NIS2 Članak 21(2)(d)

Sigurnost lanca opskrbe prema NIS2: Sveobuhvatan vodič za hrvatske tvrtke

NIS2 obavezuje sve tvrtke da osiguraju sigurnost svojih dobavljača kroz ugovorne odredbe i kontinuirani nadzor. Saznajte što točno morate učiniti i tko se broji kao dobavljač.

Započni sigurnost dobavljača →

Što NIS2 Članak 21(2)(d) zahtijeva: Osnove

NIS2 Članak 21(2)(d) postavlja jasan zahtjev: sve tvrtke moraju uključiti zahtjeve za sigurnost u ugovore sa SVIM izravnim dobavljačima. Ovo nije opcija — to je obvezna klauzula.

Zahtjev se primjenjuje na subjekte od posebnog značaja (SEOD) i operatore kritične infrastrukture (OKI), ali i mnogi privatni sektor prate iste smjernice. Ugovorna odredba mora jasno definirati sigurnosne standarde koje dobavljač mora poštovati, uključujući:

  • Obaveze dostupnosti i zaštite podataka
  • Proceduru obavijesti o incidentima
  • Pravo na reviziju sigurnosti
  • Upravljanje poddobavljačima
  • Skladištenje i obrada osobnih podataka prema GDPR-u

Prema smjernicama ENISA-e i NCSC-a, ugovorna klausula mora biti specifična i provjeriva.

Tko se broji kao dobavljač prema NIS2?

Evo što vas čini iznenađenima: dobavljač nije samo IT proizvođač. Evo što sve spada:

  • Dobavljači softvera: SaaS platforme, rješenja za upravljanje, CMS sustavi
  • Pružatelji oblaka: AWS, Azure, Google Cloud, lokalni pružatelji
  • IT uslužavatelji: managed IT, hosting, backup, networking
  • Dostavljači usluga: čistačke tvrtke s pristupom serverskoj sobi, sigurnosna poduzeća, reciklatori e-otpada
  • Konsultanti i agencije: IT konzultanti, agencije za razvoj, vanjski administratori
  • Distributeri i reselleri: distributori IT opreme, licence

Ključni test: Ima li ta osoba pristup vašim sustavima, podacima ili kritičnoj infrastrukturi, čak i povremeno? Ako da, to je dobavljač.

Što MORA biti u vašim ugovorima sa dobavljačima

NIS2 zahtijeva eksplicitne ugovorne termine. Evo što morate uključiti:

  • Sigurnosni standardi: Reference na ISO 27001, industrijske standarde, specifične provjere sigurnosti
  • Obavijest o incidentima: Dobavljač mora obavijestiti vas o sigurnosnim incidentima u dogovorenom roku (obično 24-72 sata)
  • Pravo na reviziju: Eksplicitno pravo da zahtijevate sigurnosne revizije, pentest ili SOC 2 izvještaje
  • Upravljanje poddobavljačima: Dobavljač mora osigurati da njegovi poddobavljači poštuju iste standarde
  • Obrada podataka: Jasna pravila o tome gdje će se vaši podaci pohraniti, tko će im pristupiti, kako će se brisati
  • Rokovi završetka: Što se dogodi s vašim podacima ako se odnos prekine?

Preporučujemo da koristite standardni šablon razvijen s lokalnim pravnim savjetnicima za konzistentnost.

Kako procijeniti dobavljače: Upitnici vs. Platforme za ocjenjivanje

Pristup 1: Sigurnosni upitnici (DIY)

Pošalji dobavljačima detaljan upitnik s 50+ pitanja o njihovim sigurnosnim praksama. Prednosti: jeftin, prilagodljiv. Mane: dobavljači često ne odgovore točno, subjektivno je, trošak vremena za analizu.

Pristup 2: Platforme za ocjenjivanje sigurnosti (Preporučeno)

Koristi automatizirane platforme kao što su SecurityScorecard, BitSight ili UpGuard koje kontinuirano prate sigurnost dobavljača bez njihove intervencije. Te platforme:

  • Skeniraju javno dostupne podatke o infrastrukturi, zlonamjernim domenama, slabim mjestima
  • Daju ocjenu rizika u stvarnom vremenu
  • Upozoravaju vas na promjene sigurnosti
  • Smanjuju broj upitnika koje trebate slati

Hibridni pristup: Koristi platformu + specifičan upitnik za kritične dobavljače.

Za ISMS upravljanje i automatizirano praćenje dobavljača, razmotre Reglyze koja ima ugrađene module za upravljanje dobavljačima.

Kako implementirati program sigurnosti dobavljača u 30 dana

Tjedan 1-2: Popis i provjera

  • Napraviš popis svih izravnih dobavljača (IT, oblak, usluge, čak i čistači)
  • Razvrsti ih u razrede: kritični (pristup podatcima), važni, minimalni rizik
  • Identificiraj tko već ima ugovore i tko nema

Tjedan 2-3: Ugovorna klauzula

  • Razvij standardnu NIS2 klauzulu sigurnosti sa lokalnim pravnicima
  • Započni s kritičnim dobavljačima — pošalji revidirane ugovore
  • Za nove dobavljače, postavi zahtjev kao preduvjet

Tjedan 3-4: Procjena i nadzor

  • Za kritične dobavljače, primijeni SecurityScorecard ili sličnu platformu
  • Pošalji sigurnosne upitnik za one koje ne pokriva platforma
  • Uspostavi redovite preglede (tromjesečno za kritične)

Rezultat: Dokumentirani program, pokriveni ugovori, počet nadzor.

Kontrolni popis: 10 pitanja za SVAKOG dobavljača

Evo minimalnog skupa pitanja koja možeš koristiti u upitnicima ili razgovorima s dobavljačima:

PitanjeZašto je važno za NIS2
1. Ima li certifikacija ISO 27001 ili ekvivalentnu (SOC 2 Type II)?Dokazuje formalnu sigurnosnu praksu
2. Gdje su fizički smješteni vaši serveri i podatkovni centri?Tuđina zakonodavstvo, fizička sigurnost, sukladnost
3. Koji je maksimalan vrijeme odgovora na sigurnosni incident?Obavijest o incidentu — NIS2 zahtjev
4. Radite li redovite penetracijske testove? Kada je zadnja?Aktivna procjena ranjivosti
5. Kako su vaši zaposlenici obučeni za sigurnost? Koliko često?Ljudski faktor je najveći rizik
6. Što se dogodi s našim podacima ako se ugovor prekine?Brisanje, povrat podataka, korak-po-korak
7. Kojih ima poddobavljača za kritične funkcije?Lanac odgovornosti — morate znati sve razine
8. Ima li zadovoljne zahtjeve GDPR-a i lokalne zakonske (Uredba o sukladnosti NIS2-u)?Pravni okvir — nužan za sukladnost
9. Kako se radi o ažuriranju sigurnosti i zakrpama? Koji je rok?Sprječavanje zlonamjernih softvera — proaktivna obrana
10. Hoćete li dozvoljava vanjsku sigurnosnu reviziju na zahtjev?Pravo na reviziju — eksplicitno zahtijevano NIS2-om

Za automatizirani nadzor tih čimbenika, razmotri SecurityScorecard.

Kontinuirani nadzor: Kako security ratings platforme štite vas

Upitnici su foto u trenutku — dobavljač odgovori 'da' na sve, a tri mjeseca kasnije ništa nije učinjeno. Platforme za ocjenjivanje sigurnosti rješavaju to.

SecurityScorecard, BitSight i UpGuard kontinuirano prate sigurnost dobavljača preko:

  • Skeniranja infrastrukture: Automatski pronalaze otvorene portove, zastarjele servere, zlonamjerne domene povezane s dobavljačem
  • Sigurnosnih grešaka: SSL certifikati, DNS konfiguracija, zastarjele verzije softvera — svi javno vidljivi znakovi rizika
  • Javnih izvora: Praćenje podatkovnih provjela, procurjelih kredencijala, izvještaja o ranljivostima
  • Ocjena rizika: Svaki dobavljač dobije ocjenu (A-F ili 0-100) koja se ažurira u realnom vremenu
  • Upozorenja: Ako se ocjena naglo padne, dobivate obavijest — što omogućava brz odgovor

To je pasivno upravljanje rizikom — nema potrebe čekati na odgovore od dobavljača.

Kontrolni popis implementacije NIS2 — Sigurnost dobavljača

Često postavljana pitanja o NIS2 sigurnosti dobavljača

Tehnički, NIS2 zahtijeva nove ugovore ili izmjene postojećih kako bi uključili sigurnosne klauzule. Preporuka: Počni s kritičnim dobavljačima (pristup podatcima, sustavi) — ponudi amandman. Za nove ugovore, automatski include klauzulu. Postepeni pristup je prihvatljiv ako si dokumentirao plan.

To je rizik koji mora biti eskaliran višoj upravi. Dokumentiraj odbijanje i procijeni je li taj dobavljač zamjenjiv. Ako je kritičan i nema klauzule, radi se o nekomplijantnosti NIS2-u. Razmotri podtomaćenje, migraciju ili redukciju usluga.

Ne, ali je preporučena. NIS2 samo zahtijeva da osiguraš da dobavljači prate sigurnosne standarde i da ih nadziraš. Možeš to učiniti upitnicima, revizijama, ili platformama. Platforme su učinkovitije jer su automatizirane i kontinuirane.

Člankom 21(2)(d) zahtijeva se pravo na reviziju — što znači ugovorna klauzula koja kaže 'imamo pravo zahtijevati sigurnosnu reviziju'. Ne trebam obaviti reviziju svakog dobavljača, ali trebam mogućnost. Za kritične dobavljače, redovite provjere su razumne (godišnje).

ISMS (Sustav upravljanja informacijskom sigurnosti) je preporučen jer organizira sve: politiku, rizike, dobavljače, incidente. Alati kao Reglyze imaju ugrađene module za upravljanje dobavljačima koji se direktno integriraju sa NIS2 zahtjevima. Za male tvrtke, može biti Excel + SharePoint. Ključno je dokumentiranje i redoviti pregledi.

Kreni s njezinom sigurnosti dobavljača — Danas

Ne čekaj. Ako nisi sigurnost dobavljača sustavno obradio, tvoja tvrtka nije u skladu sa NIS2 Člankom 21(2)(d). Počni s kontrolnim popisom, razgovaraj s dobavljačima i uspostavi nadzor. Imaš 30 dana da budes na dobrom putu.

Preuzmi kontrolni popis i template