Ryzyko

Zarządzanie ryzykiem łańcucha dostaw

Kontekst regulacyjny

Rosnąca liczba incydentów wynikających z kompromitacji dostawców oprogramowania lub usług IT skłoniła prawodawcę unijnego do wprowadzenia odrębnych wymogów dotyczących bezpieczeństwa łańcucha dostaw. Podmioty zobowiązane muszą uwzględniać ryzyko związane z dostawcami już na etapie wyboru partnerów.

Ocena dostawców

Proces oceny powinien obejmować analizę praktyk bezpieczeństwa stosowanych przez dostawcę, jego historię incydentów oraz zgodność z uznanymi standardami branżowymi. W przypadku dostawców krytycznych zaleca się przeprowadzanie okresowych audytów lub żądanie niezależnych certyfikatów.

Klauzule bezpieczeństwa w umowach

Umowy z dostawcami powinny zawierać klauzule określające minimalne wymogi bezpieczeństwa, obowiązek zgłaszania incydentów w określonym terminie oraz prawo do przeprowadzenia audytu. Brak takich zapisów utrudnia egzekwowanie odpowiedzialności w przypadku naruszenia.