S příchodem směrnic NIS2 (Network and Information Systems Directive 2) a DORA (Digital Operational Resilience Act) se evropské podniky musí přizpůsobit novým požadavkům EU na kybernetickou bezpečnost, které deklarují za cíl posílit odolnost vůči kybernetickým hrozbám. Tyto směrnice slibují zajištění bezpečnosti nejen v rámci samotných organizací, ale také u jejich dodavatelů a subdodavatelů. Byrokratický aparát ale rovněž přináší riziko pomalé reakce na nové hrozby, které mohou časem vyplavat najevo.
Dodavatelské řetězce jsou často složité a zahrnují mnoho různých subjektů, což zvyšuje riziko kybernetických útoků. Každý článek řetězce může představovat potenciální slabinu, kterou mohou útočníci využít. Analýza rizik je proto klíčovým krokem k identifikaci a mitigaci těchto hrozeb. Organizace by měly provádět pravidelné hodnocení rizik, které zahrnuje identifikaci kritických dodavatelů, hodnocení jejich bezpečnostních opatření a posouzení potenciálních dopadů kybernetických incidentů.
Jedním z důležitých aspektů zajištění kybernetické bezpečnosti v dodavatelských řetězcích je důkladné smluvní ošetření vztahů s dodavateli. Smlouvy by měly obsahovat jasně definované požadavky na kybernetickou bezpečnost, včetně povinnosti dodavatelů dodržovat určité standardy a provádět pravidelné audity. Dále by měly zahrnovat ustanovení o odpovědnosti za případné bezpečnostní incidenty a mechanismy pro řešení sporů.
Prověřování dodavatelů je dalším důležitým krokem. Organizace by měly provádět důkladné prověrky potenciálních dodavatelů před uzavřením smlouvy. To zahrnuje hodnocení jejich bezpečnostních politik, technických opatření a schopnosti reagovat na incidenty. Pravidelné audity a monitorování dodavatelů během trvání smluvního vztahu se jeví vhodné pro zajištění kontinuálního dodržování bezpečnostních standardů.
Implementace směrnic NIS2 a DORA vyžaduje, aby organizace přijaly direktivní přístup k řízení kybernetické bezpečnosti. To zahrnuje nejen technická opatření, jako je šifrování dat a zabezpečení sítí, ale také organizační opatření, jako je školení zaměstnanců a vytváření krizových plánů. Klíčovým požadavkem je také spolupráce s dodavateli na zajištění bezpečnosti celého řetězce.
Organizace by měly investovat do technologií pro monitorování a detekci hrozeb, které jim mají pomoci rychle reagovat na potenciální útoky. Dále je důležité budovat kulturu kybernetické bezpečnosti, kde je každý zaměstnanec odpovědný za dodržování bezpečnostních politik.
