Stránky o kybernetické bezpečnosti

Bezpečnost dodavatelského řetězce

Mechanismus a cíle prověřování dodavatelů, práva a povinnosti poskytovatelů strategicky významných služeb

Poskytovatelé strategicky významných služeb mají povinnost:

  • prověřovat dodavatele zejména bezpečnostně významných dodávek - zjišťovat základní informace o dodavatelích bezpečnostně významných dodávek do své vymezené infrastruktury – kritické části stanoveného rozsahu,
  • tyto informace dokumentovat a hlásit Úřadu,
  • plnění povinností stanovených Úřadem v opatření obecné povahy.

Identifikace provozovatele a významného dodavatele

Požadavky, které vyplývají pro poskytovatele regulované služby ze ZoKB (např. identifikace a prokazatelné informování provozovatele) a z VKB (např. identifikace a informování významného dodavatele). V obou případech je relevantní i revize bezpečnostních požadavků ve smlouvách s dodavateli.

Cíl

Posouzení dodavatelů a určení, který z dodavatelů je tzv. provozovatelem podle ZoKB, nebo který je tzv. významným dodavatelem podle VKB. Zajištění:

  1. Identifikace provozovatelů (provozovatel = ve smyslu ZKB, dodavatel, který plní definici provozovatele uvedenou v ZoKB)
  2. Identifikace významných dodavatelů
  3. Definice bezpečnostních požadavků pro dodavatele
  4. Prokazatelné informování identifikovaných subjektů (významných dodavatelů a provozovatelů KII)
  5. Úpravu smluv s identifikovanými subjekty (je li nutná)
  6. Zákaznický audit - Dohled nad praktickým plnění povinností podle VKB / ZoKB u určených provozovatelů / význ. dodavatelů

Rizika

  • Útok dodavatelského řetězce
  • Porušení požadavků ZoKB vinou dodavatele/poskytovatele - v závislosti na službě poskytované dodavatelem/provozovatelem.

Aktiva

Dotčená aktiva se odvíjejí od typu služby poskytované dodavatelem/provozovatelem.

Odpovědnost:
Role/činnost posouzení dodavatele určení provozovatele určení významného dodavatele úprava/stanovení požadavku dodavatele ve smlouvách
vedení společnosti A A I I
Manažer KB R R A A
Garant Aktiva C C R R
Oddělení nákupu C C C C
Právní oddělení C C C C

R - Responsible - úkol sám nebo ve spolupráci vykonává

A - Accountable - osoba odpovědná za úkol jako celek. Někdy “Approver”

C - Consulted - řešení je s ním konzultováno

I - Informed - o řešení a průběhu prací je informován.

Podklady

  • Registr dodavatelů
  • Smlouvy s dodavateli
  • Informace od business vlastníka smluvního vztahu pro účely posouzení dopadu dodávky služby - nejčastěji půjde o Garanta aktiva podle VKB.

Procesní schéma

posouzeni_dod

Výstupy

  • Registr významných dodavatelů
  • Registr provozovatelů podle ZoKB
  • Důkazy o prokazatelném informování provozovatelů / významných dodavatelů
  • Úprava smluv - nová verze smlouvy / dodatek

Dokumentace (politiky, procedury, metodiky)

Ve firmě by měly být k dispozici alespoň následující typy dokumentace

  • Smluvní požadavky na kybernetickou bezpečnost pro smlouvy s významnými dodavateli a provozovateli
  • Politika řízení dodavatelů

Souvislosti

  • Řízení nákupů, veřejných zakázek
  • Řízení incidentů
  • BCM - provozovatelé a významní dodavatelé mohou hrát významnou roli v rámci řízení kontinuity činností (krizového plánování atp.)
  • Řízení rizik
  • Řízení změn
  • Akvizice, vývoj a údržba
  • Zákaznický audit

Prověřování dodavatele a mechanismus prověřování dodavatelského řetězce

Mechanismus prověřování dodavatelského řetězce dopadne pouze na poskytovatele strategicky významných služeb. V rámci těchto poskytovatelů se vztahuje na bezpečnostně významnou dodávku, která směřuje do části systému, kterou si poskytovatelé sami určí jako kritickou (aktiva s kritickým nebo vysokým dopadem na službu), nebo/i na funkci systému, kterou Úřad určí jako nepominutelnou.

Cílem mechanismu je identifikovat hrozby související s dodavatelem či zemí, mající vliv na bezpečnost České republiky nebo vnitřní či veřejný pořádek skrze poskytovatele strategicky významných služeb.

Prověřování je zaměřeno na:

  • dodavatele, kteří již svá plnění do infrastruktury pro poskytování strategicky významných služeb dodávají;
  • jejich poddodavatele či potenciální dodavatele, mající vliv na konečný produkt.

Mechanismus prověřování dodavatelského řetězce je nástroj, kterým ČR realizuje strategickou kontrolu dodavatelských řetězců u nejkritičtějších služeb:

  • reaguje na existence strategických hrozeb pocházejících z dodavatelského řetězce,
  • prověřuje důvěryhodnost dodavatele,
  • působí jak zpětně, tak do budoucna.

Proces prověřování

Na procesu prověřování se budou podílet tyto státní orgány:

  • NÚKIB – jako garant procesu,
  • Bezpečnostní rada státu,
  • Ministerstvo vnitra,
  • Ministerstvo průmyslu a obchodu,
  • Ministerstvo zahraničních věcí,
  • Nejvyšší státní zastupitelství,
  • Policie České republiky,
  • Úřad pro ochranu hospodářské soutěže,
  • Finanční analytický úřad,
  • Zpravodajské služby České republiky,
  • Ostatní – povinné osoby, sektoroví regulátoři a další.

Pokud Úřad zjistí významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku, může podle míry zjištěného rizika:

  • Využít mírnější nástroje dle nového zákona o kybernetické bezpečnosti:
    • varování,
    • reaktivní protiopatření.
  • Vydat opatření obecné povahy, kterým stanoví podmínky nebo zakáže využití plnění rizikového dodavatele.

Opatření obecné povahy

NÚKIB bude vždy při vydávání opatření obecné povahy klást důraz na to, aby byly maximálně šetřeny zájmy poskytovatelů regulovaných služeb (což je zajištěno jak postupem podle správního řádu, ze kterého tato povinnost plyne, tak ze samotného návrhu mechanismu), životní cyklus technologií, a zohlední také nezbytnost vydání takového opatření obecné povahy. Vydané opatření obecné povahy je možné přezkoumat v přezkumném řízení nebo v soudním řízení správním.

  • Lhůta pro plnění povinností stanovených v opatření obecné povahy se určí podle odpisových lhůt (viz daňový řád), nebo 5 let, pokud se jedná o dodávku, která nemá stanovenou odpisovou lhůtu. Případný zákaz tedy bude respektovat životní cyklus zařízení.
  • Lhůtu je možné individuálně upravit podle potřeby poskytovatele strategicky významné služby.
  • Bude-li nutné ve výjimečných případech vyřadit dodavatele ze strategicky významných služeb dříve, musí vydání opatření obecné povahy schválit také Ministerstvo vnitra, Ministerstvo zahraničních věcí a Ministerstvo průmyslu a obchodu.

Mechanismus prověřování musí ale minimalizovat omezení jen ve využívání dodavatele na nezbytné případy významných hrozeb. Z toho důvodu lze opatření obecné povahy uplatnit pouze v nejzávažnějších případech ohrožení bezpečnosti České republiky nebo jejího vnitřního či veřejného pořádku, a to ve lhůtách, které zohledňují životní cyklus technologií a zároveň šetří dopad na poskytovatele strategicky významných služeb.

Výjimky z opatření obecné povahy

  • Výjimka může být udělena jak konkrétnímu poskytovateli strategicky významné služby, tak všem poskytovatelům dotčené strategicky významné služby v případě podstatného ohrožení poskytování strategicky významných služeb.
  • Za podstatné ohrožení lze považovat vynaložení úsilí nebo finančních nákladů, které by ohrozily existenci poskytovatele strategicky významné služby, a tím i poskytování samotné strategicky významné služby.
  • O výjimku může požádat kterýkoliv poskytovatel strategicky významné služby. Žádostí je zahájeno řízení o udělení výjimky a její případné neudělení musí být náležitě odůvodněno.

Ochrana práv poskytovatelů strategicky významných služeb

Poskytovatelé strategicky významných služeb mohou uplatnit k návrhu opatření připomínky:

  • Úřad se musí s připomínkami vypořádat.
  • Úřad musí při stanovení lhůty zohlednit dopady na poskytovatele strategicky významné služby.
  • Vydané opatření obecné povahy je možné přezkoumat v přezkumném řízení nebo v soudním řízení správním.
  • Lhůta pro plnění povinností stanovených v opatření obecné povahy se určí podle odpisových lhůt (viz daňový řád), nebo 5 let, pokud se jedná o dodávku, která nemá stanovenou odpisovou lhůtu. Případný zákaz tedy bude respektovat životní cyklus zařízení.
  • Lhůtu je možné individuálně upravit podle potřeby poskytovatele strategicky významné služby.
  • Bude-li nutné ve výjimečných případech vyřadit dodavatele ze strategicky významných služeb dříve, musí vydání opatření obecné povahy schválit také Ministerstvo vnitra, Ministerstvo zahraničních věcí a Ministerstvo průmyslu a obchodu.

Co je bezpečnostně významná dodávka?

Bezpečnostně významná dodávka je plnění směřující do kritické části stanoveného rozsahu spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu:

  • technického prostředku nebo vybavení s výpočetní kapacitou;
  • programového prostředku nebo vybavení, nebo
  • informační či komunikační služby.
Back to Top