Pokud organizace dosud oblast kyberbezpečnosti podceňovaly, nová regulace je donutí jednat. Zákon zpřísňuje požadavky na řízení dodavatelů – od prověřování IT partnerů a servisních firem až po povinné smluvní ujednání a pravidelné kontroly.
Mgr. Jiří Císek, LL.M.
Řídicí partner Advokátní kanceláře Cisek
Jaké dopady má nový zákon o kyberbezpečnosti na organizace, které jej dosud neřešily?
Nová regulace jim například zpřísňuje povinnosti v oblasti řízení dodavatelů. Musí prověřovat své IT partnery, servisní a jiné významné dodavatele a zajistit, že jejich služby splňují bezpečnostní standardy.
Pokud organizace neřídí dodavatele, otevírá dveře do svého systému.
Proč je oblast řízení dodavatelů klíčová?
Útočníci neútočí přímo na velkou firmu, ale přes její menší dodavatele. Reálné příklady známe, například útok na řetězec Target v USA začal přes dodavatele klimatizace. Pokud organizace neřídí dodavatele, otevírá dveře do svého systému. V praxi to znamená riziko úniku dat, zablokování výroby, odpovědnosti vůči zákazníkům a regulatorní sankce.
Jaké konkrétní požadavky regulace přináší?
Organizace musí umět své dodavatele rozlišit, evidovat ty významné, posoudit rizika ještě před uzavřením smlouvy a zahrnout do smluv konkrétní bezpečnostní ujednání (např. o ochraně dat, auditech či odpovědnosti za subdodavatele). Povinná je také pravidelná kontrola.
Jak se na novou regulaci připravit?
Prvním krokem většiny organizací by měla být gap analýza. Existují i služby, které kombinují právní a bezpečnostní specializaci, jako je náš produkt Verief. Ukáže, zda organizace splňuje očekávané standardy, identifikuje slabá místa a nastaví jednoduchý a jasný plán nápravy.
