Koja je glavna razlika između NIS2 i DORA u upravljanju rizikom dobavljača?

Iako obje zahtijevaju snažan nadzor nad dobavljačima, DORA je specifična za financijski sektor i vrlo je preskriptivna u pogledu IKT rizika trećih strana, uključujući obvezne ugovorne odredbe, analizu rizika koncentracije i prava regulatora na pristup. NIS2 se šire primjenjuje na 'ključne' i 'važne' subjekte te zahtijeva pristup temeljen na riziku za zaštitu cijelog opskrbnog lanca, ali nije jednako detaljna u pogledu pojedinačnih ugovornih uvjeta kao DORA.

Je li certifikat dobavljača ISO/IEC 27001:2022 dovoljan dokaz da je dobavljač siguran?

Ne. Iako je certifikat ISO/IEC 27001:2022 pozitivan pokazatelj zrelog sigurnosnog programa, on nije zamjena za vlastitu dubinsku analizu dobavljača. Propisi kao što su DORA i NIS2 zahtijevaju procjenu rizika specifičnih za usluge koje vam dobavljač pruža. Morate provjeriti njihove kontrole, pregledati revizijska izvješća radi iznimaka i osigurati da vaši ugovori sadržavaju posebne odredbe o prijavi povrede, pravima na reviziju i sigurnom postupanju s podacima.

Koliko često trebamo revidirati visokorizične dobavljače?

Za visokorizične i kritične dobavljače revizije ne smiju biti jednokratan događaj. Potreban je pristup kontinuiranog praćenja. To uključuje formalni, detaljan pregled najmanje jednom godišnje ili nakon značajnih promjena usluge. Treba ga nadopuniti tromjesečnim pregledima dokaza dobavljača, kao što su izvješća SOC 2 i skeniranja ranjivosti, te praćenjem njihova sigurnosnog profila i javno poznatih incidenata u stvarnom vremenu.

Što su rizici 'četvrte strane' ili nizvodni rizici i zašto su kritični?

Rizici četvrte strane rizici su koje uvode dobavljači vašeg dobavljača, odnosno podizvođači ili podizvršitelji obrade. Ako vaš pružatelj usluga u oblaku koristi treću stranu za analitiku podataka, kompromitacija te treće strane može utjecati na vaše podatke. Regulatori očekuju da za svoje kritične dobavljače imate vidljivost nad takvim nizvodnim ovisnostima. Vaši ugovori moraju zahtijevati od dobavljača da vaše sigurnosne standarde primjenjuju na svoje podizvođače i da vas obavještavaju o svim promjenama.

Koji je najvažniji element ugovora s visokorizičnim dobavljačem?

Odredba o 'pravu na reviziju' vjerojatno je najkritičnija. Tom se odredbom ugovorno osigurava vaše pravo da provjerite sigurnosne kontrole dobavljača, izravno ili putem treće strane. Bez nje se sva sigurnosna obećanja dobavljača temelje isključivo na povjerenju. Ta je odredba vaš glavni alat za odmicanje od upitnika i prikupljanje konkretnih, provjerljivih dokaza o sigurnosnom profilu dobavljača.

NIS2 DORA Supplier Management Risk Management

Izvan upitnika: praktični vodič za CISO-e za reviziju visokorizičnih dobavljača prema NIS2 i DORA

Clarysec AI Editor

November 15, 2025

18 min read

#Rizik trećih strana #Revizija #ISO 27001 #Usklađenost #ISMS #Odgovor na incidente

Dijagram tijeka postupka revizije visokorizičnih dobavljača, s prikazom životnog ciklusa u četiri faze: od početne procjene rizika i pregleda ugovora do kontinuiranog praćenja, tehničkih revizija i regulatornog čuvanja dokumentacije za usklađenost s NIS2 i DORA.

Izvješće je uz tihi, težak udarac sletjelo na stol Marije Valen, CISO-a, ali dojam je bio bliži sireni za uzbunu. Bila je to predrevizijska procjena za nadolazeći pregled usklađenosti s DORA, a jedna je rečenica bila istaknuta oštrom crvenom bojom: „Nedostatno uvjerenje za kritičnog pružatelja usluga treće strane, CloudSphere.”

CloudSphere nije bio bilo kakav dobavljač. Bio je okosnica nove digitalne bankarske platforme društva i svakodnevno je obrađivao milijune transakcija. Maria je u evidenciji imala njihov certifikat ISO/IEC 27001:2022. Imala je i njihov ispunjeni sigurnosni upitnik, opsežan dokument s 200 pitanja. No predrevizori su poručivali da za visokorizičnog i kritičnog dobavljača usklađenost označavanjem kućica više nije dovoljna. Pravila igre promijenila su se.

Budući da su i Direktiva NIS2 i Uredba o digitalnoj operativnoj otpornosti (DORA) sada u punoj primjeni, regulatori gledaju dalje od pukog dokumentacijskog traga. Zahtijevaju konkretne dokaze dubinske analize dobavljača, kontinuirano praćenje i snažno upravljanje cijelim opskrbnim lancem. Marijin je izazov isti onaj s kojim se suočavaju CISO-i u svim organizacijama: kako nadići upitnik te stvarno revidirati i osigurati najkritičnije dobavljače? To zahtijeva strateški pomak od pasivne provjere prema aktivnom uvjerenju temeljenom na dokazima.

Slabost statičnog upitnika u dinamičnom svijetu

Sigurnosni upitnik godinama je bio temelj upravljanja rizikom trećih strana. No on je statična snimka u dinamičnom okruženju prijetnji. Profil rizika dobavljača nije nepromjenjiv; razvija se sa svakom novom prijetnjom, promjenom sustava ili podizvođačem kojeg dobavljač uvodi. Oslanjanje isključivo na samopotvrdu za kritičnog dobavljača kao što je CloudSphere nalikuje plovidbi kroz oluju prema prošlogodišnjoj vremenskoj karti.

Direktiva NIS2 izričito zahtijeva pristup temeljen na riziku, pri čemu sigurnosne mjere moraju biti razmjerne stvarnim rizicima. To znači da je univerzalni upitnik u osnovi neusklađen s modernim regulatornim očekivanjima. Prošla su vremena kada su certifikat ili ispunjeni kontrolni popis mogli zamijeniti dokaze. Stvarni rizik nalazi se izvan dokumentacijskog traga.

Upravo ovdje strukturirani pristup temeljen na životnom ciklusu postaje nužan. Nije riječ o napuštanju upitnika, nego o njihovoj nadopuni dubljom i izravnijom provjerom za dobavljače koji su doista važni. To je temeljno načelo ugrađeno u Clarysecovu Politiku sigurnosti trećih strana i dobavljača. Jedan od njezinih temeljnih ciljeva jest:

„Zahtijevati formalnu dubinsku analizu dobavljača i dokumentirane procjene rizika prije angažiranja novih dobavljača ili obnove visokorizičnih ugovora o razini usluge.”
Iz odjeljka ‘Ciljevi’, točka politike 3.3

Ova odredba mijenja način razmišljanja: s jednostavne provjere na formalno ispitivanje. To je ključan prvi korak u izgradnji dokazivog programa koji može izdržati regulatornu provjeru.

Rizik dobavljača prema NIS2 i DORA: nova očekivanja

I NIS2 i DORA zahtijevaju od organizacija sustavnu identifikaciju, procjenu i kontinuirano praćenje rizika u cijelom okruženju dobavljača. Time se upravljanje dobavljačima iz funkcije nabave pretvara u temeljni stup operativne otpornosti i informacijske sigurnosti.

Novo regulatorno okruženje zahtijeva jasne okvire čvrsto mapirane na priznate standarde kao što je ISO/IEC 27001:2022. Slijedi sažetak visoke razine onoga što ti okviri očekuju od vašeg programa upravljanja dobavljačima:

Zahtjev	NIS2	DORA	Kontrole ISO/IEC 27001:2022
Procjena rizika dobavljača	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Ugovorne sigurnosne odredbe	Article 21(3), Article 22	Article 30	5.20
Kontinuirano praćenje	Article 21, Article 22	Articles 30, 31	5.22
Upravljanje ranjivostima i odgovor na incidente	Article 23	Article 9, 11	5.29, 8.8

Snažan program revizije dobavljača ne treba izmišljati od nule. Okvir ISO/IEC 27001:2022, osobito njegove kontrole iz Priloga A, pruža učinkovit nacrt. U Clarysecu klijente usmjeravamo da program izgrade oko triju međusobno povezanih kontrola koje čine cjelovit životni ciklus upravljanja dobavljačima.

Izgradnja dokazivog revizijskog okvira: životni ciklus ISO 27001:2022

Za izgradnju programa koji zadovoljava regulatore potreban je strukturirani pristup utemeljen na globalno priznatom standardu. Kontrole sigurnosti dobavljača u ISO/IEC 27001:2022 pružaju životni ciklus za upravljanje rizikom trećih strana od početka odnosa do njegova prestanka. Pogledajmo kako Maria može iskoristiti taj životni ciklus za izradu dokazivog plana revizije za CloudSphere.

Korak 1: Temelj — informacijska sigurnost u odnosima s dobavljačima (5.19)

Kontrola 5.19 strateška je polazna točka. Ona zahtijeva uspostavu formalnih procesa za identifikaciju, procjenu i upravljanje rizicima informacijske sigurnosti povezanima s cijelim ekosustavom dobavljača. Tu definirate što „visoki rizik” znači za vašu organizaciju i postavljate pravila postupanja.

Clarysecov Zenith Controls: vodič za međuregulatornu usklađenost pruža detaljnu razradu kontrole 5.19 i prikazuje njezinu ulogu središnje točke upravljanja dobavljačima. Ta je kontrola nerazdvojno povezana s povezanim kontrolama, kao što je 5.21 (Informacijska sigurnost u IKT opskrbnom lancu), koja obuhvaća hardverske i softverske komponente, te 5.14 (Prijenos informacija), koja uređuje sigurnu razmjenu podataka. Odnosom s dobavljačem ne možete učinkovito upravljati ako istodobno ne kontrolirate tehnologiju koju dobavljač pruža i podatke koje s njim dijelite.

Za Mariju to znači da revizija CloudSpherea mora ići dalje od korporativnog sigurnosnog profila dobavljača i obuhvatiti sigurnost stvarne platforme koju pruža. Vodič Zenith Controls naglašava da snažna implementacija kontrole 5.19 izravno podržava usklađenost s ključnim propisima:

NIS2 (Article 21(2)(d)): Obvezuje organizacije da upravljaju rizikom opskrbnog lanca kao temeljnim dijelom svog sigurnosnog okvira.
DORA (Articles 28–30): Propisuje snažan okvir za upravljanje IKT rizicima trećih strana, uključujući klasifikaciju kritičnosti i predugovornu dubinsku analizu dobavljača.
GDPR (Article 28): Zahtijeva od voditelja obrade da angažiraju samo izvršitelje obrade koji pružaju dostatna jamstva za zaštitu podataka.

Ova kontrola zahtijeva razvrstavanje dobavljača prema riziku, stalno praćenje i pravodobno ukidanje prava pristupa. Svrha joj je osigurati da sigurnost bude ugrađena u životni ciklus dobavljača, a ne naknadno dodana kao sporedna mjera.

Korak 2: Provedba — uređivanje informacijske sigurnosti u ugovorima s dobavljačima (5.20)

Sigurnosni zahtjev koji nije u ugovoru zapravo je samo preporuka. Kontrola 5.20 mjesto je na kojem upravljanje postaje pravno provedivo. Za visokorizičnog dobavljača ugovor je najmoćniji revizijski alat.

Kako naglašava Zenith Controls, ti ugovori moraju biti izričiti. Neodređena obećanja o „sigurnosti prema najboljim industrijskim praksama” nemaju stvarnu vrijednost. Za dobavljača kao što je CloudSphere Maria mora provjeriti da ugovor sadržava konkretne i mjerljive odredbe koje njezinoj organizaciji daju stvaran nadzor:

Pravo na reviziju: Odredba koja njezinoj organizaciji izričito daje pravo provoditi tehničke procjene, pregledavati dokaze ili angažirati treću stranu da provede reviziju u njezino ime.
Rokovi za prijavu povrede: Konkretni i strogi rokovi, primjerice u roku od 24 sata od otkrivanja, za obavješćivanje njezina društva o sigurnosnom incidentu, a ne neodređena formulacija „bez nepotrebnog odgađanja”.
Upravljanje podizvođačima, odnosno četvrtim stranama: Odredba koja zahtijeva od dobavljača da iste sigurnosne standarde primijeni na vlastite kritične podizvođače i da je obavijesti o svim promjenama. To je ključno za upravljanje nizvodnim rizikom.
Sigurna izlazna strategija: Jasne obveze vraćanja ili certificiranog uništenja podataka po prestanku ugovora.

DORA je ovdje osobito preskriptivna. Article 30 navodi obvezne ugovorne odredbe, uključujući neometan pristup za revizore i regulatore, konkretne podatke o lokacijama pružanja usluga i sveobuhvatne izlazne strategije. Revizori će uzorkovati ugovore s visokorizičnim dobavljačima i izravno provjeravati postojanje tih odredbi.

Korak 3: Kontinuirana petlja — praćenje, pregled i upravljanje promjenama usluga dobavljača (5.22)

Završni dio životnog ciklusa jest kontrola 5.22, koja nadzor nad dobavljačima pretvara iz jednokratne provjere u kontinuirani proces. Revizija ne bi smjela biti iznenadni događaj, nego kontrolna točka unutar trajnog odnosa transparentnosti.

Tu mnoge organizacije podbace. Potpišu ugovor i pohrane ga u arhivu. No kod visokorizičnog dobavljača pravi posao počinje nakon uvođenja dobavljača. Vodič Zenith Controls povezuje kontrolu 5.22 s kritičnim operativnim procesima kao što su 8.8 (Upravljanje tehničkim ranjivostima) i 5.29 (Informacijska sigurnost tijekom prekida). To znači da učinkovito praćenje obuhvaća znatno više od godišnjeg sastanka za pregled. Ono uključuje:

Pregled dokaza trećih strana: Aktivno pribavljanje i analiza njihovih izvješća SOC 2 Type II, rezultata nadzornih revizija ISO 27001 ili sažetaka penetracijskih testiranja. Ključno je pregledati iznimke i pratiti njihovo otklanjanje.
Praćenje incidenata: Praćenje javno objavljenih povreda ili sigurnosnih incidenata koji uključuju dobavljača i formalna procjena mogućeg utjecaja na vašu organizaciju.
Upravljanje promjenama: Implementacija procesa u kojem svaka značajna promjena u usluzi dobavljača, poput nove lokacije podatkovnog centra ili novog kritičnog podizvođača, automatski pokreće ponovnu procjenu rizika.

Clarysecov Zenith Blueprint: revizorov plan u 30 koraka daje praktične smjernice o tome, posebno u koraku 24, koji obuhvaća rizik podizvođača. U njemu se preporučuje:

„Za svakog kritičnog dobavljača utvrdite koristi li podizvođače, odnosno podizvršitelje obrade, koji mogu pristupati vašim podacima ili sustavima. Dokumentirajte kako se vaši zahtjevi informacijske sigurnosti prenose na te strane… Gdje je izvedivo, zatražite popis ključnih podizvođača i osigurajte da se vaše pravo na reviziju ili pribavljanje potvrde primjenjuje i na njih.”

To je ključna točka za Mariju. Koristi li CloudSphere treću stranu za analitiku podataka? Je li njihova infrastruktura hostirana na velikoj javnoj platformi u oblaku? Te nizvodne ovisnosti predstavljaju značajan, često nevidljiv rizik koji njezina revizija mora razotkriti.

Od teorije do provedbe: Marijin praktični plan revizije za CloudSphere

Naoružan ovim životnim ciklusom ISO 27001:2022, Marijin tim izrađuje novi plan revizije za CloudSphere koji daleko nadilazi upitnik i pokazuje zrelo upravljanje temeljeno na riziku kakvo regulatori zahtijevaju.

Pregled ugovora: Počinju mapiranjem postojećeg ugovora s CloudSphereom na DORA Article 30 i najbolje prakse za kontrolu 5.20. Izrađuju izvješće o analizi nedostataka kako bi pripremili sljedeći ciklus obnove i odredili prioritete za tekuću reviziju.
Ciljani zahtjev za dokazima: Umjesto generičkog upitnika šalju formalni zahtjev za konkretnim dokazima, uključujući:
- najnovije izvješće SOC 2 Type II i sažetak načina na koji su otklonjene sve navedene iznimke;
- sažetak za rukovodstvo najnovijeg vanjskog penetracijskog testiranja;
- potpuni popis svih podizvođača, odnosno četvrtih strana, koji će obrađivati njihove podatke ili im pristupati;
- dokaz da su sigurnosni zahtjevi ugovorno preneseni na te podizvođače;
- zapise dnevnika ili izvješća koja pokazuju pravodobno zakrpavanje kritičnih ranjivosti, primjerice Log4j i MOVEit, tijekom posljednjih šest mjeseci.
Tehnička provjera: Pozivaju se na odredbu o „pravu na reviziju” kako bi zakazali tehničku dubinsku sesiju sa sigurnosnim timom CloudSpherea. Dnevni red usredotočen je na njihove operativne upute za odgovor na incidente, alate Cloud Security Posture Management (CSPM) i kontrole za sprječavanje curenja podataka.
Formalno upravljanje iznimkama: Ako CloudSphere odbije dostaviti određene dokaze, Maria je spremna. Proces upravljanja njezine organizacije, definiran u Politici sigurnosti trećih strana i dobavljača, jasan je:

„Iznimke visokog rizika, primjerice dobavljači koji postupaju s reguliranim podacima ili podržavaju kritične sustave, moraju odobriti CISO, pravni poslovi i rukovodstvo nabave te moraju biti unesene u registar iznimaka ISMS-a.”
Iz odjeljka ‘Obrada rizika i iznimke’, točka politike 7.3

Time se osigurava da se odbijanje dostave dokaza ne zanemari, nego da se rizik formalno prihvati na najvišim razinama organizacije, što je proces koji revizori uvažavaju.

Revizorska perspektiva: što će različiti revizori zahtijevati

Za izgradnju doista otpornog programa morate razmišljati kao revizor. Različiti revizijski okviri imaju različite perspektive, a predviđanje njihovih pitanja ključno je za uspjeh. Slijedi objedinjeni prikaz onoga što bi različiti revizori zahtijevali pri pregledu vašeg programa upravljanja dobavljačima:

Profil revizora	Ključno područje fokusa i kontrole	Dokazi koje će zahtijevati
Revizor ISO/IEC 27001:2022	5.19, 5.20, 5.22	Popis dobavljača s klasifikacijama rizika; uzorkovani ugovori za visokorizične dobavljače radi provjere sigurnosnih odredbi; zapisi o dubinskoj analizi dobavljača i sastancima redovitog pregleda.
Revizor COBIT 2019	APO10 (Upravljanje dobavljačima), DSS04 (Upravljanje kontinuitetom)	Dokazi o kontinuiranom praćenju učinkovitosti u odnosu na SLA-ove; dokumentacija o upravljanju incidentima povezanima s dobavljačima; zapisi pregleda rizika dobavljača i upravljanja promjenama.
DORA / financijski regulator	Articles 28-30	Ugovor s kritičnim IKT pružateljem, mapiran na obvezne odredbe DORA; procjena rizika koncentracije; dokazi o testiranju ili pregledu izlazne strategije.
Revizor NIST SP 800-53	SA-9 (External System Services), obitelj SR (Supply Chain)	Dokaz o planu upravljanja rizikom opskrbnog lanca; zapisi dokaza o usklađenosti dobavljača, primjerice FedRAMP i SOC 2; dokumentacija o vidljivosti rizika četvrtih strana.
ISACA / IT revizor	ITAF Performance Standard 2402	Zapisi dnevnika koji dokazuju da je pristup osoblju dobavljača kojem je angažman prestao pravodobno ukinut; dokazi o jedinstvenim računima za pristup trećih strana zaštićenima MFA-om; zapisi o odgovoru na incidente.

Ova višeperspektivna analiza pokazuje da se snažan program ne svodi na zadovoljavanje jednog standarda, nego na izgradnju cjelovitog okvira upravljanja koji proizvodi dokaze potrebne za zadovoljavanje svih relevantnih zahtjeva.

Kritične zamke: gdje revizije dobavljača ne uspijevaju

Mnogi programi nadzora nad dobavljačima podbace zbog uobičajenih pogrešaka koje se mogu izbjeći. Posebno pazite na ove kritične zamke:

Revizija kao događaj: Oslanjanje na jednokratne revizije tijekom uvođenja dobavljača ili obnove ugovora umjesto implementacije kontinuiranog praćenja.
Uspavanost zbog certifikacije: Prihvaćanje certifikata ISO ili SOC 2 bez dodatne provjere, bez pregleda detalja izvješća, opsega i iznimaka.
Neodređeni ugovori: Neuvrštavanje izričitih i provedivih odredbi o pravima na reviziju, prijavi povrede i postupanju s podacima.
Loše upravljanje popisom dobavljača: Nemogućnost izrade potpunog popisa svih dobavljača razvrstanih prema riziku i podataka kojima pristupaju.
Zanemarivanje nizvodnog rizika: Neidentificiranje rizika koje predstavljaju vlastiti kritični podizvođači dobavljača, odnosno rizik četvrte strane, i neupravljanje tim rizicima.
Neprovjereno upravljanje ranjivostima: Pretpostavka da dobavljač zakrpava kritične ranjivosti bez traženja dokaza.

Primjenjivi kontrolni popis za revizije visokorizičnih dobavljača

Upotrijebite ovaj kontrolni popis, prilagođen prema Zenith Blueprintu, kako biste osigurali da je proces revizije za svakog visokorizičnog dobavljača temeljit i dokaziv.

Korak	Radnja	Dokazi koje treba prikupiti i zadržati
Dubinska analiza dobavljača	Provedite i dokumentirajte formalnu procjenu rizika prije uvođenja dobavljača ili obnove ugovora.	Ispunjeni radni list rizika dobavljača; zapis o klasifikaciji; izvješće o dubinskoj analizi dobavljača.
Pregled ugovora	Provjerite postoje li sigurnosne, privatnosne i revizijske odredbe te jesu li provedive.	Potpisani ugovor s istaknutim odredbama; odobrenje pravnog pregleda; ugovor o obradi podataka.
Kontinuirano praćenje	Planirajte i provodite tromjesečne ili godišnje preglede prema razini rizika.	Zapisnici sastanaka; pregledana izvješća SOC 2 / ISO 27001; sažeci skeniranja ranjivosti.
Nadzor nad podizvođačima	Identificirajte i dokumentirajte sve kritične nizvodne dobavljače, odnosno četvrte strane.	Popis podizvršitelja obrade koji dostavlja dobavljač; dokazi o odredbama kojima se sigurnosni zahtjevi prenose nizvodno.
Upravljanje ranjivostima	Zahtijevajte dokaze o zrelom programu upravljanja ranjivostima.	Nedavni sažetak penetracijskog testiranja za rukovodstvo; uzorci izvješća o skeniranju ranjivosti; rokovi zakrpavanja.
Prijavljivanje incidenata	Testirajte i provjerite dobavljačev proces obavješćivanja o incidentima.	Zapisi o prethodnim obavijestima o incidentima; dokumentirani SLA-ovi za prijavu povrede.
Upravljanje promjenama	Pregledajte sve značajne tehničke ili organizacijske promjene kod dobavljača.	Zapisi o promjenama kod dobavljača; izvješća o ponovnoj procjeni rizika pokrenutoj promjenama.
Regulatorno mapiranje	Mapirajte implementirane kontrole izravno na zahtjeve NIS2, DORA i GDPR.	Interna tablica mapiranja usklađenosti; evidencija dokaza za regulatore.

Zaključak: izgradnja otpornog i dokazivog opskrbnog lanca

Doba usklađenosti označavanjem kućica za kritične dobavljače završilo je. Intenzivan nadzor prema propisima kao što su NIS2 i DORA zahtijeva temeljni zaokret prema modelu kontinuiranog uvjerenja temeljenog na dokazima. CISO-i poput Marije moraju predvoditi pomak svojih organizacija izvan statičnog upitnika.

Izgradnjom programa na provjerenom životnom ciklusu kontrola ISO/IEC 27001:2022 stvarate okvir koji nije samo usklađen, nego stvarno učinkovit u smanjenju rizika. To uključuje tretiranje sigurnosti dobavljača kao strateške discipline, ugrađivanje provedivih zahtjeva u ugovore i održavanje stalnog nadzora tijekom cijelog odnosa.

Sigurnost vaše organizacije jaka je samo koliko i njezina najslabija karika, a u današnjem povezanom ekosustavu ta se karika često nalazi kod treće strane. Vrijeme je za ponovno preuzimanje kontrole.

Spremni nadići upitnik?

Clarysecovi integrirani paketi alata pružaju temelj potreban za izgradnju vrhunskog programa upravljanja rizikom dobavljača koji može izdržati svaku reviziju.

Preuzmite naše predloške politika: Implementirajte snažan okvir upravljanja uz našu korporativnu Politiku sigurnosti trećih strana i dobavljača i njezinu inačicu za mala i srednja poduzeća.
Slijedite Zenith Blueprint: Upotrijebite naš Zenith Blueprint: revizorov plan u 30 koraka za implementaciju i reviziju usklađenog ISMS-a, s namjenskim koracima za upravljanje rizikom dobavljača.
Iskoristite Zenith Controls: Zatražite demonstraciju našeg Zenith Controls: vodiča za međuregulatornu usklađenost kako biste mapirali kontrole dobavljača na NIS2, DORA, GDPR, NIST i druge okvire te osigurali da je vaš plan revizije sveobuhvatan i dokaziv.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council