§ 8

Řízení dodavatelů. Kdo je to významný dodavatel a provozo­vatel? A jaké jsou požadavky pro řízení dodavatelů?

Řízení dodavatelů

Správně nastavené vztahy s dodavateli musí být řízeny a povinnosti z nich vyplývající musí být smluvně ošetřeny. Pro dodavatele musí být stanovena a jasně definována pravidla, požadavky a konkrétní podmínky řízení bezpečnosti informací související s dodavateli, včetně sankcí za jejich nedodržení. Tato pravidla musí být v souladu s požadavky ISMS a dodavatelé s nimi musí být prokazatelně písemně seznámeni, protože se po nich vyžaduje jejich dodržování. Požadavky týkající se kybernetické bezpečnosti musí být definovány v souladu s výsledky hodnocení rizik. Při seznamování dodavatelů by s pravidly měli být seznámeni zejména jejich konkrétní zaměstnanci, kteří se na plnění smlouvy podílejí. Organizace musí mít platnou politiku řízení dodavatelů (její obsah je uveden v příloze č. 5 VKB). Tato politika by měla obsahovat následující:

  • Pravidla a principy pro výběr dodavatelů,
  • pravidla pro hodnocení rizik souvisejících s dodavateli,
  • náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti,
  • pravidla pro provádění kontroly zavedení bezpečnostních opatření,
  • pravidla pro hodnocení dodavatelů.

Významný dodavatel

Dodavatelé musí být evidováni a každý dodavatel musí být posouzen z hlediska jeho významnosti, zda nenaplní definici významného dodavatele. U těchto dodavatelů je totiž nutné řešit i další povinnosti vyplývající z VKB (viz dále). Dle § 2 písmena n) VKB se významným dodavatelem rozumí „provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komuni­kačního systému“. Nenechte se přitom zmást střídáním pojmů „významný dodavatel“ a „provozovatel“. Provozovatelé jsou podmnožina významných dodavatelů.

Příklad: Významnost dodavatele si může organizace určit třeba v návaznosti na hodnotu aktiv, ke kterým tento dodavatel přistupuje, a za významného dodavatele bude označen tedy kromě provozovatele (který je určen jako významný dodavatel přímo vyhláškou) i další dodavatel (zejména dodavatel s přístupem k aktivům ohodnoceným na úroveň vysoká či kritická).

Provozovatel

Dle § 2 písmena g) ZKB se provozovatelem rozumí „orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém“. Více informací o institutu provozovatele je uvedeno v podpůrném materiálu zveřejněném na webu.

Prokazatelné informování

Pokud je dodavatel vyhodnocen jako významný dodavatel, musí o tom být prokazatelně informován. Prokazatelné informování musí být provedeno dokumentovanou formou obsahující informaci, že u konkrétního systému je daný dodavatel evidován jako významný. Nemusí se však jednat o samostatný dokument, tato informace může být součástí např. dokumentu seznamujícího dodavatele s pravidly, která musí dodržovat. Optimální variantou je mít v dokumentu písemně potvrzeno seznámení se s touto skutečností, díky čemuž je zajištěno prokazatelné informování konkrétního dodavatele o jeho významnosti.

Co musí dle VKB obsahovat prokazatelné informování dodavatele?
  • Identifikace správce nebo provozovatele,
  • identifikace informačního systému,
  • identifikace významného dodavatele,
  • vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem,
  • obsah bezpečnostních pravidel pro dodavatele zohledňující požadavky ISMS.

Provozovatel regulovaného informačního systému je sám povinnou osobou podle § 3 ZKB, a to v rozsahu svého provozování. Na základě prokazatelného informování vzniká provozovateli povinnost nahlásit kontaktní údaje na NÚKIB a plnit požadavky ZKB a VKB v dohodnutém rozsahu.

Jaké jsou další povinnosti spojené s řízením významných dodavatelů?

V rámci procesu řízení dodavatelů je u významných dodavatelů navíc nutné:

  • V rámci výběrového řízení a před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním předmětu výběrového řízení – v maximální možné míře provést ohodnocení rizik související s implementací i plněním smlouvy (zahrnout možné problémy při spolupráci, poskytnutí relevantních lidských zdrojů, vyčíslení času potřebného k poskytnutí součinnosti, rizika spojená s přístupem dodavatele do objektu apod.),
  • smluvně stanovit způsoby jak budou realizována bezpečnostní opatření včetně jejich úrovně a určit obsah vzájemné odpovědnosti za zavedení a kontrolu těchto opatření,
  • provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření (s případnou možností přizvání 3. strany),
  • zajistit nápravu a odstranění zjištěných rizik a nedostatků.

Příloha č. 7 VKB stanovuje přehled náležitostí, které by měly smlouvy uzavírané s významnými dodavateli obsahovat. Výklad kompletního seznamu požadavků na smlouvy uzavírané s významnými dodavateli je uveden v podpůrném materiálu zveřejněném na webu. Pokud nějaká náležitost není pro konkrétní smluvní vztah relevantní, není samozřejmě potřeba ji do smlouvy včlenit.

Kroky procesu řízení dodavatelů

V rámci procesu řízení dodavatelů je tedy nutné splnit následující kroky:

  • Stanovit pravidla pro dodavatele,
  • evidovat významné dodavatele (a prokazatelně je o této skutečnosti informovat),
  • řídit rizika související se vztahy s dodavateli – rizika z předsmluvních analýz zohlednit při výběru ustanovení do smluv minimálně z přílohy č. 7 VKB, a následně rizika zohlednit v souhrnné analýze rizik. Dodavatelé musí být evidováni jako podpůrná aktiva a rizika související s nimi musí být ošetřena,
  • pravidelně přezkoumávat, zda jsou stanovená pravidla dodržována – jedním z možných vstupů pro přezkoumávání jsou výsledky zákaznických auditů.