Směrnice NIS2 a kybernetická bezpečnost – díl pátý

Směrnice NIS2, seriál o kybernetické bezpečnosti: Řížení bezpečnosti dodavatelského řetězce
Mgr. Michaela Holíková

Vítám Vás u pátého a posledního dílu seriálu ROWAN LEGAL na téma směrnice NIS2 a kybernetická bezpečnost. Společně se blíže podíváme na téma, které v poslední době budí zvýšenou pozornost. Tím tématem jsou dodavatelé, respektive řízení bezpečnosti dodavatelského řetězce.

Řízení bezpečnosti dodavatelského řetězce je jedním z mnoha opatření, které vede ke správnému řízení kybernetické bezpečnosti jako takové. S bezpečnostními požadavky na dodavatele se setkáváme v dnes již účinném zákoně o kybernetické bezpečnosti z roku 2014. Konkrétně jde o postupy při výběru dodavatele a požadavek na relevantní smluvní ustanovení, která mají být zahrnuta do smluv uzavřených s dodavatelem. Ta se s chystanou právní úpravou mění. V ní dojde k zavedení nových povinností mezi povinným subjektem a dodavatelem. Mezi ně patří mimo jiné definování způsobu předávání informací a dat mezi poskytovatelem a dodavatelem, omezení rizik spojených s dodavatelem a prověřování plnění bezpečnostních opatření v rámci dodavatelského řetězce.

Řízení bezpečnosti dodavatelského řetězce se týká vyššího i nižšího režimu povinností. Oba režimy mají stanoveny minimální požadavky na obsah smluv uzavřených s dodavateli. Vyšší režim má stanoveny ještě rozšířené povinnosti co do řízení, identifikace a evidence významných dodavatelů.

Efektivní řízení bezpečnosti dodavatelského řetězce ve strategicky významných službách

V rámci řízení bezpečnosti dodavatelského řetězce je pak nutné zmínit i roli Národního úřadu pro kybernetickou a informační bezpečnost a dodavatelů strategicky významné služby. Národní úřad pro kybernetickou bezpečnost hraje stěžejní roli v rámci kontroly bezpečnosti dodavatelského řetězce poskytovatelů strategicky významné služby. Tyto poskytovatele určí úřad vyhláškou a následně prověřuje rizika, která mohou být s těmito dodavateli spojena.

Prověřování provádí skrze mechanismus, který spočívá ve sběru a vyhodnocování informací a dat o tom, kteří dodavatelé přímo nebo zprostředkovaně poskytují plnění strategicky významné služby. Na základě množství dalších informací dokáže určit, jestli některý z dodavatelů představuje hrozbu pro bezpečnost České republiky nebo její vnitřní pořádek. V takovém případě má v aktuálním návrhu zákonné úpravy možnost vydat opatření obecné povahy. Při vydávání takového opatření spolupracuje úřad s vládou, která stanoví, jak v rámci opatření obecné povahy postupovat. Opatření mohou poskytovatelům strategicky významné služby zakázat používat dodavatele, nebo stanovit konkrétní podmínky jejich využití.

Cílem je, aby plnění uložených povinností nepředstavovalo pro poskytovatele regulovaných služeb přílišnou zátěž. Například samotný návrh nového zákona o kybernetické bezpečnosti ukládá poskytovatelům služeb povinnost zjišťovat informace o dodavatelích s vynaložením přiměřeného úsilí. Je tedy zjevné, že cílem řízení bezpečnosti dodavatelského řetězce není poskytovatelům strategicky významných služeb vytvářet náklady, ale zajistit jejich funkčnost a bezpečnost.

Závěr

Seriál věnovaný směrnici NIS2 a kybernetické bezpečnosti se nyní dostává ke svému závěru. Doufáme, že pro Vás byl  seriál zajímavý a přínosný. Pokud máte jakékoli dotazy nebo potřebujete další informace, neváhejte nás kontaktovat. Rádi Vám pomůžeme. Těšíme se, že se s Vámi opět setkáme u dalšího seriálu Rowan Legal. Na slyšenou!