Kontekst regulacyjny
Rosnąca liczba incydentów wynikających z kompromitacji dostawców oprogramowania lub usług IT skłoniła prawodawcę unijnego do wprowadzenia odrębnych wymogów dotyczących bezpieczeństwa łańcucha dostaw. Podmioty zobowiązane muszą uwzględniać ryzyko związane z dostawcami już na etapie wyboru partnerów.
Ocena dostawców
Proces oceny powinien obejmować analizę praktyk bezpieczeństwa stosowanych przez dostawcę, jego historię incydentów oraz zgodność z uznanymi standardami branżowymi. W przypadku dostawców krytycznych zaleca się przeprowadzanie okresowych audytów lub żądanie niezależnych certyfikatów.
Klauzule bezpieczeństwa w umowach
Umowy z dostawcami powinny zawierać klauzule określające minimalne wymogi bezpieczeństwa, obowiązek zgłaszania incydentów w określonym terminie oraz prawo do przeprowadzenia audytu. Brak takich zapisów utrudnia egzekwowanie odpowiedzialności w przypadku naruszenia.