Hlavní strana -> Zprávy
Banky a finanční organizace, Energetika a utility, IT Security, Veřejný sektor a zdravotnictví, Aktuality -> Analýzy - Včera

DORA a NIS2: Digitální odolnost dodavatelského řetězce

-PR-

Současná společnost je bezprecedentně závislá na digitálních technologiích. Tato závislost, a s ní spojená systémová propojenost mezi subjekty v kritických sektorech, tvoří nové zranitelné místo celého evropského digitálního ekosystému. Evropská unie na tuto výzvu reaguje sérií opatření, z nichž nejdůležitější jsou nařízení DORA  a směrnice NIS2. Tyto regulace nepředstavují pouhé kosmetické úpravy pravidel, ale zavádí povinnost digitální odolnosti a posouvají kybernetickou bezpečnost z IT oddělení na úroveň strategického řízení.


Certifikace k prokázání regulatorního souladu dodavatelů

V kontextu DORA a NIS2 se ukazuje, že důvěra již není založena na pouhém slibu, ale musí být objektivně prokazatelná a auditovatelná. Pro povinné subjekty, které musejí prokazovat řízení rizik spojených s dodavatelským řetězcem, a pro samotné dodavatele, kteří chtějí být partnery v regulovaných sektorech, se stávají klíčovým pomocníkem implementace vybraných mezinárodních ISO norem. Certifikace podle těchto norem představují formální, nezávisle auditovaný důkaz, že dodavatel implementoval a udržuje efektivní systémy řízení.
 

Digital Operational Resilience Act (DORA)

Nařízení DORA se zaměřuje primárně na finanční sektor (banky, pojišťovny, investiční společnosti) a jejich kritické poskytovatele ICT služeb. Stanovuje komplexní rámec pro řízení ICT rizik, hlášení incidentů, testování digitální odolnosti a, což je klíčové, řízení rizik třetích stran. DORA de facto činí finanční instituce odpovědnými za kybernetickou odolnost jejich klíčových dodavatelů, čímž vyžaduje detailní prověřování a smluvní zakotvení bezpečnostních standardů. Cílem je zamezit kaskádovému selhání v rámci finančního systému, které by mohlo vzniknout selháním jediného kritického dodavatele.

Network and Information Security Directive 2 (NIS2)

Směrnice NIS2 rozšiřuje a zpřísňuje pravidla kybernetické bezpečnosti pro mnohem širší spektrum subjektů v klíčových a důležitých sektorech, jako je energetika, zdravotnictví, doprava či digitální infrastruktura. Podstatným prvkem NIS2 je rovněž ochrana dodavatelského řetězce jako v případě nařízení DORA. Povinné subjekty musí v rámci řízení kybernetických rizik zohlednit i rizika spojená se svými dodavateli a poskytovateli služeb, a to včetně procesů týkajících se sběru, zpracování a ochrany dat.
 

Přínos pro důvěryhodnost

Zavedením těchto harmonizovaných a přísných požadavků se zvyšuje celková důvěryhodnost a odolnost nejen jednotlivých povinných subjektů, ale celého digitálního ekosystému. Dodavatelé, kteří prokážou schopnost plnit tyto nároky, se stávají spolehlivějším a méně rizikovým článkem pro své zákazníky.
Zvláště důležité pro posuzování shody s DORA a NIS2 jsou následující normy, zejména s ohledem na rostoucí využívání cloudových služeb:
  • ISO/IEC 27001 (Systém řízení bezpečnosti informací – ISMS): Tato norma je univerzálním základem pro řízení ICT rizik, který vyžadují obě regulace. Prokazuje zavedení systematických procesů pro identifikaci rizik, implementaci bezpečnostních opatření a hlášení incidentů. Pro regulované subjekty poskytuje jistotu, že dodavatel spravuje informace dle mezinárodně uznávaných standardů.
  • ISO 9001 (Systém řízení kvality – QMS): Ačkoliv se primárně zaměřuje na kvalitu, v kontextu digitální odolnosti prokazuje schopnost dodavatele udržovat provozní kontinuitu a konzistentní kvalitu služeb, což je klíčové pro Digital Operational Resilience (DORA).
  • ISO/IEC 27017 (Bezpečnost cloudových služeb): Tato norma se specificky zaměřuje na bezpečnost cloudových služeb. Prokazuje, že dodavatel efektivně řeší rizika spojená s poskytováním a používáním cloudu, což je esenciální pro ty subjekty DORA a NIS2, které využívají cloudové platformy pro kritické procesy.
  • ISO/IEC 27018 (Ochrana PII v cloudu): Norma se soustředí na ochranu osobních identifikačních údajů (PII) v cloudovém prostředí. Je kritická pro dodavatele, kteří spravují či zpracovávají data pro své zákazníky, a zajišťuje dodržování vysokých standardů ochrany dat nad rámec obecného GDPR.
 
Ne nadarmo se regulace DORA i NIS2 významně inspirovaly právě v normě ISO 27001, jejíž nová verze, na kterou musí všichni nejpozději letos přejít, svým členěním a definicí požadovaných opatření pomáhá s přípravou na tyto nové regulační rámce. Pro dodavatele představují tyto certifikace významnou konkurenční výhodu, protože zákazníkům poskytují přímý důkaz o naplňování organizačních a technických požadavků plynoucích z nových evropských regulací.

Technologická hloubka: HSM, PKI a digitální důvěra eIDAS

Vedle formálních certifikací se musí povinné subjekty při výběru dodavatelů zaměřit také na technologickou hloubku a zkušenosti s implementací základních bezpečnostních stavebních kamenů. To platí zejména pro služby, které jsou samy o sobě kritické pro právní průkaznost a integritu dat.
Důležitým vodítkem pro posuzování vhodných dodavatelů, zejména v sektorech kladoucích silný důraz na bezpečnost (finančnictví, veřejná správa, energetika), jsou jejich zkušenosti se specializovanými bezpečnostními technologiemi jako jsou např.:
  • Hardware Security Modules (HSM): Jsou nezbytné pro bezpečnou správu a ochranu kryptografických klíčů, které se používají při vytváření elektronických podpisů a pečetí, šifrování dat a autentizaci. Kompetence dodavatele v oblasti implementace a správy certifikovaných HSM modulů indikuje schopnost zajistit nejvyšší úroveň zabezpečení klíčových operací, což je požadavek implicitně obsažený v přísnějších bezpečnostních opatřeních DORA a NIS2.
  • Certifikační autority (PKI – Public Key Infrastructure): PKI tvoří technologickou páteř pro vydávání digitálních certifikátů, které slouží jako klíčový prvek pro zajištění bezpečnosti mnoha různých aspektů souvisejících s provozem informačních systémů a technologií, protože zajišťují elektronickou identitu a integritu dat. Zkušenosti s návrhem a provozem robustní PKI jsou klíčové pro implementaci základních bezpečnostních mechanismů, ale především pro poskytování služeb elektronického podpisu a pečeti dle nařízení eIDAS. Tyto služby digitální důvěry jsou dnes nezbytné pro digitální transakce a archivaci, a jejich bezpečný a prokazatelný provoz je přímo spojen s plněním legislativních povinností.
Dodavatel s prokazatelnými zkušenostmi v těchto oblastech poskytuje jistotu, že kritické digitální procesy (např. bezpečnost dat, digitální podpis smluv, dlouhodobá archivace) jsou postaveny na nejvyšších bezpečnostních standardech, čímž opět snižuje regulatorní riziko pro svého zákazníka, tedy pro vás.

Spolehněte se na prověřené partnery

Regulace DORA a NIS2 definují nové minimum pro digitální odolnost a důvěryhodnost. Pro povinné subjekty to znamená nutnost pečlivě prověřovat své dodavatele, a to nejen na základě ceny, ale především na základě prokazatelné bezpečnosti a souladu s předpisy. Certifikace ISO a technologická expertíza v oblasti kryptografie a eIDAS služeb představují nejsilnější důkaz spolehlivosti. Partnerství s dodavatelem, který sám stojí pod přísným regulatorním dohledem a splňuje standardy, je pro každý povinný subjekt nejlepší cestou k naplnění vlastní digitální odolnosti. 

SEFIRA plní požadavky NIS2 a DORA

SEFIRA je kvalifikovaný poskytovatel služeb vytvářejících důvěru, a proto musí splňovat požadavky NIS2 na úrovni vyšších povinností. Plnění požadavků je prokazováno pravidelným auditem.
SEFIRA je držitelem certifikací ISO 27001, 27017, 27018 a 9001 a bezpečnostních prověrek na úrovni Tajné a NATO Secret.