Implementácia smernice NIS2 (Directive on Security of Network and Information Systems) predstavuje významný krok smerom k posilneniu kybernetickej bezpečnosti v rámci Európskej únie. Jednou z povinností, ktorú smernica zavádza pre tzv. povinné subjekty, je aj oznamovanie dodávateľov Národnému bezpečnostnému úradu (NBÚ). Tento krok má za cieľ zvýšiť transparentnosť a zabezpečiť, aby aj dodávateľské reťazce spĺňali primerané bezpečnostné štandardy. Otázka, ktorých dodávateľov je potrebné nahlásiť, si však vyžaduje detailnejšie vysvetlenie.
Kto je povinný nahlasovať?
Nahlasovanie dodávateľov sa týka organizácií, ktoré patria medzi povinné subjekty podľa NIS2. Ide o:
- Základné subjekty – napr. subjekty pôsobiace v energetike, doprave, bankovníctve, zdravotníctve, verejnej správe, vodnom hospodárstve a i.
- Dôležité subjekty – napr. IT firmy, poskytovatelia digitálnych služieb, výskumné inštitúcie a ďalšie špecializované organizácie.
Tieto subjekty musia identifikovať a NBÚ nahlásiť vybraných kritických dodávateľov, ktorí by mohli v prípade kybernetického incidentu výrazne ovplyvniť bezpečnosť alebo prevádzku základných služieb.
Ktorých dodávateľov je potrebné nahlásiť?
NIS2 neprikazuje nahlasovať všetkých dodávateľov, ale len tých, ktorí sú z pohľadu prevádzkovateľa kľúčoví pre zabezpečenie služieb a plnenie bezpečnostných požiadaviek. V praxi to znamená:
1. Dodávatelia kritických služieb
Dodávatelia, ktorých produkty alebo služby majú zásadný vplyv na bezpečnosť a kontinuitu činností subjektu. Typicky ide o:
- Dodávateľov IT infraštruktúry a kybernetickej bezpečnosti (napr. poskytovatelia firewallov, EDR, SIEM).
- Cloudové a hostingové spoločnosti.
- Poskytovateľov prevádzkových technológií v priemysle (ICS/SCADA).
- Správcov kľúčových systémov, databáz alebo aplikácií.
2. Dodávatelia s prístupom k citlivým údajom
Spoločnosti, ktoré spracúvajú alebo majú prístup k osobným, finančným alebo zdravotným údajom v mene subjektu, a teda predstavujú potenciálne riziko v prípade kompromitácie.
3. Dodávatelia služieb podpory a údržby
Zvlášť ak majú prístup k interným systémom, ako napríklad:
- Externí správcovia IT alebo outsourcingové firmy.
- Poskytovatelia technickej podpory so vzdialeným prístupom.
- Servisné firmy udržiavajúce kritickú infraštruktúru.
Ako postupovať pri nahlasovaní?
- Identifikácia kritických dodávateľov
V rámci svojho systému riadenia bezpečnosti by mal subjekt vykonať hodnotenie rizík dodávateľského reťazca a identifikovať dodávateľov s vysokým dopadom. - Získanie potrebných údajov
Od každého nahlasovaného dodávateľa bude potrebné získať základné identifikačné údaje (napr. názov, IČO, adresa, typ poskytovanej služby). - Oznámenie NBÚ
NBÚ sprístupní elektronický formulár alebo rozhranie, prostredníctvom ktorého bude možné tieto údaje zaslať. Zároveň bude stanovená lehota a pravidlá aktualizácie údajov.
NIS2 významne rozširuje zodpovednosť organizácií za bezpečnosť ich digitálnych ekosystémov. Správna identifikácia a nahlásenie kritických dodávateľov NBÚ nie je len administratívna povinnosť – ide o zásadný prvok bezpečnostnej stratégie. Odporúča sa preto pristupovať k tejto úlohe systematicky, zapojiť odborníkov na bezpečnosť a právnikov a v prípade potreby využiť externé konzultácie.
