Aktuálním příspěvkem přímo navazujeme na ten minulý, kde jsme popsali subjekty, na které se bude NIS2 aplikovat přímo. Na závěr jsme zmínili, že NIS2 nebude mít vliv pouze na ně, ale také na některé z jejich dodavatelů, nyní si to tedy vysvětlíme blíže.
Právě jednou z nejvýznamnějších změn v novém kybernetickém zákoně, bude přístup k dodavatelům a subdodavatelům povinných subjektů. Jedním z hlavních důvodů je zejména to, že velká část kybernetických útoků v posledních letech vedla právě přes dodavatelský řetězec. Právě dodavatelé mají mnohdy z různých důvodů přístup do vnitropodnikových sítí, touto cestou mohou útočníci napáchat nemalé škody. Znění nového kybernetického zákona se pokusíme opět trochu zjednodušit.
Hodnocení dodavatelů
Nejen v rámci prevence by měli povinné subjekty v režimu nižších i vyšších povinností své dodavatele určitě hodnotit. Nový zákon určuje mírnější a přísnější režim povinností při hodnocení dodavatelů. U strategicky významných firem a organizací jsou nová pravidla ještě náročnější.
Mírnější režim
Firmy a organizace podléhající mírnějšímu režimu jsou povinni se svými dodavateli zasmluvnit veškerá bezpečnostní opatření a vzájemnou odpovědnost za jejich dodržování a kontrolu.
Přísnější režim
Pro přísnější režim platí o dost vyšší úroveň povinností. Volba dodavatelů musí počítat s požadavky na kybernetickou bezpečnost dle nového zákona. Nejen že bude nutné nastavit tato kritéria do výběrových řízení, ale před uzavřením spolupráce je dle zákona nutné provést hodnocení rizik dle NÚKIB.
Strategicky významné firmy a organizace
U těchto subjektů budou muset dodavatelé projít také hodnocením z hlediska bezpečnosti a strategických zájmů České republiky. Jednoduše řečeno, pokud takový dodavatel hodnocením neprojde, může NÚKIB spolupráci s ním zakázat.
Jak už bylo uvedeno v nadpisu tohoto příspěvku, tuto problematiku nevěnujeme jen přímým dodavatelům povinných subjektů, ale celému dodavatelskému řetězci. Ve výsledku uvedené povinnosti znamenají skutečnost, že se týkají i subdodavatelů dodavatele, tzn. právě celého dodavatelského řetězce.
Na závěr jsme si nechali i možnou výhodu pro subjekty, kteří již nyní řeší mj. právě kybernetickou bezpečnost v rámci ISO27001 a 27002, což je v řadě průmyslových odvětví již roky standardem. V takovém případě bude splnění požadavků nového kybernetického zákona mnohem jednodušší, protože většinu požadovaných opatření již mají implementovanou.
Váš Safee tým