Dodavatelský řetězec a NIS2: co po vás bude chtít kontrolor
Klasifikace dodavatelů, smluvní klauzule, audit Tier 1. Praktický výklad povinností NIS2 k vendor managementu a postup, jak začít s programem.
NIS2 i český zákon o kybernetické bezpečnosti (ZoKB ↗) explicitně vyžadují, aby regulované firmy řídily bezpečnost svých dodavatelů, ne jen vlastní infrastrukturu. To znamená klasifikovat dodavatele podle rizika, ošetřovat smlouvy, prověřovat bezpečnostní opatření a sledovat zranitelnosti v dodávkách. Tady je výklad, co konkrétně bude kontrolor NÚKIB při prověrce hledat a kde firmy nejčastěji selhávají.
Co konkrétně říká NIS2?
Čl. 21 odst. 2 písm. d směrnice NIS2 (2022/2555) ↗ zařazuje mezi povinná řídicí opatření také „bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi jednotlivými subjekty a jejich přímými dodavateli nebo poskytovateli služeb“. Stejnou povinnost přebírá i ZoKB, a to pro essential i important entity. Rozdíl je jen v intenzitě dohledu, ne v obsahu povinnosti.
Podle ENISA Threat Landscape for Supply Chain Attacks ↗ 62 % analyzovaných útoků zneužilo důvěru zákazníka v jeho dodavatele. Pro praxi to znamená, že audit zaměřený jen na vlastní infrastrukturu nestačí. Pokud má dodavatel privilegovaný přístup do interních systémů, jeho kompromitace je zároveň vaše.
Stejný směr drží i ISO/IEC 27001:2022 ↗, který v Annex A (kontroly A.5.19 až A.5.23) detailně popisuje řízení dodavatelských vztahů: politiku, smluvní pokrytí, monitoring dodavatelských služeb, změny na straně dodavatele i bezpečnost ICT supply chain. Pokud máte certifikaci ISO 27001, většinu povinností NIS2 v dodavatelské oblasti už máte popsanou. Co bude potřeba doložit, je, že se podle politiky reálně postupuje.
Klasifikace dodavatelů: kdo je vlastně riziko
Ne každý dodavatel představuje stejné riziko. NÚKIB i evropská praxe doporučují tříúrovňovou klasifikaci podle dopadu, který by selhání nebo kompromitace dodavatele mělo na vaše chráněné aktivum. Tier určuje, jak hluboko musíte při kontrole jít.
| Tier | Charakteristika | Příklady | Kontrolní hloubka |
|---|---|---|---|
| Tier 1 (kritický) | Přímý vliv na dostupnost, důvěrnost nebo integritu kritických služeb | MSP s admin přístupem, cloudový provoz ERP, OT integrátor výroby | Bezpečnostní audit nebo akceptace certifikace, smluvní KPI, prověrka 1× ročně |
| Tier 2 (důležitý) | Zpracovává firemní data, ale nezasahuje do core procesů | Účetnictví, mzdy, helpdesk bez admin přístupu, marketingové agentury | Self-assessment dotazník (např. SIG, CAIQ) 1× za 2 roky |
| Tier 3 (běžný) | Bez přístupu k chráněným aktivům | Úklid, kancelářské potřeby, doprava | Standardní KYC při uzavření, smluvní GDPR doložka |
Dodavatele zařaďte do nejvyššího tieru, pro který splňuje alespoň jednu vlastnost. Helpdesk s občasným admin přístupem patří do Tier 1, ne do Tier 2.
Sedm oblastí vendor managementu
NÚKIB v praktické metodice ke kontrolám rozlišuje sedm oblastí, ve kterých prověřuje vyzrálost vendor management programu. Pokud některou nemáte pokrytou, zpravidla z toho vznikne nález.
- Inventarizace dodavatelů a jejich klasifikace dle rizika
- Bezpečnostní požadavky v poptávkách a smlouvách (bezpečnostní příloha)
- Před-akviziční bezpečnostní hodnocení (due diligence) u Tier 1
- Pravidelné re-hodnocení (audit nebo dotazník) podle tieru
- Smluvní lhůty pro hlášení incidentů (typicky do 24 hodin u Tier 1)
- Plán ukončení spolupráce: vrácení nebo smazání dat, odebrání přístupů
- Monitoring zranitelností v používaných knihovnách a produktech (CVE feed)
Z naší zkušenosti se v praxi nejčastěji projeví mezery ve dvou bodech: nikdo nevede aktualizovaný seznam dodavatelů s klasifikací, a smlouvy uzavřené před nástupem NIS2 neobsahují bezpečnostní přílohu. Oba problémy se řeší retrospektivně, dodatkem ke smlouvě nebo při nejbližším obnovení. Konkrétní dopad zanedbané dodavatelské governance jsme rozebrali v případové studii ransomware, kde právě kompromitovaný kontraktor sloužil jako vstupní vektor.
Smluvní klauzule, které by měl mít každý Tier 1
Pro dodavatele zařazené do Tier 1 doporučujeme do smlouvy nebo její bezpečnostní přílohy zahrnout minimálně tyto body. Bez nich nebudete mít praktickou páku, když incident reálně přijde.
- Lhůta hlášení bezpečnostních incidentů (zpravidla do 24 hodin od detekce)
- Právo auditu nebo akceptace existující certifikace (ISO 27001, SOC 2 Type II)
- Souhlas s penetračními testy systémů, do kterých dodavatel přistupuje
- Roční bezpečnostní dotazník (SIG, CAIQ nebo vlastní vzor)
- Pravidla pro subdodavatele a oznamovací povinnost při jejich změně
- Exit klauzule: návrat nebo prokazatelné smazání dat, odebrání přístupů
Bez ohledu na to, jak dlouho s dodavatelem spolupracujete, dodatek k existující smlouvě je standardní cesta a obvykle prochází bez větších námitek. Větší dodavatelé na NIS2 tlak ze strany regulovaných firem počítají a typicky mají vlastní vzor bezpečnostní přílohy připravený.
Co bude kontrolor NÚKIB hledat?
Kontrola NÚKIB v oblasti dodavatelů se obvykle skládá ze tří kroků. Nejdřív si vyžádá seznam dodavatelů s klasifikací. Pokud chybí nebo je zjevně neaktuální (poslední revize před více než rokem), je to první nález. Druhým krokem je výběr 3 až 5 dodavatelů z Tier 1 a kontrola dokumentace ke každému z nich: smluvní příloha, evidence due diligence, záznamy z posledního auditu nebo dotazníku.
Třetí krok je test reality. Kontrolor se zeptá, kdo by ohlásil incident a v jakých lhůtách, pokud by Tier 1 dodavatel oznámil kompromitaci v pátek v 17 hodin. Pokud nemáte odpověď s konkrétními jmény a procesem, papírová dokumentace vás nezachrání.
Jak začít, když nemáte nic
Pokud teď začínáte od nuly, doporučujeme čtyřkrokový postup rozložený do 3 až 6 měsíců. Při menším portfoliu dodavatelů lze stihnout i rychleji, větší korporáty zpravidla cílí na 6 až 9 měsíců, protože samotná inventarizace zabere několik týdnů.
- 1. Inventarizace a tiering: sběr dodavatelů z účetnictví, IT a právního oddělení a přiřazení tieru
- 2. Gap analýza zaměřená na vendor management, ne jen na vlastní infrastrukturu
- 3. Smluvní úprava Tier 1: dodatek k existujícím smlouvám, bezpečnostní příloha k novým
- 4. Operativní rytmus: kvartální revize seznamu, roční dotazník Tier 2, audit Tier 1 v 3leté kadenci
Vendor management není jednorázový projekt, je to operativní program. Aktualizuje se z roku na rok podle změn v dodavatelské bázi a hrozbové krajině.
Pokud řešíte dodavatelský řetězec poprvé, začněte gap analýzou, která ohraničí, kde stojíte vůči požadavkům NIS2 napříč všemi oblastmi. Implementaci vendor management programu typicky vedeme jako součást cyber security governance, pravidelná školení dodavatelů zajišťuje školení. Pro Tier 1 dodavatele s privilegovaným přístupem do M365 prostředí doporučujeme připojit Microsoft Entra healthcheck, který odhalí konkrétní přístupy a politiky, jež dnes mají. Co celá NIS2 obnáší napříč regulací, jsme rozebrali v samostatném článku o povinnostech NIS2.
