Dodavatel je napaden. Co NIS 2 vyžaduje od subjektu?
Článek 21(2)(d) NIS 2 klade zabezpečení dodavatelského řetězce na subjekt. Článek 23 upravuje hlášení incidentů. Oba platí, když zasažený dodavatel vystaví riziku vlastní služby subjektu.
Co tato stránka pokrývá
Článek 21(2)(d) NIS 2 vyžaduje, aby subjekty přijaly vhodná a přiměřená opatření k řešení rizik zabezpečení dodavatelského řetězce pro své vlastní sítě a informační systémy. Povinnost je na subjektu, ne na dodavateli. Směrnice neupravuje dodavatele, kteří jsou sami mimo působnost; upravuje, jak je subjekt v působnosti řídí.
Když je napaden přímý dodavatel, vyvstávají dvě samostatné otázky. Za prvé, zda byla zasažena vlastní dodávka služeb subjektu, což může spustit hlášení incidentu podle článku 23 na úrovni subjektu. Za druhé, zda funguje smluvní oznamovací řetězec podle článku 21(2)(d), tedy aby se subjekt o napadení dozvěděl v dohodnutém čase a dohodnutým kanálem.
Napadení u zasaženého dodavatele není samo o sobě ohlašovatelným incidentem pro subjekt. Stává se jím, když napadení způsobí významný incident u subjektu ve smyslu článku 23(3) NIS 2.
Článek 21(2)(d) NIS 2
zabezpečení dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb.
Článek se zabývá vztahem k přímým dodavatelům, ne dodavatelem samotným. Subjekt zůstává odpovědný za řízení tohoto vztahu, včetně incidentů, které se z něj šíří.
Recitál 90 NIS 2
subjekty by měly posuzovat a zohledňovat celkovou kvalitu a odolnost produktů a služeb, opatření řízení rizik kybernetické bezpečnosti v nich obsažená a postupy kybernetické bezpečnosti jejich dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
Recitál 90 vysvětluje politickou logiku za článkem 21(2)(d). Rámuje zabezpečení dodavatelského řetězce jako průběžné posuzování stavu dodavatele, ne jednorázovou vstupní kontrolu.
Článek 23(3) NIS 2
incident se považuje za významný, pokud: (a) způsobil nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztrátu pro dotčený subjekt; (b) zasáhl nebo je schopen zasáhnout jiné fyzické či právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou škodu.
Článek 23(3) definuje práh významnosti na úrovni subjektu. Incident u dodavatele se posuzuje touto optikou, jakmile dosáhne vlastních služeb subjektu.
Dozvědět se o napadení včas
Článek 21(2)(d) se operacionalizuje do smluvní doložky. Zasažený dodavatel musí subjekt vyrozumět v určeném čase a určeným kanálem. Bez této doložky se subjekt dozví z tiskových zpráv, což je pro lhůtu podle článku 23 příliš pozdě.
Posoudit vlastní expozici subjektu
Otázkou není, zda má dodavatel potíže. Otázkou je, zda jsou zasaženy vlastní sítě a informační systémy subjektu, nebo služby, které poskytuje. To je faktické cvičení: která data, které rozhraní, která závislost, který záložní mechanismus.
Rozhodnout o vlastním hlášení subjektu
Pokud vlastní služby subjektu překročí práh článku 23(3), subjekt podá včasné varování do 24 hodin, hlášení incidentu do 72 hodin a závěrečnou zprávu do jednoho měsíce. Hlášení podává subjekt za subjekt, i když prvotní příčina leží u dodavatele.
Povinnost je na subjektu
Článek 21 vyjmenovává opatření, která musí subjekt přijmout. Neupravuje dodavatele. Pokud je zasažený dodavatel sám v působnosti NIS 2, má vlastní povinnosti. Tyto povinnosti nenahrazují povinnosti subjektu; běží souběžně.
Smlouva před krizí
Recitál 90 očekává, že se dodavatelský vztah posoudí dříve, než dojde k incidentu. Oznamovací řetězec, povinnost součinnosti, právo obdržet důkazy: ty žijí ve smlouvě. Po napadení je špatný okamžik je sjednávat.
§30 + §32 BSIG
§30 BSIG přenáší povinnost řízení rizik dodavatelského řetězce do německého práva. §32 BSIG přenáší strukturu hlášení 24h / 72h / jeden měsíc. Subjekt hlásí prostřednictvím BSI Meldeportal, bez ohledu na to, kde k původnímu napadení došlo.
ENISA Threat Landscape for Supply Chain
ENISA každoročně zveřejňuje materiály o vzorcích útoků na dodavatelský řetězec a o oznamovací praxi. Je to referenční materiál pro metodiku rizik subjektu podle článku 21(2)(d), ne samostatná povinnost.
Pokyny sektorového CSIRT
Pro subjekty digitální infrastruktury upřesňuje prováděcí nařízení Komise 2024/2690 požadavky na dodavatelský řetězec na další úrovni detailu. Ostatní sektory následují článek 21(2)(d) přímo, zpřesněný národními pokyny a sektorovými CSIRT.
"Je to problém dodavatele."
Článek 21(2)(d) klade povinnost dodavatelského řetězce na subjekt. Dodavatel může, ale nemusí mít vlastní povinnosti podle NIS 2 podle toho, zda je v působnosti. Povinnost subjektu existuje tak jako tak.
"Dodavatel hlásí, takže subjekt nemusí."
Dodavatel v působnosti NIS 2 hlásí svůj vlastní významný incident. Toto hlášení nenaplňuje článek 23 za subjekt. Pokud vlastní služby subjektu dosáhnou prahu článku 23(3), subjekt podá hlášení zvlášť na úrovni subjektu.
"IT sleduje dodavatele, vedení není třeba zapojovat."
Článek 20 NIS 2 vyžaduje, aby řídicí orgán schválil opatření řízení rizik kybernetické bezpečnosti a dohlížel na jejich zavedení. Monitorování dodavatelského řetězce je jedním z těchto opatření. Tichý IT proces bez schválení řídicím orgánem článek 20 nenaplňuje.
Tou těžkou částí je málokdy hlášení. Tou těžkou částí je posouzení závislosti pod časovým tlakem. Pokud subjekt už neví, který dodavatel se dotýká které služby, kterých dat a přes které rozhraní, první hodiny po napadení dodavatele se stráví rekonstrukcí této mapy místo jednáním podle ní.
Inventář aktiv a dodavatelů, který u každého dodavatele uvádí zasaženou službu, kategorii dat a smluvní oznamovací kanál, promění napadení dodavatele z mimořádné události v rutinu. Směrnice nepředepisuje formát tohoto inventáře. Vyžaduje však, aby existoval ve formě, kterou subjekt může skutečně použít.
Platforma vede evidenci dodavatelů propojenou se službami subjektu a smluvní oznamovací pole u každého dodavatele. Když je napadení dodavatele zaznamenáno, zasažené služby se okamžitě objeví a časovač hlášení podle článku 23 může začít na čisté mapě závislostí.
Schválení přístupu k rizikům dodavatelského řetězce řídicím orgánem se zachycuje jako jednorázové schválení s verzovanou auditní stopou. Tatáž stopa zaznamenává každé napadení dodavatele a rozhodnutí o významnosti podle článku 23(3), které subjekt učinil, takže posouzení lze později přezkoumat.
- Směrnice (EU) 2022/2555 (NIS 2), článek 20, článek 21(2)(d), článek 23, recitál 90. EUR-Lex.
- Prováděcí nařízení Komise (EU) 2024/2690, požadavky na dodavatelský řetězec pro subjekty digitální infrastruktury.
- BSIG (Německo), §30 (opatření řízení rizik), §32 (hlášení incidentů).
- ENISA Threat Landscape for Supply Chain Attacks, roční vydání.