NIS2 Bezpečnosť Dodávateľov: Požiadavky na Dodávateľský Reťazec

Q: Ako často musím auditovať dodávateľov?

NIS2 nešpecifikuje frekvenciu, ale stanovuje povinnosť práv na audit . Odporúčané best practice: vysokorizikoví dodávatelia ročne, strední raz za 2 roky. Ak používate automatizované platformy ako SecurityScorecard, monitorujete kontinuálne a audity môžete redukovať na ciele incidenty. Ak sa bezpečnosť dodávateľa zhoršuje, iniciujte urgentný audit.

Čo Presne Vyžaduje NIS2 Článok 21(2)(d)

NIS2 Článok 21(2)(d) vyžaduje, aby všetci operátori kritickej infraštruktúry a poskytovatelia digitálnych služieb zahrnutí do zákona implementovali bezpečnostné požiadavky pre všetkých priamych dodávateľov.

To znamená konkrétne povinnosti:

Zaradenie požiadaviek na kybernetickú bezpečnosť do všetkých zmlúv s dodávateľmi
Právo na audit bezpečnosti u dodávateľov
Povinnosť nahlásiť bezpečnostné incidenty vrátane tých u dodávateľov
Požiadavky na spracovanie osobných údajov podľa GDPR
Riadenie subdodávateľov a ďalších tretích strán

Táto povinnosť sa vzťahuje NA VŠETKÝCH PRIAMYCH DODÁVATEĽOV — bez výnimiek, bez výberu na základe veľkosti.

Kto Je Považovaný za Dodávateľa podľa NIS2

Firmy často chybne chápu, kto je dodávateľ. NIS2 Článok 21(2)(d) pokrýva:

Výrobcovia softvéru a SaaS poskytovateľov (Microsoft, Salesforce, vlastné aplikácie)
Poskytovatelia cloudu (AWS, Microsoft Azure, on-premise infraštruktúra)
IT outsourcingové spoločnosti (správa siete, help desk, údržba)
Bezpečnostní specialisti a konzultanti (penetračné testy, audit)
Poskytovatelia fyzickej bezpečnosti (bezpečnostní strážcovia s prístupom k server roomom)
Údržbári a čistiace služby s prístupom do kritických priestorov
Poskytovatelia infraštruktúry (internet, elektrika, telekomunikácie)

Každý, kto má prístup k vášmu systému alebo údajom, je pokrytý. Áno, vrátane čistiaceho personálu s prístupom do server roomy.

Čo Musí Byť Zahrnuté v Zmluvách s Dodávateľmi

Vaše zmluvy musia obsahovať výslovné bezpečnostné klauzuly:

Bezpečnostné štandardy: Špecifikujte minimálne požiadavky (šifrovanie, autentifikácia, zálohy)
Oznamovanie incidentov: Povinnosť nahlásiť bezpečnostné incidenty do 72 hodín
Práva na audity: Váš prístup k posúdeniu bezpečnosti dodávateľa
Spracovanie údajov: Výslovná klauzula o GDPR, geografii dát, šifrovaní v tranzite
Riadenie subdodávateľov: Dodávateľ musí uplatňovať rovnaké požiadavky na svojich subdodávateľov
Zákonnosť: Potvrdenie súladu s národnými a medzinárodnými zákonmi
Koniec vzťahu: Povinnosť zmazať alebo vrátiť všetky údaje po ukončení zmluvy

Tieto klauzuly sú povinné — bez nich ste v porušení NIS2.

Ako Posúdiť Bezpečnosť Dodávateľov: Dva Prístupy

Máte dve možnosti na posúdenie dodávateľov:

1. Questionnaire (jednoduchý začiatok): Odošlite štandardný bezpečnostný dotazník všetkým dodávateľom. Zahrňte otázky na certifikácie, bezpečnostné politiky a incidenty. Toto je ekonomické, ale závisí od svojovoľnosti dodávateľov.

2. Platformy na Bezpečnostné Hodnotenia (kontinuálny monitoring): Nástoje ako SecurityScorecard monitorujú bezpečnosť dodávateľov v reálnom čase. Alternatívy zahŕňajú BitSight a UpGuard. Tieto platformy automaticky skúmajú verejne dostupné údaje a dávajú objektívne skóre.

Kombinácia oboch prístupov (dotazník + automatické monitory) je najúčinnejšia. Nástroje pre riadenie ISMS ako Reglyze ponúkajú vstavaný modul na riadenie dodávateľov v jednom mieste.

Praktická Implementácia: 30-Dňový Plán

Týždeň 1: Mapovanie a Kategorizácia

Vytvorte úplný zoznam všetkých priamych dodávateľov (softvér, infraštruktúra, služby)
Kategorizujte ich podľa rizika (vysoké, stredné, nízke) na základe prístupu k údajom

Týždeň 2-3: Zmluvy a Dotazníky

Skontrolujte existujúce zmluvy — sú bezpečnostné klauzuly prítomné?
Aktualizujte zmluvy v súlade s požiadavkami NIS2
Odošlite bezpečnostný dotazník vysoko rizikovým dodávateľom

Týždeň 4: Monitoring a Vedenie Záznamov

Implementujte nástroj na sledovanie (SecurityScorecard alebo podobný)
Vytvorte evidenciu všetkých posúdení a zmluv
Nastavte ročné prehodnotenia a monitoring incidentov

Ako Platformy na Bezpečnostné Hodnotenia Monitorujú Dodávateľov

SecurityScorecard a podobné platformy nepotrebujú prístup k interným systémom dodávateľa. Namiesto toho analyzujú:

Verejne dostupné údaje: Zraniteľnosti, zneužívané domény, úniky hesiel
Sieťové podpisy: Maleware, phishing infraštruktúra, podozrivá aktivita
Certifikácie a správy: Súlad s ISO 27001, SOC 2, GDPR
Historické incidenty: Informácie z verejných databáz bezpečnosti

Výsledkom je objektívne bezpečnostné skóre (0-100), ktoré sa aktualizuje v reálnom čase. Ak dodávateľ utrpí bezpečnostný incident, skóre klesne a vy budete okamžite upozornení.

Toto je oveľa efektívnejšie ako ročné audit — je to kontinuálny monitoring bez ďalšej administratívy.

Kontrolný Zoznam: 10 Otázok na Každého Dodávateľa

✓ Má váš dodávateľ písomné bezpečnostné politiky a certifikácie (ISO 27001, SOC 2)?
✓ Aký je postupom na oznamovanie bezpečnostných incidentov a aká je lhota odozvy?
✓ Kde sú fyzicky uložené naše údaje a aká je krajina spracovania?
✓ Ponúka váš dodávateľ právo na bezpečnostný audit alebo penetračné testovanie?
✓ Ako dodávateľ riadne šifruje údaje v tranzite (TLS) a v pokoji (AES-256)?
✓ Má váš dodávateľ poistenie kybernetickej bezpečnosti a aká je výška pokrytia?
✓ Ako dodávateľ riadne identifikuje a spravuje svojich subdodávateľov a tretie strany?
✓ Ako budú naše údaje zmazané či vrátené po ukončení zmluvy?
✓ Má váš dodávateľ bezpečnostný incident v posledných 3 rokoch a ako ho vyriešil?
✓ Ponúka váš dodávateľ bezpečnostný monitoring a pravidelné správy o stave?

Často Kladené Otázky o NIS2 Dodávateľoch

NIS2 Článok 21(2)(d) výslovne vyžaduje bezpečnostné požiadavky pre všetkých priamych dodávateľov — bez výnimiek. To zahŕňa aj malých dodávateľov. Avšak v praxi ich môžete kategorizovať podľa rizika a prideliť úrovne sledovania. Vysokorizikoví dodávatelia (cloud, softvér) potrebujú kontinuálny monitoring; nízkorizikoví (spotrebný materiál) potrebujú minimálne ročný dotazník.

Firmy sa často zameriavajú iba na IT dodávateľov a zabúdajú na fyzickú bezpečnosť. Bezpečnostný strážca s prístupom do server roomy, údržbári HVAC, poskytovatelia internetu — všetci sú dodávateľmi podľa NIS2. Ďalšia chyba: mať zmluvy bez bezpečnostných klauzúl. Staré zmluvy z 2015 s poskytovateľom cloudu neobsahujú NIS2 požiadavky — musíte ich aktualizovať alebo si budete porušovať zákon.

NIS2 nešpecifikuje frekvenciu, ale stanovuje povinnosť práv na audit. Odporúčané best practice: vysokorizikoví dodávatelia ročne, strední raz za 2 roky. Ak používate automatizované platformy ako SecurityScorecard, monitorujete kontinuálne a audity môžete redukovať na ciele incidenty. Ak sa bezpečnosť dodávateľa zhoršuje, iniciujte urgentný audit.

Máte tri možnosti: (1) Požiadajte dodávateľa o výmenu — explicitne vysvetlite, že sú to právne požiadavky slovenského a eukódexu; (2) Nájdite alternatívneho dodávateľa, ktorý súlad ponúka; (3) Ak nie je alternatíva, zdokumentujte riziko v záznamoch a implementujte náhrádne bezpečnostné opatrenia (vyšší monitoring, izolácia údajov). Nikdy nepodpíšte zmluvu bez bezpečnostných klauzúl — je to porušenie NIS2.

Dotazník je legálne postačujúci začiatok, ale má limity: závisí od odpovedi dodávateľa, nie je aktuálny a vyžaduje ročnú aktualizáciu. Bezpečnostné hodnotenia (SecurityScorecard, BitSight) sú jednorázovú alebo malú investíciu, ale dávajú objektívne, kontinuálne skóre bez administratívnej záťaže. Pre středné až veľké firmy s 50+ dodávateľmi sú automatizované platformy prakticky nevyhnutné. Reglyze kombinuje ISMS správu aj riadenie dodávateľov v jednom nástroji.

NIS2 Článok 21(2)(d): Bezpečnosť Dodávateľského Reťazca pre Slovenské Podniky