Smluvní doložky pro dodavatele podle NIS 2
Článek 21 odst. 2 písm. d) NIS 2 ukládá subjektům řešit bezpečnost ve vztazích s přímými dodavateli a poskytovateli služeb. Článek 21 odst. 1 rozhoduje, jak daleko ta povinnost sahá.
Co článek 21 odst. 2 písm. d) vyžaduje
Článek 21 odst. 2 písm. d) NIS 2 uvádí bezpečnost dodavatelského řetězce jako jedno z deseti minimálních opatření řízení rizik kybernetické bezpečnosti. Směrnice je k rozsahu konkrétní: pokrývá bezpečnostní aspekty vztahu mezi subjektem a jeho přímými dodavateli nebo poskytovateli služeb. Nereguluje celý dodavatelský řetězec a nevyžaduje obecnou šablonovou doložku.
Doprovodnou doložkou je článek 21 odst. 1. Všechna opatření podle článku 21 odst. 2, včetně bezpečnosti vztahu s dodavateli, musí být vhodná a přiměřená rizikům, kterým subjekt čelí. Náklady na implementaci, velikost subjektu, pravděpodobnost incidentů a jejich závažnost vstupují do testu přiměřenosti. Stejná smluvní hloubka se neočekává od šedesátičlenné firmy na odpadové hospodářství a od cloudového poskytovatele první úrovně.
Praktická otázka pro subjekt v působnosti tedy není, které doložky zkopírovat ze šablony, ale na kterých bezpečnostních aspektech každého vztahu s dodavatelem záleží, které důkazy subjekt potřebuje k řízení zbytkového rizika a jak zaznamenat, že rizikově založená volba byla učiněna vědomě.
Článek 21 odst. 2 písm. d) NIS 2
bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb
Jedno z deseti minimálních opatření uvedených v článku 21 odst. 2. Povšimněte si záměrného omezení na přímé dodavatele a poskytovatele služeb. Směrnice doložku nerozšiřuje na subdodavatele n-té úrovně. Recitály 85 a 90 potvrzují, že posouzení je rizikově založené a zohledňuje specifické zranitelnosti každého dodavatele a celkovou kvalitu jeho postupů kybernetické bezpečnosti.
CIR 2024/2690, příloha oddíl 5
Relevantní subjekty stanoví, implementují a uplatňují politiku bezpečnosti dodavatelského řetězce, která řídí vztahy s jejich přímými dodavateli a poskytovateli služeb.
Prováděcí nařízení Komise 2024/2690 upřesňuje opatření pro dodavatelský řetězec pouze pro subjekty digitální infrastruktury (DNS, registry TLD, cloud, datová centra, CDN, řízené a řízené bezpečnostní služby, online tržiště, vyhledávače, sociální sítě, poskytovatelé služeb vytvářejících důvěru). Oddíl 5 přílohy uvádí výběrová kritéria, smluvní požadavky, monitorovací povinnosti a zacházení s ukončením. Pro ostatní sektory platí národní transpoziční právo.
§ 30 odst. 2 bod 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Německý NIS2UmsuCG transponuje článek 21 odst. 2 písm. d) jedna ku jedné do § 30 odst. 2 bod 4 BSIG. § 30 odst. 1 BSIG přenáší doložku přiměřenosti dál. Dosavadní pokyny BSI zacházejí s bezpečností vztahu s dodavateli jako s povinností politiky plus smlouvy plus monitorování, ne jako se seznamem doložek.
Kteří dodavatelé jsou v rozsahu
Článek 21 odst. 2 písm. d) cílí na přímé dodavatele a poskytovatele služeb, ne na celý dodavatelský řetězec nahoru. Od subjektu se očekává, že identifikuje, kteří dodavatelé zpracovávají, předávají nebo ukládají data, na kterých subjekt závisí, nebo jejichž přerušení služby by ovlivnilo jeho klíčovou nebo důležitou službu. Dodavatel kancelářských potřeb je mimo rozsah, cloudový hoster zákaznické databáze je v rozsahu. Výběrovým kritériem je riziko, které dodavatel přináší, ne hodnota smlouvy.
Co smluvní vrstva typicky pokrývá
Pokyny BSI a CIR oddíl 5 popisují politiku vztahu s dodavateli, která se promítá do smluvních požadavků. Mezi běžné prvky, na které se regulátoři dívají, patří odkaz na bezpečnostní minimum, povinnost hlášení incidentů sladěná s lhůtami článku 23, transparentnost ohledně podstatných subzpracovatelů, právo na audit nebo důkaz přiměřené riziku a práva na ukončení z bezpečnostních důvodů. Hloubka je kalibrována podle rizikové třídy dodavatele, ne uplatňována jednotně.
Jak subjekt dodavatele ověřuje
Směrnice je technologicky a certifikačně neutrální. Důkazem může být dotazník pro dodavatele, uznávaná certifikace jako ISO 27001 nebo SOC 2, nedávná zpráva z penetračního testu nebo smluvní auditní doložka uplatněná na vzorkovém základě. CIR 2024/2690 oddíl 5 výslovně uvádí více přijatelných forem důkazu. Subjekt rozhoduje, která forma je vhodná pro rizikovou třídu každého dodavatele, a toto rozhodnutí dokumentuje.
Pouze přímí dodavatelé, žádné automatické přenášení dolů
Článek 21 odst. 2 písm. d) jmenuje přímé dodavatele a poskytovatele služeb. Neukládá smluvní přenášení dolů na každého subdodavatele n-té úrovně. Kde je riziko subzpracovatele podstatné, subjekt ho řeší skrze přímou smlouvu, typicky vyžadováním transparentnosti ohledně kritických subzpracovatelů a práv na schválení podstatných změn. Plošná doložka o přenášení dolů není požadavkem směrnice a je obecně nevymahatelná vůči stranám bez přímé smlouvy.
Přiměřená riziku, ne pevný standard
Článek 21 odst. 1 vyžaduje, aby opatření byla vhodná a přiměřená, s ohledem na stav techniky, náklady na implementaci, velikost subjektu, expozici, pravděpodobnost incidentů a jejich závažnost. Stejná přiměřenost se uplatňuje na doložku vztahu s dodavatelem. Standardní objednávka nepotřebuje úplnou auditní doložku, pokud je riziko dodavatele nízké. Poskytovatel řízených bezpečnostních služeb si zaslouží hlubší doložku než dodavatel hardwaru. Rozhodnutí se dokumentuje, ne standardizuje.
BSI IT-Grundschutz OPS.2 a ORP.4
Bausteine minima IT-Grundschutz od BSI OPS.2 (outsourcing pro uživatele služeb) a CON.7 (outsourcing pro poskytovatele služeb) plus ORP.4 (identita a přístup) popisují proces vztahu s dodavateli kompatibilní s článkem 21 odst. 2 písm. d). Pro subjekty využívající zkratku Grundschutz podle § 44 odst. 2 BSIG je uplatnění těchto Bausteine považováno za důkaz opatření vztahu s dodavateli.
ENISA Threat Landscape for Supply Chain Attacks
Opakované zprávy ENISA o útocích na dodavatelský řetězec rámují rizikový obraz, na který směrnice reaguje. ENISA nevydává smluvní šablonu. Její práce je odkazována v recitálech směrnice o riziku dodavatelského řetězce a informuje metodiku rizik dodavatelů skupiny pro spolupráci, ale není závazným smluvním standardem.
CIR 2024/2690 příloha oddíl 5
Pro jedenáct typů subjektů digitální infrastruktury v působnosti CIR 2024/2690 stanoví příloha oddíl 5 konkrétnější specifikaci politiky dodavatelů: výběrová kritéria, smluvní požadavky, monitorování po celý životní cyklus smlouvy, podmínky ukončení. Pro všechny ostatní sektory toto zůstává užitečnou orientací, ale ne přímo závaznou; národní transpozice a pokyny úřadu jsou rozhodující.
Jediný dodatek k dodavatelské smlouvě, podepsaný všemi, uzavírá článek 21 odst. 2 písm. d).
Směrnice ukládá subjektům řešit bezpečnostní aspekty vztahu, což článek 21 odst. 1 váže na test přiměřenosti pro každého dodavatele. Jediný dodatek uplatněný jednotně odporuje přiměřenosti a vytváří buď přesmluvněné malé dodavatele, nebo podsmluvněné kritické poskytovatele. Obhajitelným artefaktem je politika rizik dodavatelů plus riziková klasifikace pro každého dodavatele, se smluvními doložkami odvozenými z této klasifikace.
Certifikace ISO 27001 na straně dodavatele nahrazuje všechna práva na audit a důkaz.
Uznávaná certifikace je přijatelným důkazem pro mnoho rizikových tříd dodavatelů, ale článek 21 odst. 2 písm. d) ISO 27001 nejmenuje a nepřenáší povinnost na certifikační orgán. Subjekt zůstává odpovědný za vztah podle § 30 BSIG. Kde je riziko dodavatele vysoké nebo rozsah certifikace vylučuje spotřebovávanou službu, zůstávají dodatečná ověřovací práva vhodná. CIR oddíl 5 výslovně uvádí více forem důkazu paralelně.
Malí dodavatelé jsou mimo rozsah povinnosti subjektu k bezpečnosti dodavatelů.
Článek 21 odst. 2 písm. d) malé dodavatele nevyjímá. Vlastní působnost dodavatele podle NIS 2 podle článku 2 je samostatná otázka. Povinností subjektu je řešit bezpečnostní aspekty svého přímého vztahu s dodavatelem bez ohledu na velikost dodavatele, kalibrovaná na riziko, které ten dodavatel přináší. Dvoučlenný zálohovací hoster zacházející s kritickými daty přitahuje více pozornosti než tisícičlenný poskytovatel cateringu.
Auditoři posuzující bezpečnost dodavatelů v subjektech NIS 2 typicky žádají tři artefakty v pořadí: politiku rizik dodavatelů, která stanoví logiku klasifikace, inventář dodavatelů s uplatněnou klasifikací a vzorek smluv z každé rizikové třídy ukazující, jak se politika odráží. Samotné smluvní doložky jsou poslední vrstvou, ne první.
Kde subjekt používá cestu Grundschutz podle § 44 odst. 2 BSIG, Bausteine OPS.2 a CON.7 už strukturují politiku rizik dodavatelů a smluvní vrstvu. Subjekty mimo Německo se spoléhají na rovnocenné pokyny národního úřadu, nebo pro subjekty digitální infrastruktury na CIR 2024/2690 příloha oddíl 5. Samotná směrnice neukládá jednotný seznam doložek.
Modul dodavatelů na platformě zachycuje artefakty, které auditor očekává: inventář dodavatelů s rizikovou klasifikací, propojenou službu nebo aktivum, dohodnutou formu důkazu pro každého dodavatele (dotazník, odkaz na certifikaci, auditní doložka, bodový důkaz) a cestu hlášení incidentů zpět do vlastního pracovního postupu hlášení subjektu podle článku 23.
Portál pro dodavatele umožňuje přímým dodavatelům odpovídat na dotazníky a nahrávat důkazy pod tokenovým přístupem, takže konverzace je zdokumentovaná na jednom místě. Platforma nezveřejňuje smluvní šablony. Zaznamenává, že opatření vztahu s dodavateli podle § 30 odst. 2 bod 4 BSIG je zavedeno a doloženo pro každého dodavatele.
- Směrnice (EU) 2022/2555 (NIS 2), článek 21 odst. 2 písm. d) a článek 21 odst. 1, EUR-Lex
- Recitály 85 a 90, směrnice (EU) 2022/2555, EUR-Lex
- Prováděcí nařízení Komise (EU) 2024/2690, příloha oddíl 5, EUR-Lex
- BSIG § 30 odst. 2 bod 4 a § 30 odst. 1, gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, moduly OPS.2 a CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA