K předchozí kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 1: Aktiva (5/12)

Obecně

Povinnost vrcholového vedení nespočívá pouze v delegování úkolů, ale i v aktivním nastavování a dodržování bezpečnostních standardů. Proto je vhodná jasná deklarace vedení firmy o dodržování nastavených bezpečnostních pravidel. Paralelně s tím je nezbytné efektivně řídit dodavatele. Vzrůstající závislost na externích službách přináší nová rizika a pokud dodavatelé nedodržují adekvátní úroveň bezpečnosti, může to mít přímý dopad na vaši firmu. Proto je klíčové zavést jasné standardy a dohled nad jejich dodržováním. U dodavatelů toto začíná samozřejmě v zasmluvnění kontraktu.

Pro garanty

Vrcholová dokumentace

  • Zajistěte deklaraci a poučení vrcholového vedení o povinnostech a rozsahu odpovědnosti v rámci kybernetické bezpečnosti
  • Zajistěte zdroje pro zajišťování kybernetické bezpečnosti (lidské, finanční)

Řízení dodavatelů

  • Identifikujte jednotlivé dodavatele a jejich zodpovědnosti
  • Navrhněte pravidla pro výběr dodavatelů
  • Standardizujte smlouvy s dodavateli respektující bezpečnostní požadavky
  • Hodnoťte kvalitu dodavatelů a kontrolujte dodržování úrovně služeb

Bezpečnostní standard

  • Vytvořte bezpečnostní standard
  • Navrhněte plán aplikace bezpečnostního standardu

Typické nedostatky ve firmách

Deklarace bezpečnosti od vedení je bohužel často jen na papíře. Reálně jsou málokdy uvolněny potřebné zdroje a kapacity pro adekvátní zajištění bezpečnosti. Zde se bavíme především o pravidelných činnostech, které pokud se nedělají, tak bezpečnost pomalu upadá. Zásadním problémem je pak správné zasmluvnění dodavatelů. Velmi často nejsou ve smlouvách garantované časy odezvy, obnovy služby a především příslušné sankce, pokud dodavatel neplní dle smlouvy. Pravidla pro výběr dodavatelů a bezpečnostní standardy mohou na první pohled působit jako nadbytečné. Avšak často se stává, že obchodní oddělení vybere dodavatele a až v průběhu jednání o smlouvě IT oddělení zjistí, že daný dodavatel nemůže, nebo jen za vysoký příplatek, zajistit potřebnou bezpečnost a integraci s interními službami, jako jsou například identity. A toto je velká škoda a ztráta času a energie všech.

Tento článek je součástí e-knihy „NIS2 jednoduše“, kterou si celou můžete stáhnout zde.

K další kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 3: Bezpečnost lidských zdrojů (7/12)

Konzultace k NIS2 zdarma

NIS2 konzultace ZDARMA

V rámci 30minutové konzultace zdarma probereme v NIS2 to, co vás zajímá a s čím potřebujete pomoct. Neutápějte se v něčem, s čím si nevíte rady a raději nás kontaktujte.