Jaký je hlavní rozdíl mezi NIS2 a DORA v oblasti řízení rizik dodavatelů?

Obě regulace vyžadují robustní dohled nad dodavateli. DORA se však vztahuje konkrétně na finanční sektor a velmi podrobně upravuje řízení rizik ICT třetích stran, včetně povinných smluvních doložek, analýzy rizika koncentrace a práv regulačních orgánů na přístup. NIS2 se uplatňuje šířeji na základní a důležité subjekty a vyžaduje přístup založený na rizicích k zabezpečení celého dodavatelského řetězce, aniž by šla do stejné míry detailu u konkrétních smluvních ustanovení jako DORA.

Stačí certifikát dodavatele podle ISO/IEC 27001:2022 jako důkaz, že je bezpečný?

Ne. Certifikát ISO/IEC 27001:2022 je sice pozitivním ukazatelem vyspělého bezpečnostního programu, nenahrazuje však vaši vlastní náležitou péči. Regulace jako DORA a NIS2 vyžadují, abyste posoudili rizika specifická pro služby, které vám dodavatel poskytuje. Musíte ověřit jeho opatření, přezkoumat auditní zprávy se zaměřením na výjimky a zajistit, aby smluvní ujednání obsahovala konkrétní doložky k oznamování bezpečnostních incidentů, právu na audit a bezpečnému nakládání s daty.

Jak často bychom měli auditovat vysoce rizikové dodavatele?

U vysoce rizikových a kritických dodavatelů nesmí být audit jednorázovou aktivitou. Vyžaduje se přístup průběžného monitorování. Ten zahrnuje formální hloubkový přezkum alespoň jednou ročně nebo při významné změně služby. Měl by být doplněn čtvrtletními přezkumy důkazů dodavatele, například zpráv SOC 2 nebo výsledků skenů zranitelností, a průběžným monitorováním jeho bezpečnostního stavu a veřejně známých incidentů.

Co jsou rizika čtvrtých stran neboli navazující rizika a proč jsou kritická?

Rizika čtvrtých stran jsou rizika zavedená dodavateli vašeho dodavatele, tedy subdodavateli nebo dílčími zpracovateli. Pokud váš poskytovatel cloudových služeb využívá externí společnost pro datovou analytiku, kompromitace této společnosti může ovlivnit vaše data. Regulační orgány očekávají, že u kritických dodavatelů budete mít přehled o těchto navazujících závislostech. Vaše smlouvy musí vyžadovat, aby dodavatelé uplatňovali vaše bezpečnostní standardy vůči svým subdodavatelům a informovali vás o jakýchkoli změnách.

Jaký nejdůležitější prvek má být ve smlouvě s vysoce rizikovým dodavatelem?

Za nejkritičtější lze považovat doložku o právu na audit. Tato doložka vám smluvně přiznává právo ověřovat bezpečnostní opatření dodavatele, ať už přímo, nebo prostřednictvím třetí strany. Bez ní jsou veškeré bezpečnostní závazky dodavatele založeny pouze na důvěře. Tato doložka je vaším hlavním nástrojem, jak překročit rámec dotazníku a získat hmatatelné, obhajitelné důkazy o jeho bezpečnostním stavu.

NIS2 DORA Supplier Management Risk Management

Za hranice dotazníku: definitivní průvodce pro CISO k auditování vysoce rizikových dodavatelů podle NIS2 a DORA

Clarysec AI Editor

November 15, 2025

18 min read

#Rizika třetích stran #Audit #ISO 27001 #Soulad s požadavky #ISMS #Reakce na incidenty

Procesní diagram auditu vysoce rizikových dodavatelů znázorňující čtyřfázový životní cyklus od úvodního posouzení rizik a přezkumu smlouvy přes průběžné monitorování a technické audity až po uchovávání regulatorní dokumentace pro soulad s NIS2 a DORA.

Zpráva dopadla na stůl CISO Marie Valenové s tichým žuchnutím, které znělo spíše jako siréna. Šlo o předauditní posouzení pro nadcházející přezkum souladu s DORA a jeden řádek byl zvýrazněn ostrou červenou barvou: „Nedostatečné ujištění u kritického poskytovatele služeb třetí strany, CloudSphere.“

CloudSphere nebyl jen další dodavatel. Tvořil páteř nové digitální bankovní platformy společnosti a denně zpracovával miliony transakcí. Maria měla v evidenci jeho certifikát ISO/IEC 27001:2022. Měla i vyplněný bezpečnostní dotazník, robustní dokument o 200 otázkách. Předauditoři však jasně dávali najevo, že u vysoce rizikového kritického dodavatele už formální doložení souladu nestačí. Pravidla hry se změnila.

Protože směrnice NIS2 i nařízení o digitální provozní odolnosti (DORA) jsou nyní plně účinné, regulační orgány se dívají za samotnou dokumentaci. Vyžadují hmatatelný důkaz náležité péče, průběžného monitorování a robustní governance nad celým dodavatelským řetězcem. Maria čelí výzvě, kterou řeší CISO napříč odvětvími: jak překročit rámec dotazníku a skutečně auditovat a zabezpečit nejkritičtější dodavatele? Vyžaduje to strategický posun od pasivního ověřování k aktivnímu ujištění založenému na důkazech.

Slabina statického dotazníku v dynamickém prostředí

Bezpečnostní dotazník byl po mnoho let základním kamenem řízení rizik třetích stran. Je však pouze statickým snímkem v dynamickém prostředí hrozeb. Rizikový profil dodavatele není neměnný; vyvíjí se s každou novou hrozbou, změnou systému nebo subdodavatelem, kterého dodavatel zapojí. Spoléhat se výhradně na vlastní prohlášení u kritického dodavatele, jako je CloudSphere, je jako navigovat bouří podle loňské mapy počasí.

Směrnice NIS2 výslovně vyžaduje přístup založený na rizicích a stanoví, že bezpečnostní opatření musí odpovídat skutečným rizikům. To znamená, že univerzální dotazník je v zásadním nesouladu s moderními regulatorními očekáváními. Doba, kdy certifikát nebo vyplněný kontrolní seznam mohly nahradit důkazy, skončila. Skutečné riziko leží za hranicí dokumentace.

Právě zde je nezbytný strukturovaný přístup založený na životním cyklu. Nejde o opuštění dotazníků, ale o jejich doplnění hlubším a důslednějším ověřováním u dodavatelů, na kterých skutečně záleží. Tento princip je zakotven v dokumentu Clarysec Bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran. Jedním z jeho základních cílů je:

„Vyžadovat formální náležitou péči a dokumentovaná posouzení rizik před zapojením nových dodavatelů nebo obnovením vysoce rizikových smluv o poskytování služeb.“
Ze sekce „Cíle“, ustanovení politiky 3.3

Toto ustanovení posouvá uvažování od jednoduché kontroly k formálnímu šetření, což je klíčový první krok při budování obhajitelného programu, který obstojí při regulatorním přezkumu.

Rizika dodavatelů podle NIS2 a DORA: nová očekávání

NIS2 i DORA vyžadují, aby organizace systematicky identifikovaly, hodnotily a průběžně monitorovaly rizika napříč dodavatelským prostředím. Řízení dodavatelů se tak mění z nákupní funkce na základní pilíř provozní odolnosti a bezpečnosti informací.

Nové regulatorní prostředí vyžaduje jasné rámce úzce mapované na zavedené normy, jako je ISO/IEC 27001:2022. Níže je uvedeno shrnutí na vysoké úrovni toho, co tyto rámce očekávají od vašeho programu řízení dodavatelů:

Požadavek	NIS2	DORA	Opatření ISO/IEC 27001:2022
Posouzení rizik dodavatelů	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Smluvní bezpečnostní doložky	Article 21(3), Article 22	Article 30	5.20
Průběžné monitorování	Article 21, Article 22	Articles 30, 31	5.22
Řízení zranitelností a reakce na incidenty	Article 23	Article 9, 11	5.29, 8.8

Robustní program auditů dodavatelů není nutné navrhovat od začátku. Rámec ISO/IEC 27001:2022, zejména jeho opatření v příloze A, poskytuje silný plán. Ve společnosti Clarysec vedeme klienty k tomu, aby svůj program postavili na třech vzájemně propojených opatřeních, která tvoří úplný životní cyklus řízení dodavatelů.

Budování obhajitelného auditního rámce: životní cyklus ISO/IEC 27001:2022

Chcete-li vybudovat program, který obstojí před regulačními orgány, potřebujete strukturovaný přístup opřený o globálně uznávanou normu. Opatření pro bezpečnost dodavatelů v ISO/IEC 27001:2022 poskytují životní cyklus pro řízení rizik třetích stran od zahájení vztahu až po jeho ukončení. Podívejme se, jak může Maria tento životní cyklus využít k vytvoření obhajitelného plánu auditu pro CloudSphere.

Krok 1: základ — bezpečnost informací ve vztazích s dodavateli (5.19)

Opatření 5.19 je strategickým výchozím bodem. Vyžaduje zavedení formálních procesů pro identifikaci, posouzení a řízení rizik bezpečnosti informací spojených s celým dodavatelským ekosystémem. Zde definujete, co pro vaši organizaci znamená „vysoké riziko“, a nastavujete pravidla hry.

Průvodce Clarysec Zenith Controls: průvodce napříč požadavky souladu poskytuje podrobný rozbor opatření 5.19 a ukazuje jeho roli jako centrálního uzlu řízení dodavatelů. Toto opatření je vnitřně propojeno se souvisejícími opatřeními, například 5.21 (bezpečnost informací v dodavatelském řetězci ICT), které pokrývá hardwarové a softwarové komponenty, a 5.14 (přenos informací), které řídí bezpečnou výměnu dat. Dodavatelský vztah nelze účinně řídit bez současné kontroly technologií, které dodavatel poskytuje, a dat, která s ním sdílíte.

Pro Marii to znamená, že audit CloudSphere musí překročit rámec korporátního bezpečnostního stavu dodavatele a jít do hloubky bezpečnosti skutečné platformy, kterou poskytuje. Příručka Zenith Controls zdůrazňuje, že silná implementace opatření 5.19 přímo podporuje soulad s hlavními regulacemi:

NIS2 (Article 21(2)(d)): Ukládá organizacím řídit rizika dodavatelského řetězce jako základní součást jejich bezpečnostního rámce.
DORA (Articles 28–30): Vyžaduje robustní rámec řízení rizik ICT třetích stran, včetně klasifikace kritičnosti a předsmluvní náležité péče.
GDPR (Article 28): Vyžaduje, aby správci využívali pouze zpracovatele poskytující dostatečné záruky ochrany osobních údajů.

Toto opatření vyžaduje zařazení dodavatelů do rizikových úrovní, průběžné monitorování a včasné odebrání přístupu. Jeho účelem je zajistit, aby byla bezpečnost součástí životního cyklu dodavatele, nikoli dodatečně připojeným prvkem.

Krok 2: vynucení — řešení bezpečnosti informací ve smlouvách s dodavateli (5.20)

Bezpečnostní požadavek, který není zakotven ve smlouvě, je pouze doporučením. Opatření 5.20 je místem, kde se governance stává právně vymahatelnou. U vysoce rizikového dodavatele je smlouva vaším nejsilnějším auditním nástrojem.

Jak zdůrazňuje Zenith Controls, tato ujednání musí být explicitní. Vágní přísliby „bezpečnosti podle osvědčených postupů v odvětví“ nemají dostatečnou hodnotu. U dodavatele, jako je CloudSphere, musí Maria ověřit, že smlouva obsahuje konkrétní, měřitelné doložky, které její organizaci poskytují hmatatelný dohled:

Právo na audit: Doložka, která její organizaci výslovně dává právo provádět technická posouzení, přezkoumávat důkazy nebo pověřit třetí stranu provedením auditu jejím jménem.
Lhůty pro oznamování bezpečnostních incidentů: Konkrétní a přísné lhůty, například do 24 hodin od zjištění, pro oznámení bezpečnostního incidentu její společnosti, nikoli pouze vágní formulace „bez zbytečného odkladu“.
Řízení subdodavatelů (čtvrtých stran): Doložka vyžadující, aby dodavatel uplatňoval stejné bezpečnostní standardy vůči svým vlastním kritickým subdodavatelům a informoval Marii o jakýchkoli změnách. To je zásadní pro řízení navazujících rizik.
Bezpečná strategie ukončení: Jasné povinnosti týkající se vrácení nebo certifikovaného zničení dat při ukončení smlouvy.

DORA je v této oblasti obzvlášť preskriptivní. Article 30 uvádí povinná smluvní ustanovení, včetně neomezeného přístupu pro auditory a regulační orgány, konkrétních údajů o místech poskytování služby a komplexních strategií ukončení. Auditoři budou vybírat vzorky smluv s vysoce rizikovými dodavateli a tyto doložky přímo kontrolovat.

Krok 3: průběžná kontrolní smyčka — monitorování, přezkum a řízení změn služeb dodavatelů (5.22)

Poslední částí životního cyklu je opatření 5.22, které mění dohled nad dodavateli z jednorázové kontroly na průběžný proces. Audit nemá být překvapivou událostí, ale validačním bodem v průběžném a transparentním vztahu.

Právě zde mnoho organizací selhává. Smlouvu podepíší a založí ji. U vysoce rizikových dodavatelů však skutečná práce začíná až po jejich zapojení. Příručka Zenith Controls propojuje opatření 5.22 s kritickými provozními procesy, jako je 8.8 (řízení technických zranitelností) a 5.29 (bezpečnost informací při narušení). Účinné monitorování tedy zahrnuje mnohem více než každoroční přezkumné jednání. Patří sem:

Přezkum důkazů třetí strany: Aktivní získávání a analýza zpráv SOC 2 Type II, výsledků dozorových auditů ISO 27001 nebo shrnutí penetračních testů. Klíčové je přezkoumat výjimky a sledovat jejich nápravu.
Monitorování incidentů: Sledování veřejně oznámených porušení zabezpečení nebo bezpečnostních incidentů týkajících se dodavatele a formální posouzení jejich možného dopadu na vaši organizaci.
Řízení změn: Zavedení procesu, při kterém jakákoli významná změna služby dodavatele, například nové umístění datového centra nebo nový kritický subdodavatel, automaticky spustí opětovné posouzení rizik.

Clarysec Zenith Blueprint: 30krokový plán auditora k tomu poskytuje praktické pokyny, zejména v kroku 24, který pokrývá riziko subdodavatelů. Doporučuje:

„U každého kritického dodavatele zjistěte, zda využívá subdodavatele (dílčí zpracovatele), kteří mohou mít přístup k vašim datům nebo systémům. Dokumentujte, jak jsou vaše požadavky na bezpečnost informací přenášeny na tyto strany… Je-li to proveditelné, vyžádejte si seznam klíčových subdodavatelů a zajistěte, aby se vaše právo na audit nebo získání ujištění vztahovalo i na ně.“

To je pro Marii zásadní bod. Využívá CloudSphere externí společnost pro datovou analytiku? Je jeho infrastruktura hostována na hlavní veřejné cloudové platformě? Tyto navazující závislosti představují významné, často neviditelné riziko, které musí její audit zviditelnit.

Od teorie k praxi: Mariin praktický plán auditu CloudSphere

S využitím tohoto životního cyklu ISO 27001:2022 připravuje Mariin tým nový plán auditu CloudSphere, který jde daleko za rámec dotazníku a prokazuje vyspělou governance založenou na rizicích, kterou regulační orgány vyžadují.

Přezkum smlouvy: Tým začíná mapováním stávající smlouvy s CloudSphere vůči DORA Article 30 a osvědčeným postupům pro opatření 5.20. Vytvoří zprávu o analýze mezer, která slouží jako podklad pro další cyklus obnovení smlouvy a pro prioritizaci oblastí aktuálního auditu.
Cílená žádost o důkazy: Namísto obecného dotazníku zasílají formální žádost o konkrétní důkazy, včetně:
- nejnovější zprávy SOC 2 Type II a shrnutí způsobu nápravy všech uvedených výjimek;
- shrnutí pro vedení z nejnovějšího externího penetračního testu;
- úplného seznamu všech subdodavatelů (čtvrtých stran), kteří budou zpracovávat jejich data nebo k nim přistupovat;
- důkazu, že bezpečnostní požadavky jsou smluvně přeneseny na tyto subdodavatele;
- logů nebo reportů dokládajících včasné záplatování kritických zranitelností, například Log4j nebo MOVEit, za posledních šest měsíců.
Technické ověření: Tým uplatní doložku o právu na audit a naplánuje technickou hloubkovou schůzku s bezpečnostním týmem CloudSphere. Agenda se zaměřuje na jejich postupy reakce na incidenty, nástroje pro řízení bezpečnostní konfigurace cloudového prostředí (Cloud Security Posture Management, CSPM) a opatření prevence úniku dat.
Formální řízení výjimek: Pokud CloudSphere odmítne poskytnout určité důkazy, Maria je připravena. Proces řízení výjimek její organizace, definovaný v Bezpečnostní politice pro dodavatele a poskytovatele služeb třetích stran, je jasný:

„Vysoce rizikové výjimky (např. dodavatelé nakládající s regulovanými daty nebo podporující kritické systémy) musí být schváleny ředitelem informační bezpečnosti, právním oddělením a vedením nákupu a zapsány do registru výjimek ISMS.“
Ze sekce „Ošetření rizik a výjimky“, ustanovení politiky 7.3

Tím je zajištěno, že jakékoli odmítnutí poskytnout důkazy nebude ignorováno, ale bude formálně akceptováno jako riziko na nejvyšší úrovni organizace, což je proces, který auditoři respektují.

Perspektiva auditora: co budou různí auditoři požadovat

Chcete-li vybudovat skutečně odolný program, musíte uvažovat jako auditor. Různé auditní rámce používají různé pohledy a schopnost předvídat jejich otázky je klíčem k úspěchu. Níže je konsolidovaný přehled toho, co by různí auditoři požadovali při přezkumu vašeho programu řízení dodavatelů:

Profil auditora	Klíčová oblast a opatření	Důkazy, které bude požadovat
Auditor ISO/IEC 27001:2022	5.19, 5.20, 5.22	Evidence dodavatelů s rizikovými klasifikacemi; vzorky smluv s vysoce rizikovými dodavateli k ověření bezpečnostních doložek; záznamy o náležité péči a průběžných přezkumných jednáních.
Auditor COBIT 2019	APO10 (Manage Suppliers), DSS04 (Manage Continuity)	Důkazy o průběžném monitorování výkonnosti vůči SLA; dokumentace způsobu řízení incidentů souvisejících s dodavateli; záznamy o přezkumech rizik dodavatelů a řízení změn.
DORA / finanční regulační orgán	Articles 28-30	Smlouva s kritickým poskytovatelem ICT mapovaná vůči povinným doložkám DORA; posouzení rizika koncentrace; důkazy o testování nebo přezkumu strategie ukončení.
Auditor NIST SP 800-53	SA-9 (External System Services), skupina SR (Supply Chain)	Důkaz o plánu řízení rizik dodavatelského řetězce; záznamy o důkazech souladu dodavatele, např. FedRAMP nebo SOC 2; dokumentace přehledu o rizicích čtvrtých stran.
ISACA / IT auditor	ITAF Performance Standard 2402	Logy prokazující, že přístup ukončených pracovníků dodavatele byl včas odebrán; důkazy o jedinečných účtech chráněných MFA pro přístup třetích stran; záznamy reakce na incidenty.

Tato vícevrstvá perspektiva ukazuje, že robustní program nespočívá ve splnění jedné normy, ale ve vybudování uceleného rámce governance, který vytváří důkazy potřebné ke splnění požadavků všech těchto rámců.

Kritické chyby: kde audity dodavatelů selhávají

Mnoho programů dohledu nad dodavateli selhává kvůli běžným chybám, kterým lze předejít. Věnujte pozornost zejména těmto kritickým nedostatkům:

Audit jako jednorázová událost: Spoléhání na jednorázové audity při zapojení dodavatele nebo obnově smlouvy namísto zavedení průběžného monitorování.
Falešný pocit jistoty z certifikace: Přijetí certifikátu ISO nebo zprávy SOC 2 bez ověření detailů zprávy, rozsahu a výjimek.
Vágní smlouvy: Opomenutí výslovných a vymahatelných doložek k právu na audit, oznamování bezpečnostních incidentů a nakládání s daty.
Nedostatečná evidence: Neschopnost předložit úplnou evidenci všech dodavatelů rozdělenou podle rizikových úrovní a dat, ke kterým mají přístup.
Ignorování navazujícího rizika: Neidentifikování a neřízení rizik vyplývajících z vlastních kritických subdodavatelů dodavatele, tedy rizik čtvrtých stran.
Neověřené řízení zranitelností: Spoléhání na to, že dodavatel záplatuje kritické zranitelnosti, bez vyžádání důkazů.

Praktický kontrolní seznam pro audity vysoce rizikových dodavatelů

Použijte tento kontrolní seznam, upravený podle Zenith Blueprint, abyste zajistili, že auditní proces pro každého vysoce rizikového dodavatele bude důkladný a obhajitelný.

Krok	Činnost	Důkazy k získání a uchování
Náležitá péče	Proveďte a zdokumentujte formální posouzení rizik před zapojením dodavatele nebo obnovením smlouvy.	Vyplněný formulář posouzení rizik dodavatele; záznam o klasifikaci; zpráva o náležité péči.
Přezkum smlouvy	Ověřte, že bezpečnostní doložky, doložky k ochraně soukromí a auditní doložky jsou obsaženy a jsou vymahatelné.	Podepsaná smlouva se zvýrazněnými doložkami; schválení právním oddělením; smlouva o zpracování osobních údajů.
Průběžné monitorování	Naplánujte a provádějte čtvrtletní nebo roční přezkumy podle úrovně rizika.	Zápisy z jednání; přezkoumané zprávy SOC 2 / ISO 27001; shrnutí skenů zranitelností.
Dohled nad subdodavateli	Identifikujte a zdokumentujte všechny kritické navazující dodavatele (čtvrté strany).	Seznam dílčích zpracovatelů poskytnutý dodavatelem; důkazy o doložkách přenášejících bezpečnostní požadavky.
Řízení zranitelností	Vyžadujte důkazy o vyspělém programu řízení zranitelností.	Aktuální shrnutí pro vedení z penetračního testu; vzorové zprávy ze skenů zranitelností; lhůty pro záplatování.
Hlášení incidentů	Otestujte a ověřte proces oznamování incidentů dodavatele.	Záznamy o minulých oznámeních incidentů; zdokumentovaná SLA pro oznamování bezpečnostních incidentů.
Řízení změn	Přezkoumejte všechny významné technické nebo organizační změny u dodavatele.	Logy změn dodavatele; zprávy o opětovném posouzení rizik spuštěném změnami.
Regulatorní mapování	Namapujte zavedená opatření přímo na požadavky NIS2, DORA a GDPR.	Interní tabulka mapování souladu; evidence důkazů pro regulační orgány.

Závěr: budování odolného a obhajitelného dodavatelského řetězce

Éra formálního dokládání souladu u kritických dodavatelů skončila. Intenzivní dohled vyplývající z regulací, jako jsou NIS2 a DORA, vyžaduje zásadní posun k modelu průběžného ujištění založeného na důkazech. CISO, jako je Maria, musí vést své organizace za hranice statického dotazníku.

Vybudováním programu na ověřeném životním cyklu opatření ISO/IEC 27001:2022 vytvoříte rámec, který je nejen v souladu s požadavky, ale skutečně účinně snižuje riziko. To zahrnuje pojetí bezpečnosti dodavatelů jako strategické disciplíny, začlenění vymahatelných požadavků do smluv a udržování důsledného dohledu po celou dobu trvání vztahu.

Bezpečnost vaší organizace je jen tak silná jako její nejslabší článek a v dnešním propojeném ekosystému se tento článek často nachází u třetí strany. Je čas získat kontrolu zpět.

Jste připraveni překročit rámec dotazníku?

Integrované sady nástrojů Clarysec poskytují základ, který potřebujete k vybudování špičkového programu řízení rizik dodavatelů, jenž obstojí při jakémkoli auditu.

Stáhněte si naše šablony politik: Zaveďte robustní rámec governance s naší podnikovou Bezpečnostní politikou pro dodavatele a poskytovatele služeb třetích stran a její verzí pro malé a střední podniky.
Postupujte podle Zenith Blueprint: Použijte náš Zenith Blueprint: 30krokový plán auditora k implementaci a auditu ISMS v souladu s požadavky, se samostatnými kroky pro zvládnutí rizik dodavatelů.
Využijte Zenith Controls: Vyžádejte si ukázku našeho Zenith Controls: průvodce napříč požadavky souladu, abyste mohli mapovat opatření pro dodavatele na NIS2, DORA, GDPR, NIST a další rámce a zajistili, že váš plán auditu bude komplexní a obhajitelný.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council