Pokud jste se identifikovali jako poskytovatel regulované služby v nižším nebo vyšším režimu, jednou z Vašich povinností bude i řízení dodavatelského řetězce.
V režimu nižších povinností jako povinná osoba při uzavírání smlouvy s dodavatelem do stanoveného rozsahu budete muset zohlednit hrozby a zranitelnosti spojené s tímto dodavatelem, celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti, včetně postupů bezpečného vývoje a na základě toho zajistíte, aby smlouvy s tímto dodavatelem obsahovaly relevantní požadavky podle přílohy prováděcí vyhlášky.
Tam například patří:
- ustanovení o bezpečnosti informací z pohledu důvěrnosti, integrity a dostupnosti,
- ustanovení o auditu dodavatele související s plněním smlouvy,
- ustanovení upravující tzv. exit strategii,
- ustanovení o oprávnění užívat data,
- ustanovení o autorství programového kódu,
- ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky
- ustanovení o řízení změn,
- ustanovení o kybernetických bezpečnostních incidentech,
- ustanovení upravující zajištění řízení kontinuity činností,
- náležitosti smlouvy o úrovni služeb (SLA) a způsobu realizace bezpečnostních opatření,
- ustanovení o dodržování pravidel bezpečného vývoje.
V režimu vyšších povinností je pravidel více a budou náročnější na realizaci. Přibývá například, v rámci výběrového řízení nebo před uzavřením smlouvy, hodnocení rizik spojených s plněním, pravidelné přezkumy plnění smluv z hlediska řízení bezpečnosti informací, pravidelná hodnocení rizik a kontroly zavedených bezpečnostních opatření nebo zákaznické audity. Identifikace významných dodavatelů a jejich prokazatelné informování, že jsou významnými dodavateli.
Některá ustanovení se týkají stejných oblastí jako v režimu nižších povinností, jen s větší mírou detailu nebo podrobnějším hodnocením, či složitějšími pravidly.
Vybrané další oblasti dle přílohy prováděcí vyhlášky:
- ustanovení o kontrole zavedených bezpečnostních opatření (pravidla zákaznického auditu),
- ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že subdodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem,
- ustanovení o povinnosti dodavatele informovat povinnou osobu o
◦ kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,
◦ způsobu řízení rizik na straně dodavatele a o zbytkových rizicích,
◦ významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv,
- žádosti cizozemského orgánu o zpřístupnění nebo předání dat zpracovávaných na území cizího státu,
- pravidla pro likvidaci dat,
- ustanovení o právu jednostranně odstoupit od smlouvy nebo smlouvu vypovědět bez výpovědní doby v případě významné změny kontroly nad dodavatelem