§ 8 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení dodavatelů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 8 · IT právo a ochrana dat
Stručně: Paragraf 8 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti subjektů v oblasti řízení dodavatelů, zejména pak významných dodavatelů, s cílem zajistit kybernetickou bezpečnost.
§ 8 Řízení dodavatelů
(1) Povinná osoba
a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,
b) vede evidenci svých významných dodavatelů,
c) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene b),
d) seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,
e) řídí rizika spojená s dodavateli,
f) v souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 7 k této vyhlášce, a
g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.
(2) Povinná osoba u významných dodavatelů dále
a) v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení přiměřeně podle přílohy č. 2 k této vyhlášce,
b) v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a
d) v reakci na rizika a zjištěné nedostatky zajistí jejich řešení.
(3) Náležitosti prokazatelného informování podle odstavce 1 písm. c) jsou
a) identifikace správce nebo provozovatele,
b) identifikace informačního a komunikačního systému,
c) identifikace významného dodavatele,
d) vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem, a
e) obsah pravidel podle odstavce 1 písm. a).
(4) Povinná osoba uvedená v § 3 písm. c) až f) zákona, která je provozovatelem a byla prokazatelně informována podle odstavce 1 písm. c), hlásí kontaktní údaje formou uvedenou v § 34.
Paragraf 8 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti subjektů v oblasti řízení dodavatelů, zejména pak významných dodavatelů, s cílem zajistit kybernetickou bezpečnost.
Co to znamená v praxi
Povinná osoba musí stanovit pravidla pro své dodavatele, která zohledňují požadavky na řízení bezpečnosti informací, a s těmito pravidly dodavatele seznámit.
Je nutné vést evidenci významných dodavatelů a písemně je o této evidenci informovat.
Při spolupráci s významnými dodavateli je povinností provádět hodnocení rizik, sjednávat smluvní podmínky týkající se bezpečnostních opatření a pravidelně kontrolovat jejich plnění.
Povinná osoba musí řídit rizika spojená s dodavateli a zajistit řešení zjištěných nedostatků.
Na co si dát pozor
Informování významných dodavatelů o jejich evidenci musí být prokazatelné a písemné, s uvedením konkrétních náležitostí (identifikace správce, systému, dodavatele, vyrozumění o významnosti a obsahu pravidel).
Smlouvy s významnými dodavateli musí obsahovat relevantní oblasti uvedené v příloze č. 7 k vyhlášce.
Povinná osoba, která je provozovatelem a byla informována o své významnosti, má povinnost hlásit kontaktní údaje podle § 34.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.