Co je řízení dodavatelů?

Řízení dodavatelů je jedním z organizačních bezpečnostních opatření, která jsou vybrané povinné osoby povinny realizovat v souladu se zákonem o kybernetické bezpečnosti (ZKB) i jeho prováděcí vyhláškou o kybernetické bezpečnosti (VKB). Jde o důležitou součást kybernetické bezpečnosti, která je silně akcentována jak aktuální právní úpravou, tak zejména připravovanou legislativou, a jak již název napovídá, jejím primárním cílem je nastavení vztahů s dodavateli zohledňující požadavky systému řízení bezpečnosti informací.

Součástí řízení dodavatelů jsou zejména tyto povinnosti:

  • stanovit pravidel pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,
    seznamovat dodavatele s těmito pravidly,
  • vyžadovat plnění těchto pravidel a zajistit poučení dodavatelů o jejich povinnostech a o bezpečnostní politice,
  • vést evidenci významných dodavatelů a dodavatele o této evidenci informovat,
  • řídit rizika spojená s dodavateli,
  • zajistit, aby smlouvy s významnými dodavateli obsahovaly relevantní oblasti dle přílohy VKB,
  • pravidelně přezkoumávat smlouvy uzavírané s významnými dodavateli z hlediska řízení bezpečnosti informací,
  • provádět hodnocení rizik souvisejících s plněním předmětu výběrového řízení v rámci výběrového řízení,
  • stanovit způsoby a úrovně realizace bezpečnostních opatření a určit obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření v rámci uzavíraných smluvních vztahů,
  • provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření,
  • v reakci na rizika a zjištěné nedostatky zajistit jejich řešení,
  • zajistit oznamování neobvyklého chování systému a podezření na jakékoliv zranitelnosti v rámci zvládání kybernetických bezpečnostních incidentů.

 

Proč je pro Vás řízení dodavatelů důležité?

Povinnost zajistit řádné řízení dodavatelů platí pro vybrané povinné osoby již v současné době, s přijetím nové směrnice NIS2 a její implementací do vnitrostátních právních předpisů se však stane aktuální i pro velké množství dalších subjektů, na které tato povinnost dosud nedopadala – a předpokládá se, že těchto subjektů bude až 6000! Současně jak směrnice NIS2, tak návrh připravovaného nového zákona o kybernetické bezpečnosti, předpokládají výrazné zvýšení sankcí za neplnění povinností (až do 250.000.000 Kč – např. i za přestupek v podobě nezohlednění požadavku vyplývajícího z bezpečnostních opatření při výběru dodavatele nebo ve smlouvě s dodavatelem).

Vzhledem ke značnému rozšíření okruhu povinných subjektů se mezi nově povinné subjekty snadno může řadit i Vaše společnost, proto není radno tuto oblast podceňovat, a to i s ohledem na značné sankce, které za porušení povinnosti v oblasti řízení dodavatelů hrozí.

 

Co pro Vás můžeme udělat?

Nastavení interních bezpečnostních předpisů

V rámci této služby primárně zhodnotíme bezpečnostní dokumentaci a politiku (pokud jí disponujete) a následně zpracujeme interní předpis – metodiku – pro řízení dodavatelů, která může být dle potřeby v rámci bezpečnostní politiky zapracována přímo do metodiky řízení aktiv a rizik, nebo zpracována jako samostatný interní předpis. To, která z variant bude vhodnější, odvisí vždy od Vašich konkrétních potřeb a požadavků, i toho, zda již nějakou bezpečnostní dokumentací disponujete.

Součástí služby tedy zejména jsou:

  • zhodnocení stávající bezpečnostní dokumentace,
  • nastavení interních směrnic,
  • nastavení vnitřní bezpečnostní politiky v souvislosti s dodavateli,
  • nastavení smluvní dokumentace s významnými dodavateli,
  • seznámení relevantních osob s novou bezpečnostní metodikou,
  • v případě potřeby též doporučení pro další případné úpravy bezpečnostní politiky.

Řízení dodavatelů v oblasti zadávání veřejných zakázek

Řízení dodavatelů v oblasti zadávání veřejných zakázek se stává stále větším tématem společně s tím, jak ve společnosti roste význam zajištění kybernetické bezpečnosti. Již nestačí zohlednit pouze nejnižší nabídkovou cenu, ale je nutné brát ohled i na otázky bezpečnostní.

Proto, jste-li veřejným zadavatelem, zpracovaná metodika samozřejmě zohlední i řízení dodavatelů v oblasti zadávání veřejných zakázek.

Náš zkušený tým specializující se na veřejné zakázky Vás rád provede všemi úskalími a nástrahami se zadáváním veřejných zakázek spojenými, přičemž v rámci služeb Vám může poskytnout též:

  • konzultace v rámci výběrového řízení,
  • pomoc při posouzení možnosti vyloučení dodavatelů kteří nesplňují bezpečnostní podmínky.

Proč se zabývat kybernetickou kriminalitou?

Ztráta digitálních procesů a dat

Kybernetický útok může způsobit ztráty v řádkách milionů korun tím, že naruší datovou a procesní strukturu Vaší společnosti.

Přímá odpovědnost managmentu

Vysoké ztráty jsou apelem především na statutární orgány společností. Ti jsou zejména zatíženi povinností péče řádného hospodáře.

Riskujete ztrátu důvěry svých zákazníků

Kybernetický incident může pro firmu znamenat nejen přímé náklady na obnovu systému, ale ve většině případů i ztráty důvěry svých zákazníků.

53 %

Středně velkých podniků zažilo narušení bezpečnosti.

20 %

Středních podniků uvádí, že je narušení bezpečnosti stálo stovky milionů korun.

69 %

Zaměstnanců těchto společností neprošlo jakýmkoli výcvikem kybernetické bezpečnosti.

Nezávazná konzultace

Spojte se s námi a zjistěte co obnáší nová Směrnice NIS 2 právě pro Vaší firmu.

Praktický příklad - Jak to funguje v praxi...

Pomůžeme Vám zvýšit bezpečnost.

Kontaktujte nás