Nejslabší článek: příručka CISO pro vybudování programu řízení rizik v dodavatelském řetězci v souladu s NIS2

Upozornění působilo neškodně, jen jako drobná odchylka ze služby monitorování třetí strany. Pro Anyu, CISO ve středně velké logistické společnosti, to však bylo již třetí podobné oznámení během měsíce od stejného dodavatele: „Zjištěna anomálie přihlášení.“ Dodavatel, malý, ale kritický poskytovatel softwaru pro správu vozového parku, ji ujistil, že o nic nejde. Falešně pozitivní nález. Anya ale věděla své. Nebyly to jen technické závady; byly to otřesy signalizující hlubší nestabilitu v kritické části jejího dodavatelského řetězce. Protože její společnost byla nově klasifikována jako „důležitý subjekt“ podle směrnice NIS2, tyto otřesy působily jako předzvěst zemětřesení.

Starý způsob řízení dodavatelů, založený na podání ruky a vágně formulované smlouvě, je definitivně minulostí. NIS2 jasně ukazuje, že kyberbezpečnostní stav organizace je jen tak silný jako její nejslabší článek. Slabý článek už není „někde venku“ – je uvnitř vašeho dodavatelského řetězce. Podle NIS2 není selhání v řízení rizik dodavatelů pouze technickým pochybením. Je to regulační hrozba na úrovni vedení s provozními, reputačními a finančními dopady. Problém Anyi nebyl jen jeden nejistý dodavatel. Byla to systémová zranitelnost vetkaná do provozu společnosti – a auditoři ji budou hledat. Nepotřebovala rychlou záplatu; potřebovala příručku.

Tento průvodce takovou příručku poskytuje. Projdeme strukturovaný přístup, pomocí něhož mohou CISO, manažeři souladu a auditoři vybudovat obhajitelný program řízení rizik v dodavatelském řetězci použitelný napříč regulačními požadavky. Využitím robustního rámce, jako je ISO/IEC 27001:2022, a odborných sad nástrojů Clarysec můžete propojit naléhavá rizika v dodavatelském řetězci s praktickými metodami pro splnění požadavků NIS2, DORA, GDPR i dalších rámců.

Rizikový mandát: jak NIS2 nově vymezuje zabezpečení dodavatelského řetězce

Směrnice NIS2 mění zabezpečení dodavatelského řetězce z pouhého osvědčeného postupu na právně závaznou povinnost. Vyžaduje průběžný, rizikově orientovaný přístup k zabezpečení dodavatelských řetězců ICT a OT, rozšiřuje svou působnost napříč mnoha sektory a činí vedení přímo odpovědným za selhání v oblasti souladu. To znamená:

• Rozšířený rozsah: Do rozsahu spadá každý dodavatel, subdodavatel, subzpracovatel, poskytovatel cloudových služeb a poskytovatel outsourcovaných služeb, který se dotýká vašeho prostředí ICT.
• Neustálé zlepšování: NIS2 vyžaduje živý proces posuzování rizik, monitorování a přizpůsobování, nikoli jednorázový přezkum. Tento proces musí vycházet jak z interních událostí (incidenty, narušení bezpečnosti), tak z externích změn (nové právní předpisy, aktualizace služeb dodavatele).
• Povinná opatření: Řízení incidentů, správa zranitelností, pravidelné bezpečnostní testování a robustní šifrování jsou nyní vyžadovány napříč dodavatelským řetězcem, nejen uvnitř vlastního perimetru.

Tím se stírá hranice mezi interní bezpečností a rizikem třetích stran. Kybernetické selhání vašeho dodavatele je vaší regulační krizí. Strukturovaný rámec, jako je ISO/IEC 27001:2022, se stává nezbytným, protože poskytuje opatření a procesy potřebné k vybudování odolného a auditovatelného programu, který splňuje požadavky NIS2. Cesta nezačíná technologií, ale strategií zaměřenou na tři klíčová opatření:

• 5.19 - Bezpečnost informací ve vztazích s dodavateli: Stanovení strategického rámce pro řízení rizik dodavatelů.
• 5.20 - Řešení bezpečnosti informací ve smlouvách s dodavateli: Zakotvení bezpečnostních očekávání do právně závazných smluv.
• 5.22 - Monitorování, přezkum a řízení změn služeb dodavatelů: Zajištění průběžného dohledu a přizpůsobování během celého životního cyklu dodavatele.

Zvládnutí těchto tří oblastí promění váš dodavatelský řetězec ze zdroje nejistoty v dobře řízené, odolné aktivum v souladu s požadavky.

Krok 1: vybudování základů řízení pomocí opatření 5.19

První zjištění Anyi bylo, že se všemi dodavateli nemůže zacházet stejně. Dodavatel kancelářských potřeb není totéž co poskytovatel kritického softwaru pro správu vozového parku. Prvním krokem při budování programu v souladu s NIS2 je pochopit a klasifikovat ekosystém dodavatelů podle rizika.

Opatření 5.19, Bezpečnost informací ve vztazích s dodavateli, je strategickým základním kamenem. Nutí vás překročit rámec jednoduchého seznamu dodavatelů a vytvořit víceúrovňový systém řízení. Tento proces musí být řízen jasnou politikou schválenou vedením. Bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran od Clarysec tuto činnost přímo propojuje s širším rámcem řízení rizik organizace:

„P6 – Politika řízení rizik. Řídí identifikaci, hodnocení a zmírňování rizik spojených se vztahy se třetími stranami, včetně převzatých nebo systémových rizik z ekosystémů dodavatelů.“ Ze sekce „Související politiky a vazby“, ustanovení politiky 10.2.

Tato integrace zajišťuje, že rizika vyplývající z navazujících závislostí, tedy expozice vůči „čtvrtým stranám“, jsou řízena jako součást vlastního ISMS. Samotný proces klasifikace musí být metodický. V kroku 23 fáze „Audit a zlepšování“ vede Zenith Blueprint: 30krokový plán auditora organizace ke klasifikaci dodavatelů na základě klíčových otázek:

• Nakládá dodavatel s vašimi citlivými nebo regulovanými informacemi nebo je zpracovává?
• Poskytuje infrastrukturu nebo platformy, na nichž závisejí vaše kritické činnosti?
• Spravuje nebo udržuje systémy vaším jménem?
• Mohla by jeho kompromitace přímo ovlivnit vaše cíle v oblasti důvěrnosti, integrity nebo dostupnosti?

Anya tuto logiku použila k opětovnému posouzení poskytovatele softwaru pro správu vozového parku. Dodavatel zpracovával polohová data v reálném čase (citlivá), jeho platforma byla nedílnou součástí každodenního provozu (kritická infrastruktura) a kompromitace by mohla zastavit dodávky (vysoký dopad na dostupnost). Okamžitě byl překlasifikován ze „standardního dodavatele“ na „kritického dodavatele s vysokým rizikem“.

Tato riziková kategorizace určuje rozsah náležité péče, smluvní přísnosti a průběžného monitorování. Jak vysvětluje náš Zenith Controls: průvodce souladem napříč rámci, tento přístup je přímo sladěn s očekáváními hlavních právních předpisů.

Tento základní krok není jen interním cvičením; je to podloží, na němž stojí celý obhajitelný program zabezpečení dodavatelského řetězce.

Krok 2: vytvoření pevných smluv pomocí opatření 5.20

Po identifikaci vysoce rizikového dodavatele si Anya otevřela jeho smlouvu. Šlo o standardní nákupní šablonu s vágním ustanovením o mlčenlivosti a téměř ničím dalším k otázkám kybernetické bezpečnosti. Neobsahovala žádná konkrétní bezpečnostní opatření, žádnou lhůtu pro oznámení bezpečnostního incidentu a žádné právo na audit. Z pohledu auditora NIS2 byla bezcenná.

Právě zde se opatření 5.20, Řešení bezpečnosti informací ve smlouvách s dodavateli, stává kritickým. Je mechanismem, který převádí rizika identifikovaná v 5.19 do vymahatelných, právně závazných povinností. Smlouva není pouze obchodní dokument; je to primární bezpečnostní opatření.

Tuto změnu musí řídit vaše politiky. Bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran stanoví tuto oblast jako klíčový cíl:

„Sladit bezpečnostní opatření třetích stran s příslušnými regulačními a smluvními povinnostmi, včetně GDPR, NIS2, DORA a norem ISO/IEC 27001.“ Ze sekce „Cíle“, ustanovení politiky 3.6.

Toto ustanovení mění politiku z vodítka na přímý mandát pro týmy nákupu a právní oddělení. Pro Anyu to znamenalo vrátit se k dodavateli a smlouvu znovu vyjednat. Nový dodatek smlouvy obsahoval konkrétní, nepřekročitelná ustanovení:

• Oznamování bezpečnostních incidentů: Dodavatel musí nahlásit každý podezřelý bezpečnostní incident ovlivňující data nebo služby její společnosti do 24 hodin, nikoli „v přiměřené lhůtě“.
• Právo na audit: Společnost si vyhrazuje právo každoročně provádět bezpečnostní posouzení nebo požadovat auditní zprávy třetích stran (například SOC 2 Type II).
• Bezpečnostní standardy: Dodavatel musí dodržovat konkrétní bezpečnostní opatření, například vícefaktorovou autentizaci pro veškerý administrátorský přístup a pravidelné skeny zranitelností své platformy.
• Řízení subdodavatelů a subzpracovatelů: Dodavatel musí oznámit a získat předchozí písemný souhlas pro všechny své vlastní subdodavatele nebo subzpracovatele, kteří budou nakládat s daty společnosti.
• Strategie ukončení: Smlouva musí definovat postupy pro bezpečné vrácení nebo zničení dat při ukončení spolupráce a zajistit čisté ukončení vztahu s dodavatelem.

Jak zdůrazňuje Zenith Controls, tento postup je klíčový pro více rámců. Article 28(3) GDPR vyžaduje podrobné smlouvy o zpracování osobních údajů. Article 30 DORA stanoví rozsáhlý seznam smluvních ustanovení pro kritické poskytovatele ICT. Implementací robustního opatření 5.20 Anya neplnila pouze ISO/IEC 27001:2022; zároveň budovala obhajitelnou pozici pro audity NIS2, DORA a GDPR.

Krok 3: strážní věž – průběžné monitorování pomocí opatření 5.22

Původní problém Anyi, opakující se bezpečnostní upozornění, vycházel z klasického selhání: „podepsat a zapomenout“. Silná smlouva je k ničemu, pokud skončí založená ve složce a nikdo se k ní už nevrátí. Posledním dílem skládačky je opatření 5.22, Monitorování, přezkum a řízení změn služeb dodavatelů. Jde o provozní opatření, které zajišťuje, že sliby uvedené ve smlouvě jsou skutečně plněny.

Toto opatření mění řízení dodavatelů ze statické aktivity při zařazení dodavatele na dynamický a průběžný proces. Podle Zenith Controls zahrnuje několik vzájemně propojených činností:

• Přezkumy výkonnosti: Pravidelně plánovaná jednání (například čtvrtletně u vysoce rizikových dodavatelů), na nichž se projednává plnění bezpečnostních SLA, přezkoumávají se zprávy o incidentech a plánují nadcházející změny.
• Přezkum auditních artefaktů: Proaktivní vyžadování a analýza auditních zpráv dodavatele, certifikací a výsledků penetračních testů. Auditor ověří, zda tyto zprávy pouze neshromažďujete, ale aktivně sledujete a řídíte výjimky, které obsahují.
• Řízení změn: Když dodavatel změní službu – například migruje k novému poskytovateli cloudových služeb nebo zavede nové rozhraní API – musí to na vaší straně vyvolat bezpečnostní přezkum. Tím se zabrání tomu, aby dodavatelé nevědomky vnesli do vašeho prostředí nová rizika.
• Průběžné monitorování: Využívání nástrojů a zdrojů informací o hrozbách pro průběžný přehled o externím bezpečnostním stavu dodavatele. Náhlý pokles bezpečnostního hodnocení nebo zpráva o narušení bezpečnosti musí vyvolat okamžitou reakci.

Tato průběžná smyčka monitorování, přezkumu a přizpůsobování je podstatou „průběžného procesu řízení rizik“, který NIS2 vyžaduje. Zajišťuje, že důvěra se nepředpokládá; průběžně se ověřuje.

Praktický příklad: kontrolní seznam pro přezkum dodavatele

Aby byl postup prakticky použitelný, vytvořil tým Anyi kontrolní seznam pro nové čtvrtletní přezkumy s poskytovatelem správy vozového parku, založený na auditních metodikách popsaných v Zenith Controls.

Tento jednoduchý nástroj změnil rozhovor z obecného průběžného setkání na cílené jednání o řízení bezpečnosti založené na důkazech a vytvořil auditovatelný záznam průběžného dohledu.

Vymezení hranice: přijetí rizika ve světě NIS2

Původní incident s dodavatelem přinutil Anyu postavit se základní otázce: jaká úroveň rizika je přijatelná? I při nejlepších smlouvách a monitorování vždy zůstane určité zbytkové riziko. Proto je nezbytné mít jasně definovaná kritéria pro přijetí rizika schválená vedením.

V kroku 10 fáze „Rizika a implementace“ poskytuje Zenith Blueprint k tomuto bodu zásadní vodítko. Nestačí říci „akceptujeme nízká rizika“. Musíte definovat, co to znamená v kontextu vašich právních a regulačních povinností.

„V kritériích pro přijetí rizika zohledněte také právní/regulační požadavky. Některá rizika mohou být nepřijatelná bez ohledu na pravděpodobnost kvůli právním předpisům… Podobně NIS2 a DORA ukládají určité základní bezpečnostní požadavky – jejich nesplnění (i když je pravděpodobnost incidentu nízká) může představovat nepřijatelné riziko nesouladu. Začleňte tyto pohledy, například: „Každé riziko, které by mohlo vést k nesouladu s použitelnými právními předpisy (GDPR atd.), je nepřijatelné a musí být zmírněno.““

Pro Anyu to byl zásadní zlom. Spolu s právním oddělením a týmem nákupu aktualizovala politiku řízení rizik. Nová kritéria výslovně stanovila, že každý kritický dodavatel, který nesplňuje základní bezpečnostní požadavky vyžadované NIS2, představuje nepřijatelné riziko a spouští okamžitý plán ošetření rizika. Tím se odstranila nejednoznačnost v rozhodování a vznikl jasný řídicí spouštěč. Jak uvádí Bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran:

„Výjimky s vysokým rizikem (např. dodavatelé nakládající s regulovanými daty nebo podporující kritické systémy) musí být schváleny CISO, právním oddělením a vedením nákupu a zaneseny do registru výjimek ISMS.“ Ze sekce „Ošetření rizik a výjimky“, ustanovení politiky 7.3.

Auditor je tady: orientace v přezkumu z více úhlů

O šest měsíců později, když interní auditoři přišli provést posouzení připravenosti na NIS2, byla Anya připravena. Věděla, že její program dodavatelského řetězce budou posuzovat z více perspektiv.

• Auditor ISO/IEC 27001:2022: Tento auditor se zaměřil na proces a důkazy. Vyžádal si inventář dodavatelů, ověřil jeho rizikovou kategorizaci, vzorkově zkontroloval smlouvy z hlediska konkrétních bezpečnostních ustanovení a přezkoumal zápisy ze čtvrtletních hodnoticích schůzek. Její strukturovaný přístup, postavený na opatřeních 5.19, 5.20 a 5.22, poskytl jasnou auditní stopu.

• Auditor COBIT 2019: Tento auditor s perspektivou správy a řízení chtěl vidět vazbu na obchodní cíle. Zajímal se, jak je riziko dodavatelů reportováno výboru vedení pro řízení rizik. Anya předložila registr rizik, který ukazoval, jak bylo určeno rizikové hodnocení dodavatele a jak se mapovalo na celkový rizikový apetit společnosti.

• Posuzovatel NIS2: Tento posuzovatel se ostře soustředil na systémové riziko pro základní služby. Nezajímala ho jen smlouva; chtěl vědět, co by se stalo, kdyby dodavatel zcela vypadl. Anya ho provedla plánem kontinuity činností, který nově obsahoval část věnovanou selhání kritického dodavatele, zpracovanou v souladu s principy ISO/IEC 22301:2019.

• Auditor GDPR: Protože dodavatel zpracovával polohová data, tento auditor se okamžitě zaměřil na ochranu osobních údajů. Vyžádal si smlouvu o zpracování osobních údajů (DPA) a důkazy o náležité péči při ověření, že dodavatel poskytuje „dostatečné záruky“ podle Article 28. Protože její proces integroval ochranu soukromí od začátku, byla DPA robustní.

Tato auditní perspektiva z více úhlů ukazuje, že dobře implementovaný ISMS založený na ISO/IEC 27001:2022 nesplňuje jen jednu normu. Vytváří odolnou a obhajitelnou pozici napříč celým regulačním prostředím. Níže uvedená tabulka shrnuje, jak tyto kroky vytvářejí auditovatelné důkazy pro jakoukoli kontrolu.

Váš akční plán

Příběh Anyi není výjimečný. CISO a manažeři souladu napříč EU čelí stejné výzvě. Hrozba regulačních pokut a osobní odpovědnost ukládaná NIS2 činí z rizika v dodavatelském řetězci prvořadé podnikové téma. Dobrá zpráva je, že cesta vpřed je jasná. Využitím strukturovaného, rizikově orientovaného přístupu ISO/IEC 27001:2022 můžete vybudovat program, který je v souladu s požadavky a zároveň skutečně odolný.

Nečekejte, až vás k akci donutí incident. Začněte budovat rámec dodavatelského řetězce v souladu s NIS2 již dnes:

1. Zaveďte řízení: Použijte Bezpečnostní politiku pro dodavatele a poskytovatele služeb třetích stran - SME od Clarysec nebo podnikové šablony k definování pravidel zapojení.
2. Poznejte svůj ekosystém: Použijte klasifikační kritéria z Zenith Blueprint k identifikaci a rizikové kategorizaci kritických dodavatelů s vysokým rizikem.
3. Posilte smlouvy: Proveďte audit stávajících smluv s dodavateli vůči požadavkům opatření 5.20 ISO/IEC 27001:2022 a využijte průvodce souladem napříč rámci v Zenith Controls ke splnění očekávání NIS2, DORA a GDPR.
4. Zaveďte průběžné monitorování: Naplánujte první čtvrtletní bezpečnostní přezkum s nejkritičtějším dodavatelem a použijte náš kontrolní seznam jako vodítko. Všechna zjištění dokumentujte v ISMS.
5. Připravte auditní důkazy: Shromážděte vzorky smluv, zápisy z přezkumů, logy incidentů a posouzení rizik namapované na klíčová opatření pro každého kritického dodavatele.

Váš dodavatelský řetězec nemusí být vaším nejslabším článkem. Se správným rámcem, procesy a nástroji jej můžete proměnit ve zdroj síly a základní kámen své strategie kybernetické bezpečnosti.

Jste připraveni vybudovat dodavatelský řetězec, který obstojí před regulačními orgány i vedením? Stáhněte si Clarysec Zenith Blueprint a urychlete svou cestu k souladu a odolnosti ještě dnes.