Novinky

  2. Titulní stránka
  3. Novinky
  4. Samuel Král (ROWAN LEGAL): zákon o kybernetické bezpečnosti vyžaduje exitovou strategii s dodavatelem softwaru, nestačí kontrola po incidentu
Samuel Král (ROWAN LEGAL): zákon o kybernetické bezpečnosti vyžaduje exitovou strategii s dodavatelem softwaru, nestačí kontrola po incidentu

Samuel Král (ROWAN LEGAL): zákon o kybernetické bezpečnosti vyžaduje exitovou strategii s dodavatelem softwaru, nestačí kontrola po incidentu

Novinky Date: Zobrazení: 6

Samuel Král (ROWAN LEGAL): zákon o kybernetické bezpečnosti vyžaduje exitovou strategii s dodavatelem softwaru, nestačí kontrola po incidentu

Zákon o kybernetické bezpečnosti v transpoziční verzi NIS2 přenáší na provozovatele část odpovědnosti za dodavatelský řetězec. Praktický důsledek: smlouva s rizikovým dodavatelem softwaru musí předem počítat se scénářem ukončení a s tím, jak provozovatel přejde na jiné řešení bez dlouhého výpadku služby.

Samuel Král z advokátní kanceláře ROWAN LEGAL v rozhovoru pro Lupu rozvádí, že rozhodnout, jestli organizace pod regulaci spadá, není dnes přímočaré ani pro velké firmy. Definice „regulované služby" v transpozičním zákoně kombinuje sektor (například energetika, doprava, zdravotnictví, digitální infrastruktura), velikost (počet zaměstnanců, obrat) a poskytované služby. V praxi tu vznikají hraniční případy: dodavatel účetního softwaru pro nemocnici, který sám nemocniční službu neprovozuje, ale jeho výpadek by mohl ohrozit poskytování péče; cloudový provider, který hostí službu spadající pod NIS2, ale sám se za regulovaný subjekt nepovažuje. Král doporučuje, aby si organizace zmapovala vlastní postavení nejen pro sebe, ale i pro hlavní dodavatele – ti se totiž v řetězci kvalifikují podle stejných pravidel a požadavky na ně tečou skrze smluvní povinnosti.

Druhá oblast, ke které se text vrací opakovaně, je struktura smluv s dodavateli. Tradiční české kontrakty na vývoj nebo dodávku softwaru typicky pokrývají odpovědnost za vady, SLA a duševní vlastnictví. Pod NIS2 už ale tato kostra nestačí: smlouva musí explicitně řešit oznamovací povinnost při incidentu (kdo komu nahlašuje a v jaké lhůtě), právo provozovatele na audit, povinnost dodavatele dodržet bezpečnostní standardy, které provozovatel sám musí splnit, a způsob, jakým se aktualizace bezpečnostních záplat dostane do produkce. Praktická chyba, kterou Král vidí často, je nedostatečná specifikace „security baseline" v příloze smlouvy. Když strany podepíší kontrakt s tím, že „dodavatel dodržuje obecně uznávané bezpečnostní standardy", a později se ukáže, že dodavatel myslel ISO 27001 v základní podobě, zatímco provozovatel počítal s rozšířenou implementací podle přílohy ÚZIS, vznikne spor, který se v krizi řeší pomalu.

Image

Třetí téma rozhovoru je opensource. Použití opensource knihoven není v regulovaných odvětvích zakázané, ale provozovatel musí vědět, které knihovny v jeho systému běží, kdo je udržuje, a jak rychle se k němu dostane oprava při zveřejnění zranitelnosti. ROWAN LEGAL doporučuje smluvně přenést povinnost vést a předávat SBOM (Software Bill of Materials) – tedy seznam komponent – na dodavatele. Ten tak nese odpovědnost za to, že provozovatel ví, na čem stojí. Vlastní povinnost reagovat na zranitelnost odpovědnost dodavatele neeliminuje, jen ji zasazuje do kontextu řízeného rizika.

Čtvrtá a nejvíce praktická část se týká „exitové strategie". Když dodavatel přestane dodávat (z důvodu insolvence, sankcí, ztráty oprávnění k podnikání nebo prostého ukončení podpory produktu), nesmí to znamenat, že provozovatel kritické služby zastaví. Smlouva by měla obsahovat ujednání o transition assistance (asistované předávání), o eskrowu zdrojového kódu a dokumentace, o pravidlech předávání dat (formát, ochrana, oznámení subjektům údajů) a o tom, kdo náklady migrace nese, pokud k ní dojde z viny dodavatele. Král upozorňuje, že tato ujednání jsou účinná jen tehdy, když je provozovatel umí v praxi využít: eskrow bez pravidelné aktualizace verze je vůči regulátorovi prakticky bezcenný, smlouva o předání dat bez vyzkoušeného exportu je v krizi zbytečná. Doporučuje pravidelně cvičit migrační scénář – stejně jako se cvičí incident response.

Nakonec se rozhovor dotýká postupu, kdy provozovatel zjistí, že se musí s dodavatelem rozejít. Král varuje před představou, že okamžité ukončení smlouvy je správné řešení. Naopak: ve většině případů je správnou cestou udržet smluvní vztah, dokud není zajištěn náhradní dodavatel, jen současně zostřit kontrolu (rozšířený audit, výhradní logování, geo-fencing přístupů). Vystoupit ze smlouvy „ze dne na den" je řešení pro situace, kdy dodavatel přestane existovat fakticky, ne smluvně – právní cesta zpravidla trvá měsíce a křehkou službu během této doby nelze provozovat bez náhrady.

Zdroj

Lupa.cz

Kontakt

Další články

NovinkyLada

Místopředseda Úřadu pro ochranu osobních údajů Josef Mička vystoupil ve středu 13. května v rozhlasovém pořadu Dvacet minut Radiožurnálu k debatě, která v Česku rezonuje v souvislosti s návrhy fotba
NovinkyLada

Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) uložil provozovateli taxi aplikace pokutu sto milionů eur za to, že přenášel osobní údaje subjektů z Finska a Norska příjemců
NovinkyLada

Spolkový správní soud (Bundesverwaltungsgericht, BVwG) potvrdil rozhodnutí rakouského dozorového úřadu, kterým úřad nařídil veřejnoprávní vysílací společnosti přepracovat svůj cookie banner. Soud so
  • Domů
  • O nás
  • Expertiza
  • Software
  • Novinky
  • Kontakt