Směrnice NIS2 platí pro celý dodavatelský řetězec. Na co se připravit?
Petra Javornická
10. 01. 2024
Nový zákon o kybernetické bezpečnosti, vycházející z evropské směrnice NIS2, řeší kyberbezpečnost skutečně komplexně – nejen na úrovni povinných subjektů, ale i v rámci celého jejich dodavatelského řetězce. Co to bude v praxi znamenat pro organizace podléhající regulaci i jejich dodavatele?
Podle současného plánu by měl nový zákon o kybernetické bezpečnosti začít platit v říjnu letošního roku. Pro více než 6 000 firem a organizací to znamená připravit se na nové povinnosti v zabezpečení svých systémů, aplikací a dat před kybernetickými útoky, stejně jako si nastavit systém monitoringu, hlášení incidentů a pravidelných bezpečnostních auditů.
A co je v návrhu nového zákona o kybernetické bezpečnosti klíčové, bezpečnostní opatření se nevztahují jen na konkrétní povinné subjekty, ale také na celý jejich dodavatelský řetězec, tedy včetně dodavatelů i subdodavatelů. To je velmi důležitá změna v přístupu ke kybernetické bezpečnosti, která vychází z reality zásadních útoků zaznamenaných v posledních letech. Ty byly vedeny právě prostřednictvím dodavatelských řetězců.
„Když se podíváme na kybernetické útoky na firmy a organizace v České republice i po celém světě, je zřejmé, že řada z nich přišla prostřednictvím jejich dodavatelů. Může přitom jít třeba jen o správce klimatizačního systému, který má z nějakého důvodu vzdálený přístup do podnikové sítě. Pokud dojde k jeho napadení, může se útočník, typicky prostřednictvím neošetřených zranitelností, dostat mnohem dál a způsobit velké škody,“ říká Jan Tomíšek, advokát zaměřující se na softwarové právo a kybernetickou bezpečnost a partner v kanceláři ROWAN LEGAL, v O2 webináři Fakta o NIS2.
PŘÍKLADY KYBERÚTOKŮ NA DODAVATELSKÝ ŘETĚZECMezi největší kyberútoky vedené prostřednictvím dodavatelských řetězců patří například hackerský útok na společnost SolarWinds z konce roku 2020. Útočníkům se tehdy podařilo infikovat škodlivým kódem síťový nástroj Orion od SolarWinds, který využívaly vládní instituce Spojených států, stejně jako tisíce firem v Americe, Evropě či Asii, a získat přístup k jejich komunikaci. Dalším příkladem útoku prostřednictvím dodavatelského řetězce je neošetřená chyba v softwaru MOVEit pro přenos souborů. Ta otevřela hackerům vrátka do tisíců firem a organizací po celém světě a umožnila odcizení osobních záznamů desítek milionů lidí. A stejný problém se nyní řeší i v souvislosti se softwarem TeamCity, vyvíjeným společností JetBrains v České republice, který používají firmy po celém světě.
Bez kontroly nad dodavateli to nepůjde
Je tedy zřejmé, že pokud chceme řešit kybernetickou bezpečnost opravdu smysluplně, nemůžeme se obejít bez kontroly v rámci celého dodavatelského řetězce. Nový zákon o kybernetické bezpečnosti bude klást nároky také na výběr důvěryhodných dodavatelů, aby jejich produkty a služby nezhoršovaly kyberbezpečnostní situaci firem a organizací, které pod novou regulaci spadají. Jak ale u dodavatelů – současných i budoucích – posoudit jejich případný vliv na kybernetickou bezpečnost? Povinné subjekty, spadající podle nového zákona o kybernetické bezpečnosti do režimu vyšších i nižších povinností, by měly především provést základní vyhodnocení svých dodavatelů:
- Začněte hodnocením potenciálního vlivu dodavatele na kybernetickou bezpečnost. Přísnější pravidla se samozřejmě netýkají například dodavatelů kancelářských potřeb – na rozdíl od poskytovatelů softwaru nebo celých informačních systémů.
- Proveďte konkrétní hodnocení rizik pro významné dodavatele. To by se ostatně mělo stát nezbytnou součástí procesu výběru všech nových dodavatelů.
- Zapojte do procesu výběru nových dodavatelů oddělení bezpečnosti IT, jež poskytne vlastní vyjádření k potenciálním rizikům spojeným s daným dodavatelem, respektive rolí, kterou bude v rámci organizace zastávat.
- Nastavte si zastřešující schéma, které bude prokazovat soulad s požadavky zákona o kybernetické bezpečnosti a bude používáno při následných auditech s dodavateli. Se splněním požadavků nového zákona bude spojeno velké množství administrativy, ale vhodně nastavené procesy ji mohou značně usnadnit.
Podobná pravidla by se přitom neměla vztahovat pouze na hodnocení dodavatelů z hlediska NIS2 a nového zákona o kybernetické bezpečnosti, ale například také na ochranu osobních údajů podle GDPR a případné další regulace v daném oboru.
Dva režimy povinností při hodnocení dodavatelů
Konkrétní požadavky nového zákona o kybernetické bezpečnosti se liší podle režimu, kterému firma nebo organizace podléhá. Subjekty v mírnějším režimu musí do smluv se svými dodavateli zakotvit způsoby realizace bezpečnostních opatření i vzájemnou odpovědnost za jejich dodržování a kontrolu. Konkrétně to znamená smluvně ošetřit bezpečnost informací, dodržování stanovených bezpečnostních pravidel a zajištění dostupnosti, stejně jako způsob ukončení smluvního vztahu.
Pro subjekty v přísnějším režimu je splnění požadavků nového zákona na bezpečnost dodavatelského řetězce výrazně náročnější. Především musí stanovit transparentní pravidla výběru dodavatelů se zohledněním požadavků zákona na kyberbezpečnost a své významné dodavatele (s jejich vědomím) také evidovat. Už během výběrových řízení je nutné stanovit konkrétní bezpečnostní opatření, která musí dodavatel splňovat, a stejně jako u všech dodavatelů ještě před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním dodávek. Příslušnou metodiku hodnocení poskytuje NÚKIB.
Mezi základní pravidla a povinnosti, jež musí být upraveny ve smlouvách s dodavateli, patří například:
- Stanovení rozsahu přístupů jednotlivých pracovníků k systémům a datům
- Určení způsobů komunikace a užití i předávání dat
- Nastavení pravidel auditování dodavatelů
- Zakotvení bezpečnostních opatření dodržovaných dodavatelem v rámci jeho činností
- Zahrnutí dodavatelů do krizového plánu (kde je to nutné)
- Stanovení smluvní odpovědnosti za dodržování nastavených pravidel
- Popis bezpečného ukončení poskytování služeb pro zachování kontinuity provozu
A co je velmi důležité, stejná pravidla jako hlavní dodavatel musí dodržovat také jeho případní subdodavatelé.
Nejnáročnější je situace strategicky významných firem a organizací. Jejich dodavatelé budou nově podléhat také hodnocení z hlediska bezpečnosti a strategických zájmů České republiky. V případě zjištění zásadních rizik může NÚKIB spolupráci s určitými dodavateli výrazně omezit nebo i zcela zakázat.
Jak vybrat vhodného dodavatele? Nejlevnější nemusí být nejbezpečnější
Cílem vyhodnocení rizik v rámci dodavatelského řetězce samozřejmě není vyřadit konkrétní dodavatele, ale vhodným způsobem případná rizika ošetřit. Typicky může jít o technická opatření, která omezí přístup dodavatelských firem k určitým datům a systémům. Dále může jít o zvýšený dohled nad aktivitami dodavatele nebo o smluvní opatření včetně vysokých pokut za nedodržení konkrétně stanovených bezpečnostních opatření.
Až poslední možností je pak vyřazení potenciálně rizikových dodavatelů z výběrových řízení, které má také svou oporu v novém zákoně. Návrh zákona totiž jednoznačně hovoří o tom, že zohlednění bezpečnostních požadavků při výběru dodavatelů není omezením volné hospodářské soutěže. Hodnocení z pohledu kyberbezpečnosti by v každém případě mělo být jedním z hlavních kritérií výběru nových dodavatelů.
Při uzavírání smlouvy s novým, z hlediska kyberbezpečnosti významným dodavatelem je pak podle nového zákona nutné do ní promítnout ustanovení, která budou na straně dodavatele garantovat dodržování bezpečnostních politik. Například pro dodavatele informačních systémů to znamená, že bude mít nastaven vlastní systém řízení rizik včetně bezpečnostních pravidel při poskytování produktů a služeb a samozřejmě také kontroly jejich dodržování. Vzhledem k tomu, že nový zákon o kybernetické bezpečnosti od povinných subjektů vyžaduje i bezpečnostní audity, musí smlouva s dodavateli obsahovat i klauzuli o součinnosti při těchto auditech.
Rozšíření současných povinností podle norem ISO 27001 a 27002
V řadě ohledů požadavky nového zákona o kybernetické bezpečnosti a souvisejících vyhlášek odpovídají nárokům, které na firmy kladou certifikace podle norem ISO. Kybernetickou bezpečnost řeší například normy ISO 27001 a ISO 27002. Ty stanovují nejen požadovaná bezpečnostní opatření, ale také povinnost bezpečnostních auditů, stejně jako vyžadují řízení rizik v rámci dodavatelského řetězce.
To znamená, že při výběru poskytovatelů telekomunikačních služeb, informačních systémů, aplikací nebo dalších produktů a služeb v oblasti informačních a komunikačních technologií může být vhodným vodítkem právě jejich certifikace podle zmíněných norem.
Firmy splňující už dnes nároky na certifikace podle příslušných norem ISO nebudou požadavky nového zákona o kybernetické bezpečnosti nijak zaskočeny. Například v telekomunikacích nebo v automobilovém průmyslu je řízení bezpečnosti dodavatelského řetězce už řadu let samozřejmostí. Na posílení vlastní kyberbezpečnosti by se navíc měla soustředit každá organizace bez ohledu na to, jestli to vyžaduje legislativa.
Pro dodavatelské firmy bude pečlivé plnění požadavků nového zákona o kybernetické bezpečnosti konkurenční výhodou, která jim může například pomoci uspět ve výběrových řízeních strategicky významných podniků.
Všechny firmy a organizace, jichž se legislativa o kybernetické bezpečnosti týká, by měly sledovat podrobnosti o připravovaném zákoně a prováděcích vyhláškách a připravit se na revizi dodavatelů podle nových požadavků.
Petra Javornická
Marketingový specialista pro B2B
Byl pro vás článek užitečný?