NIS2 obavezuje sve tvrtke da osiguraju sigurnost svojih dobavljača kroz ugovorne odredbe i kontinuirani nadzor. Saznajte što točno morate učiniti i tko se broji kao dobavljač.
Započni sigurnost dobavljača →NIS2 Članak 21(2)(d) postavlja jasan zahtjev: sve tvrtke moraju uključiti zahtjeve za sigurnost u ugovore sa SVIM izravnim dobavljačima. Ovo nije opcija — to je obvezna klauzula.
Zahtjev se primjenjuje na subjekte od posebnog značaja (SEOD) i operatore kritične infrastrukture (OKI), ali i mnogi privatni sektor prate iste smjernice. Ugovorna odredba mora jasno definirati sigurnosne standarde koje dobavljač mora poštovati, uključujući:
Prema smjernicama ENISA-e i NCSC-a, ugovorna klausula mora biti specifična i provjeriva.
Evo što vas čini iznenađenima: dobavljač nije samo IT proizvođač. Evo što sve spada:
Ključni test: Ima li ta osoba pristup vašim sustavima, podacima ili kritičnoj infrastrukturi, čak i povremeno? Ako da, to je dobavljač.
NIS2 zahtijeva eksplicitne ugovorne termine. Evo što morate uključiti:
Preporučujemo da koristite standardni šablon razvijen s lokalnim pravnim savjetnicima za konzistentnost.
Pristup 1: Sigurnosni upitnici (DIY)
Pošalji dobavljačima detaljan upitnik s 50+ pitanja o njihovim sigurnosnim praksama. Prednosti: jeftin, prilagodljiv. Mane: dobavljači često ne odgovore točno, subjektivno je, trošak vremena za analizu.
Pristup 2: Platforme za ocjenjivanje sigurnosti (Preporučeno)
Koristi automatizirane platforme kao što su SecurityScorecard, BitSight ili UpGuard koje kontinuirano prate sigurnost dobavljača bez njihove intervencije. Te platforme:
Hibridni pristup: Koristi platformu + specifičan upitnik za kritične dobavljače.
Za ISMS upravljanje i automatizirano praćenje dobavljača, razmotre Reglyze koja ima ugrađene module za upravljanje dobavljačima.
Tjedan 1-2: Popis i provjera
Tjedan 2-3: Ugovorna klauzula
Tjedan 3-4: Procjena i nadzor
Rezultat: Dokumentirani program, pokriveni ugovori, počet nadzor.
Evo minimalnog skupa pitanja koja možeš koristiti u upitnicima ili razgovorima s dobavljačima:
| Pitanje | Zašto je važno za NIS2 |
|---|---|
| 1. Ima li certifikacija ISO 27001 ili ekvivalentnu (SOC 2 Type II)? | Dokazuje formalnu sigurnosnu praksu |
| 2. Gdje su fizički smješteni vaši serveri i podatkovni centri? | Tuđina zakonodavstvo, fizička sigurnost, sukladnost |
| 3. Koji je maksimalan vrijeme odgovora na sigurnosni incident? | Obavijest o incidentu — NIS2 zahtjev |
| 4. Radite li redovite penetracijske testove? Kada je zadnja? | Aktivna procjena ranjivosti |
| 5. Kako su vaši zaposlenici obučeni za sigurnost? Koliko često? | Ljudski faktor je najveći rizik |
| 6. Što se dogodi s našim podacima ako se ugovor prekine? | Brisanje, povrat podataka, korak-po-korak |
| 7. Kojih ima poddobavljača za kritične funkcije? | Lanac odgovornosti — morate znati sve razine |
| 8. Ima li zadovoljne zahtjeve GDPR-a i lokalne zakonske (Uredba o sukladnosti NIS2-u)? | Pravni okvir — nužan za sukladnost |
| 9. Kako se radi o ažuriranju sigurnosti i zakrpama? Koji je rok? | Sprječavanje zlonamjernih softvera — proaktivna obrana |
| 10. Hoćete li dozvoljava vanjsku sigurnosnu reviziju na zahtjev? | Pravo na reviziju — eksplicitno zahtijevano NIS2-om |
Za automatizirani nadzor tih čimbenika, razmotri SecurityScorecard.
Upitnici su foto u trenutku — dobavljač odgovori 'da' na sve, a tri mjeseca kasnije ništa nije učinjeno. Platforme za ocjenjivanje sigurnosti rješavaju to.
SecurityScorecard, BitSight i UpGuard kontinuirano prate sigurnost dobavljača preko:
To je pasivno upravljanje rizikom — nema potrebe čekati na odgovore od dobavljača.
Tehnički, NIS2 zahtijeva nove ugovore ili izmjene postojećih kako bi uključili sigurnosne klauzule. Preporuka: Počni s kritičnim dobavljačima (pristup podatcima, sustavi) — ponudi amandman. Za nove ugovore, automatski include klauzulu. Postepeni pristup je prihvatljiv ako si dokumentirao plan.
To je rizik koji mora biti eskaliran višoj upravi. Dokumentiraj odbijanje i procijeni je li taj dobavljač zamjenjiv. Ako je kritičan i nema klauzule, radi se o nekomplijantnosti NIS2-u. Razmotri podtomaćenje, migraciju ili redukciju usluga.
Ne, ali je preporučena. NIS2 samo zahtijeva da osiguraš da dobavljači prate sigurnosne standarde i da ih nadziraš. Možeš to učiniti upitnicima, revizijama, ili platformama. Platforme su učinkovitije jer su automatizirane i kontinuirane.
Člankom 21(2)(d) zahtijeva se pravo na reviziju — što znači ugovorna klauzula koja kaže 'imamo pravo zahtijevati sigurnosnu reviziju'. Ne trebam obaviti reviziju svakog dobavljača, ali trebam mogućnost. Za kritične dobavljače, redovite provjere su razumne (godišnje).
ISMS (Sustav upravljanja informacijskom sigurnosti) je preporučen jer organizira sve: politiku, rizike, dobavljače, incidente. Alati kao Reglyze imaju ugrađene module za upravljanje dobavljačima koji se direktno integriraju sa NIS2 zahtjevima. Za male tvrtke, može biti Excel + SharePoint. Ključno je dokumentiranje i redoviti pregledi.
Ne čekaj. Ako nisi sigurnost dobavljača sustavno obradio, tvoja tvrtka nije u skladu sa NIS2 Člankom 21(2)(d). Počni s kontrolnim popisom, razgovaraj s dobavljačima i uspostavi nadzor. Imaš 30 dana da budes na dobrom putu.
Preuzmi kontrolni popis i template