Správně nastavené vztahy s dodavateli musí být řízeny a povinnosti z nich vyplývající musí být smluvně ošetřeny. Pro dodavatele musí být stanovena a jasně definována pravidla, požadavky a konkrétní podmínky řízení bezpečnosti informací související s dodavateli, včetně sankcí za jejich nedodržení. Tato pravidla musí být v souladu s požadavky ISMS a dodavatelé s nimi musí být prokazatelně písemně seznámeni, protože se po nich vyžaduje jejich dodržování.

Kroky procesu řízení dodavatelů

V rámci procesu řízení dodavatelů je tedy nutné splnit následující kroky:

• stanovit pravidla pro dodavatele,
• evidovat významné dodavatele (a prokazatelně je o této skutečnosti informovat),
• Do smluv zahrnout rizika z analýz probíhajících před uzavřením smlouvy alespoň v rozsahu přílohy č. 5 vyhlášky, a následně rizika zohlednit v souhrnné analýze rizik (dodavatelé musí být evidováni jako podpůrná aktiva a rizika související s nimi musí být ošetřena),
• pravidelně přezkoumávat, zda jsou stanovená pravidla dodržována – jedním z možných vstupů pro přezkoumávání jsou výsledky zákaznických auditů.

Požadavky týkající se kybernetické bezpečnosti musí být definovány v souladu s výsledky hodnocení rizik. S pravidly by měli být seznámeni zejména konkrétní zaměstnanci dodavatele, kteří se podílejí na plnění smlouvy. Organizace musí mít platnou politiku řízení dodavatelů (její doporučený obsah je uveden v podpůrném materiálu Řízení bezpečnostní politiky a bezpečnostní dokumentace, který bude v dohledné době vydán). 

Tato politika by měla obsahovat následující:

• pravidla a principy pro výběr dodavatelů, včetně významných dodavatelů,
• pravidla pro hodnocení rizik souvisejících s dodavateli,
• náležitosti smlouvy o úrovni služeb, včetně způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti,
• pravidla pro provádění kontroly zavedených bezpečnostních opatření,
• pravidla pro hodnocení dodavatelů.

Významný dodavatel

---

Významným dodavatelem lze označit takového dodavatele, jehož plnění má podstatný vliv na zajištění kybernetické bezpečnosti regulované služby. Dle § 2 písm. h) vyhlášky se rozumí „významným dodavatelem ten, kdo povinné osobě poskytuje plnění, které je významné z hlediska zajištění kybernetické bezpečnosti regulované služby.“ Identifikace těchto dodavatelů umožňuje organizaci včas rozpoznat rizika v dodavatelském řetězci a uplatnit vůči nim zvýšené požadavky vyplývající z právní úpravy.

Významní dodavatelé musí být evidováni a každý dodavatel musí být posouzen z hlediska jeho významnosti, zda nenaplní definici významného dodavatele. U těchto dodavatelů je totiž nutné řešit i další povinnosti vyplývající z vyhlášky (viz dále).

Příklad: Významnost dodavatele si může organizace určit např. v návaznosti na hodnotu aktiv, ke kterým tento dodavatel přistupuje. Za významného dodavatele bude označen zejména ten, který má přístup k aktivům ohodnoceným na úroveň vysokou či kritickou.

Prokazatelné informování

Pokud je dodavatel vyhodnocen jako významný dodavatel, musí o tom být prokazatelně informován. Prokazatelné informování musí být provedeno dokumentovanou formou obsahující informaci, že u konkrétní regulované služby povinné osoby je daný dodavatel evidován jako významný. Nemusí se však jednat o samostatný dokument, tato informace může být součástí např. dokumentu seznamujícího dodavatele s pravidly, která musí dodržovat. Optimální variantou je mít v dokumentu písemně potvrzeno seznámení se s touto skutečností, díky čemuž je zajištěno prokazatelné informování konkrétního dodavatele o jeho významnosti.

Co musí dle vyhlášky obsahovat prokazatelné informování dodavatele?

• Identifikační údaje povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností,
• název regulované služby povinné osoby,
• identifikační údaje významného dodavatele,
• prohlášení, že dodavatel je pro povinnou osobu významným dodavatelem.

Řízení významných dodavatelů

V rámci procesu řízení dodavatelů je u významných dodavatelů navíc nutné:

• V rámci výběrového řízení nebo před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním předmětu výběrového řízení – v maximální možné míře provést ohodnocení rizik související s implementací i plněním smlouvy (zahrnout možné problémy při spolupráci, poskytnutí relevantních lidských zdrojů, vyčíslení času potřebného k poskytnutí součinnosti, rizika spojená s přístupem dodavatele do objektu apod.),
• smluvně stanovit způsoby, jak budou realizována bezpečnostní opatření včetně jejich úrovně a určit obsah vzájemné odpovědnosti za zavedení a kontrolu těchto opatření,
• provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření (s případnou možností přizvání 3. strany),
• zajistit nápravu a odstranění zjištěných rizik a nedostatků,
• zajistit, aby každá smlouva s významným dodavatelem obsahovala povinné bezpečnostní požadavky (dle přílohy č. 5 vyhlášky),
• průběžně prověřovat, zda dodavatel tyto sjednané bezpečnostní podmínky skutečně dodržuje.

Příloha č. 5 vyhlášky stanovuje přehled náležitostí, které by měly smlouvy uzavírané s významnými dodavateli obsahovat. Pokud nějaká náležitost není pro konkrétní smluvní vztah relevantní, není samozřejmě potřeba ji do smlouvy začlenit.