Předpisů, které upravují povinnost kontrolovat a prověřovat dodavatele, je hned několik. Hlavními jsou GDPR, DORA a NIS 2. Každý z těchto předpisů je zaměřen na trochu jinou oblast, požadavky jsou však do jisté míry podobné.
Jinak řečeno, při výběru jednoho a téhož důležitého dodavatele, který bude mít přístup k osobním údajům, je nutné postupovat podle více předpisů. Jen GDPR nestačí.
Pojišťovny, investiční podniky, obchodníci s kryptem, ale i pojišťovací zprostředkovatelé nebo fintechy musejí při výběrů dodavatelů zohlednit především GDPR a brzy i nařízení DORA.
Podniky v oblasti energetiky, telekomunikací, výroby a distribuce potravin, poskytování IT služeb, ale i kraje či větší obce se zase musejí řídit GDPR a NIS2, resp. připravovanými prováděcími předpisy a vyhláškami.
A třeba na banky dopadnou všechny tři předpisy najednou.
Jaké jsou požadavky jednotlivých předpisů? A jak je efektivně – a chytře – plnit?
DORA: Nové požadavky na finanční instituce a IT firmy
DORA, neboli nařízení o digitální provozní odolnosti finančního sektoru (EU) 2022 /2554, je stejně jako GDPR přímo aplikovatelným EU nařízením. DORA vstoupila v platnost 16. ledna 2023. Všechny povinnosti beze zbytku budou účinné od 17. ledna 2025.
DORA je reakcí na digitální transformaci finančních služeb, která přinesla větší závislost na ICT službách a na jejich poskytovatelích. Tím zde vzniká riziko pro finanční trh a jeho stabilitu. Nařízení DORA dopadá na téměř všechny poskytovatele finančních služeb v EU a zaměřuje se na řízení ICT rizik. Předepisuje detailní pravidla ohledně toho, jak tato rizika snížit a zajistit tak digitální a provozní odolnost finančního trhu.
Cílem DORA je mj. i to, aby byl umožněn lepší a jednotný dohled nad velkými technologickými dodavateli. EU tím reaguje na systémová a koncentrační rizika vyplývající ze skutečnosti, že mnoho finančních institucí na určité služby (cloud, kancelářské balíky, komunikační služby, zabezpečení atd.) využívá tytéž dodavatele.
K DORA už také vyšel návrh 4 regulatorních technických standardů (Regulatory Technical Standards, RTS). Prováděcích předpisů, které upřesňují právě i požadavky na řízení významných poskytovatelů ICT služeb.
DORA a ICT dodavatelé
Podívejme se, jaké požadavky DORA předepisuje v oblasti dodavatelů. Finančním institucím stanovuje následující povinnosti:
Každý rok reportovat orgánu dohledu změny ICT dodavatelů (hlavně tedy nové poskytovatele) a vést registr informací o poskytovatelích a smlouvách s nimi uzavřených – tedy seznam dodavatelů obsahujících typ smlouvy, využívané služby či funkce a jejich kritičnost.
ČNB bude tak každý rok vyžadovat hlášení, ve kterém instituce uvede:
počet nových ujednání o využívání služeb ICT
kategorie poskytovatelů služeb ICT z řad třetích stran
druh smluvních ujednání
poskytované služby a funkce ICT
Uzavírat smluvní vztah pouze s dodavateli, kteří dodržují vysoké, vhodné a aktuální standardy v oblasti informační bezpečnosti.
Toto posouzení před uzavřením smlouvy by mělo zahrnovat:
vyhodnocení významnosti služby
posouzení splnění podmínek dohledu
identifikaci a zhodnocení rizik
provedení hloubkové kontroly (due diligence) poskytovatele – návrh RTS doporučuje například audit provedený institucí nebo externím auditorem, kontrolu veřejně dostupných informací, případně zohlednění relevantních certifikací, pokud jimi dodavatel disponuje. Podle návrhu RTS by se due diligence mělo zaměřit rovněž na reputaci, schopnosti, expertízu a finanční, lidské a technické zdroje poskytovatele. Dále na jeho standardy v informační bezpečnosti, organizační nastavení (s důrazem na risk management a vnitřní kontrolu) a případně na nutnost autorizace nebo registrace pro poskytování služeb.
identifikaci případného střetu zájmů
podle návrhu RTS by poskytovatel ICT služeb měl disponovat dostatečným množstvím zdrojů, aby to umožnilo instituci dodržet všechny právní a regulatorní povinnosti, a dostatečnou kapacitu být schopen doložit
V souvislosti s významnými ICT dodávkami musí být udržovány a pravidelně testovány pohotovostní plány (tedy otázka zajištění kontinuity podnikání)
Dodavatelé ICT služeb musejí být součástí povinných penetračních testů
Smlouva s poskytovateli ICT služeb by měla být v jednom dokumentu – tedy ne roztříštěná v různých webových odkazech (velkými poskytovateli s oblibou využívané tzv. URL terms)
IT firmy pod dozorem finančních regulátorů
DORA zavádí dohled regulátorů finančního trhu přímo nad ICT poskytovateli, kteří byli vyhodnocení jako kritičtí. A také nad těmi, kteří se dohledu podřídí dobrovolně.
Proč by to dělali? Mohou to obchodně využít jako svou konkurenční výhodu. Nařízení DORA tak způsobí, že někteří ICT dodavatelé budou nově pod přímým dohledem orgánů dohledu.
Podle návrhu RTS je důležité také to, zda dodavatel nebo jeho subdodavatelé mají sídlo a vykonávají činnost v EU nebo ve třetí zemi. Zejména jde o to, zda a jak tato skutečnost pro instituci zvyšuje operační nebo reputační rizika.
Finanční instituce by měly hodnotit i to, kde její ICT dodavatelé podléhají dohledu (zda v EU či ve třetí zemi). Stejně tak by měly rozlišovat, odkud je služba podporující kritickou nebo důležitou funkci poskytována – zda z EU nebo ze třetí země. Hlavně kde jsou data fakticky ukládána a zpracovávána. Pravidla pro předávání osobních údajů mimo EU, respektive mimo EHS známe také z GDPR.
GDPR: Víte, kdo, kde a jak pro vás zpracovává osobní data?
Obecné nařízení o ochraně osobních údajů (GDPR) je účinné od 25.května 2018 a týká se nejen finančních institucí, ale všech, kdo zpracovávají osobní údaje. Podívejme se, jaké požadavky GDPR klade na využití dodavatele, kteří se podílejí na zpracování osobních dat – tedy slovy na zapojení zpracovatele osobních údajů.
Článek 28 GDPR ukládá každému správci provést prověrku dodavatele před tím, než mu osobní údaje zpřístupní. Due diligence podle GDPR má zajistit, aby byl využit pouze dodavatel, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření, aby zpracování splňovalo požadavky GDPR, a tak byla zajištěna ochrana práv subjektů údajů.
Vybraný zpracovatel osobních údajů, ať už z oblasti ICT nebo jiné, musí mít odborné znalosti, být spolehlivý a mít k dispozici dostatečné zdroje na to, aby zavedl technická a organizační opatření pro naplnění povinností dle GDPR.
Zohlednit lze i to, zda dodavatel přijal kodex chování nebo je certifikovaný podle mechanismu certifikace podle GDPR.
NIS2: Kybernetická bezpečnost pro tisíce firem a úřadů
Směrnice NIS2 má za cíl rozšířit povinnosti v oblasti kybernetické bezpečnosti do dalších sektorů a na další skupiny organizací. Tyto změny nastanou až s novým zákonem o kybernetické bezpečnosti, který by měl nabýt účinnosti ve druhé polovině roku 2024. Už teď ale víme, že zatímco současný zákon o kybernetické bezpečnosti se vztahuje na stovky firem a úřadů, požadavky nového zákona budou muset plnit tisíce subjektů.
NIS2 v oblasti řízení dodavatelů směřuje především ke snížení rizika útoků na dodavatelské řetězce, které by mohly vést k poškození vícero důležitých subjektů.
NIS2 zavádí 3 mechanismy, kterými má být zajištěna bezpečnost dodavatelských řetězců:
Koordinované vyhodnocení rizik dodavatelských řetězců: je prováděno na úrovni EU (mimo jiné také proběhne konzultace s ENISA a Evropskou komisí) a má za cíl identifikovat možnosti, jak se vypořádat s kritickými závislostmi a hrozbami v dodavatelských řetězcích.
Národní vyhodnocení rizik: jde o možnost členských států rozšířit okruh regulovaných osob o další, které původně pod NIS 2 nespadají (např. jediný nebo dominantní poskytovatel důležité služby).
Interní vyhodnocení rizik významných dodavatelů: jde o povinnost regulovaných subjektů. Ty budou povinny začlenit opatření k řízení kybernetických bezpečnostních rizik do smluvních ujednání se svými dodavateli.
Monitoring a řízení rizik třetích stran bude klíčovou součástí zajištění kybernetické bezpečnosti. Musí si prostě dávat pozor na to, jakého dodavatele se chystají využít. A platí to jak o přímých dodavatelích, tak o jejich dalších, dílčích, subdodavatelích – jinak řečeno celých dodavatelských řetězců. Regulované subjekty budou muset zohledňovat i výsledky koordinovaných vyhodnocení prováděných na unijní nebo národní úrovni.
NIS2 upravuje i vlastní požadavky na smluvní ujednání s významnými dodavateli, jejichž služby mají nebo mohou mít vliv na zajištění kybernetické bezpečnosti. Povinné subjekty do smluv budou muset zahrnout ustanovení týkající se povinností dodavatele spolupracovat na zajištění informační bezpečnosti. V některých případech bude vyžadováno, aby dodavatelé měli příslušnou certifikaci vydanou v rámci EU – detaily ohledně certifikace budou stanoveny v prováděcím předpise. K bezpečnostním opatřením týkajícím se dodavatelských řetězců už vydala své guidelines agentura ENISA.
Návrh nového Zákona o kybernetické bezpečnosti doprovází návrhy 6 prováděcích vyhlášek. Podle Vyhlášky o kritériích rizikovosti dodavatele by nás při posuzování rizik dodavatele měla zajímat i geografie, protože budeme muset zvažovat jaký vliv na dodavatele má:
a) země sídla dodavatele,
b) země, ve které převážně dochází k řízení dodavatele
c) země pobytu skutečného majitele dodavatele
d) země, ve které má sídlo nebo pobyt osoba (převážně) ovládající dodavatele
e) země, která může na dodavatele efektivně vyvíjet nátlak a ovlivnit jej
Podle Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností pak tyto regulované subjekty musejí do smlouvy zahrnout řadu smluvních ujednání.
Požadavky na smlouvu podle GDPR, DORA a NIS2
V následující tabulce je přehled povinných oblastí, které je nutné do smluvních ujednání zahrnout. Kde lze požadavek dovodit či z praktických zkušeností silně doporučit, ačkoli nemusí být explicitně stanoven v předpise, je uvedeno „(Ano)“.
Požadavek na smlouvu | GDPR | DORA | NIS2 (příloha 7 vyhlášky o bezpečnostních opatřeních – smlouva s významným dodavatelem) |
|---|---|---|---|
Písemná forma smlouvy | Ano | Ano | Ano |
Práva na přístup, inspekci a auditní práva | Ano | Ano | Ano |
Pravidla pro využití subdodavatele | Ano | Ano | Ano |
Povinnost poskytovatele hlásit incidenty, případně poskytnout podporu při jejich řešení | Ano | Ano | Ano |
Reportovací povinnost poskytovatele | Ano, s ohledem na data breach nebo nemožnost dodržovat instrukce správce | Ano, poskytovat reporty ohledně dodávky služeb, ICT bezpečnosti a opatření zajišťujících business continuity (a jejich testování), povinnost upozornit na možnou neschopnost služby dále poskytovat | Ano, incidenty, řízení rizik, významná změna týkající se ovládání poskytovatele či zásadních aktiv |
Součinnost při ukončení smlouvy | Ano, musí být zajištěno vrácení či výmaz osobních údajů | Ano, s tímto ustanovením pak musí být v souladu exit plán instituce, přechodné období apod. | Ano, přechodné období, migrace dat apod. |
Bezpečnost informací: zajištění dostupnosti, (autenticity), integrity a důvěrnosti dat | Ano | Ano | Ano |
Stanovení bezpečnostní politiky či zavedení bezpečnostních opatření | (Ano, v oblasti ochrany osobních údajů) | Ano | Ano |
Formát předání dat, provozních údajů a informací | (Ano) | (Ano) | Ano |
Business continuity |
| Ano | Ano |
Poskytnutí dat orgánu veřejné moci (povinnost o žádosti informovat, povinnost podat námitky, předání jen v nezbytném rozsahu… ) | Ano |
| Ano |
Dodržování právních předpisů | Ano |
| Ano |
Likvidace dat | Ano |
| Ano |
Oprávnění ohledně způsobu užívání dat | Ano |
| Ano |
Povinnost spolupracovat s orgánem dohledu | (Ano) | Ano |
|
Spolupráce a podpora | Ano (bezpečnostní opatření, uplatňování práv subjektů údajů, DPIA, oznámení data breach, dokládání souladu s GDPR) | Ano (penetrační testování na základě hrozeb – TLPT) |
|
Jasný popis dodávané funkce/operací | Ano | Ano | (Ano) |
Lokalita (země), odkud jsou služby poskytovány | (Ano) | Ano | (Ano) |
Garance dostupnosti služeb |
| Ano |
|
Podmínky zapojení se do tréninku security awareness |
| Ano | (Ano) |
Úroveň dostupnosti služeb a přesné výkonnostní cíle |
| Ano |
|
Autorství programového kódu, licence |
|
| Ano |
Řízení změn |
| (Ano) | Ano |
Možnost odstoupit od smlouvy (významná změna kontroly nad dodavatelem nebo jím využívanými aktivy) |
|
| Ano |
Sankce za porušení povinností | (Ano) | (Ano) | Ano |
Jednotné řešení uspoří práci, čas i peníze
Požadavky na ověření a kontrolu dodavatelů, jejich průběžný monitoring i na smlouvu, kterou s nimi povinná organizace musí uzavřít, se do velké míry překrývají. Pro efektivní využití kapacit a zdrojů je proto vhodné alespoň uvažovat o:
Jednotném procesu pro ověření dodavatelů před vznikem obchodního vztahu
Stejném postupu pro průběžnou kontrolu a monitoring významných dodavatelů
Přípravě vzoru jednotné smlouvy či smluvního dodatku, který bude obsahovat požadavky všech relevantních právních předpisů a regulací
