistící serverovnu.

Kdo Je Dodavatel? Běžné Překvapení

Mnoho společností podceňuje rozsah termínu "dodavatel". Uvádíme praktické příklady:

  • Software vendoři: Všechny SaaS platformy, EDI systémy, ERP řešení
  • Cloud poskytovatelé: AWS, Azure, Google Cloud a jejich resellery
  • IT outsourcery: Správa serveru, helpdesk, správa sítě
  • Bezpečnostní služby: Penetrační testování, SOC, správa hesel
  • Operační dodavatelé: Údržbáři s fyzickým přístupem do serveroven, údržba CCTV, správa energie
  • Logistika a archivace: Likvidace hardwaru, fyzické skladování dat

Pokud má někdo přístup k vašim systémům, údajům nebo kritické infrastruktuře, je to dodavatel. Jejich bezpečnost se stává vaší povinností.

Co Musí Obsahovat Smlouva se Dodavatelem

Vaše smluvní architektura musí obsahovat následující klíčové prvky:

  • Bezpečnostní standardy: Odkaz na konkrétní normy (ISO 27001, SOC 2, NIS2 soulad)
  • Hlášení incidentů: Doba odpovědi (obvykle 24–48 hodin) a kontakt v případě porušení bezpečnosti
  • Audit práva: Váš právní zákrok prozkoumat bezpečnostní opatření, včetně penetračních testů
  • Data handling: Jasné pravidla pro šifrování, uchovávání, mazání údajů
  • Řízení subdodavatelů: Dodavatel musí přenést stejné povinnosti na své subdodavatele
  • Pojištění a odpovědnost: Kybernetické pojištění, odpovědnost za narušení

Bez těchto prvků v smlouvách rizikem vystavujete svou firmu pokutám až 10 milionů EUR dle NIS2.

Posuzování Dodavatelů: Dotazníky vs. Bezpečnostní Rating Platformy

Máte dvě strategie: manuální dotazníky nebo automatizované monitorování.

Přístup 1: Interní Dotazníky – Vytvořte seznam otázek o bezpečnostních procesech dodavatele. Jednoduchý, ale časově náročný a subjektivní.

Přístup 2: Bezpečnostní Rating Platformy – Platformy jako SecurityScorecard, BitSight a UpGuard kontinuálně monitorují bezpečnostní stav dodavatelů bez jejich aktivní účasti. Automaticky sledují:

  • Zneužitá kreditní data a úniky
  • Malware a botnet infekce
  • Zranitelné porty a SSL/TLS problémy
  • Outdated software verze

Kombinace obou přístupů je nejúčinnější. Pak integrace s ISMS nástroji jako Reglyze poskytuje automatizovanou správu dodavatelů v jedné platformě.

10 Otázek, které Musíte Položit KAŽDÉMU Dodavateli

Tato čeklist je základ posouzení dodavatelů. Nemusíte být expert – tyto otázky vám dají jasný obraz jejich bezpečnostní úrovně:

OtázkaProč se ptát
1. Máte certifikaci ISO 27001 nebo SOC 2?Potvrzení formálního zavedení bezpečnosti
2. Jak dlouhá je vaše doba reakce na bezpečnostní incident?Měří schopnost reagovat (NIS2 vyžaduje 48h)
3. Komu hlášíte incidenty a jaký je váš proces?Zajistí informovanost vašeho týmu
4. Šifrujete data v klidu i v přenosu?Ochrana před zneužitím dat
5. Jaké jsou vaše zásady uchovávání a mazání dat?GDPR a právní komplementarita
6. Jaké pentesty provádíte a jak často?Proaktivní hledání zranitelností
7. Máte aktuální seznam vašich subdodavatelů?Mapování rizika v řetězci
8. Umožníte nám auditovat vaši bezpečnost?Ověření compliance (NIS2 právo)
9. Máte kybernetické pojištění?Finanční krytí v případě incidentu
10. Jak se vyrovnáváte s vulnerability management?Znalost jejich oprav a bezpečnostního procesu

Jak Bezpečnostní Rating Platformy Chrání Váš Řetězec

SecurityScorecard a podobné platformy fungují bez aktivní účasti dodavatele. Monitorují:

  • Odhalená pověření: Ověřují, zda se přihlašovací údaje dodavatele neobjevily v únicích
  • Malware infekce: Sledují botnet aktivity na jejich IP adresách
  • Open ports a SSL problémy: Detekují potencionální přístupové body
  • Outdated software: Identifikují staré verze s známými zranitelnostmi
  • Dark web monitoring: Kontrolují, zda se jejich údaje neprodávají na darkwebu

Výsledek? Dostanete skóre (obvykle 0–100), které snadno komunikujete se stakeholdery. Některé platformy také nabízejí trendové analýzy – jak se bezpečnost dodavatele vyvíjí v čase. To vám umožňuje předcházet incidentům, místo aby vás překvapily.

Implementace Programu Bezpečnosti Dodavatelů za 30 Dní

Den 1–5: Zmapování – Vytvořte inventář VŠECH dodavatelů s přístupem k datům nebo systémům. Být důslední! Zahrňte lidi s fyzickým přístupem (údržbáři, bezpečnostní pracovníci).

Den 6–10: Kategorizace Rizika – Rozdělte dodavatele do tří kategorií: vysoké (data, systém kriticalnost), střední a nízké riziko. Vysokorizičné dodavatele auditujte nejdřív.

Den 11–15: Implementace Rating Platformy – Zaregistrujte se na SecurityScorecard nebo BitSight a přidejte vysokorizičné dodavatele. To vám dá okamžitý přehled o jejich bezpečnostním stavu.

Den 16–20: Smluvní Audit – Projděte existující smlouvy se všemi dodavateli. Aktualizujte je o NIS2 prvky (hlášení incidentů, audit práva, řízení subdodavatelů). Implementujte tyto postupy pro nové smlouvy okamžitě.

Den 21–25: Dotazník a Compliance – Zašlete posouzení bezpečnosti nejvyšším rizikům. Dokumentujte odpovědi a nezrovnalosti.

Den 26–30: Monitoring a Procesní Plán – Nastavte měsíční recenze rating skóre v Reglyze nebo jiném ISMS nástrojů. Vytvořte plán pro řešení hrozeb v příštích měsících.

Realita: Pokud máte 50+ dodavatelů, tato lhůta je těsná. Prioritizujte podle rizika; pokud máte méně dodavatelů, jste hotovi dříve.

Časté Otázky o NIS2 a Bezpečnosti Dodavatelů

Auditování je vaše právní právo dle NIS2. Pokud dodavatel odmítne, musíte zvážit jeho nahrazení nebo zvýšit monitoring (např. přes SecurityScorecard). Dokumentujte rozhodnutí – regulátoři jej mohou prověřit. V některých případech můžete provést audit přes třetí stranu nebo od jiného poskytovatele.

Pokud máte stávající smlouvu bez NIS2 prvků, měli byste ji aktualizovat formou dodatku. Není vždy potřeba úplná nová smlouva. Klíčové je začlenit povinnosti hlášení incidentů, audit práva a řízení subdodavatelů. Prioritizujte dodavatele s nejvyšším rizikem.

NIS2 vyžaduje minimálně jednou ročně. Vysokorizičné dodavatele (kritické systémy, data) by měly být monitorovány měsíčně přes platformy jako SecurityScorecard. Po incidentu, změně v jejich operacích nebo při podezření na kompromis opakujte posouzení okamžitě.

Ano – přímě vás neřídí, ale MUSÍTE zajistit, aby je řídili vaši dodavatelé. Smlouvy se dodavateli musí obsahovat klauzuli, že oni přenesou stejné bezpečnostní povinnosti na své subdodavatele. Během auditů se ptejte na jejich seznam subdodavatelů a jejich bezpečnostní procesy.

Pokuty za porušení NIS2 čl. 21 se pohybují do 10 milionů EUR nebo 2 % globálního obratu (podle toho, která částka je vyšší). Nejrizikovější situace je, když se stane incident u dodavatele a bude prokázáno, že jste jej adekvátně neposoudili ani nemonitorovali. Dokumentace vašeho programu je tedy klíčová pro obranu.

Připravte se Nyní: Stáhněte Šablonu NIS2 Smlouvy

Majte připravenou šablonu bezpečnostních klauzulí pro nové smlouvy se dodavateli. Nejde o právní poradenství, ale seznam prvků, které musí být zahrnuty. Ušetří vám měsíce v draftech.

Stáhnout Šablonu