Varnostno preverjanje dobaviteljev zmanjša tveganja prekinitve oskrbe

Novela Direktive za varnost omrežij in informacij širi možnost inšpekcijskega nadzora tudi na dobavitelje izvajalcev bistvenih storitev.

Podjetja, ki so odvisna od svojih oskrbnih verig, sicer izvajajo različne pristope pri ocenjevanju dobaviteljev, nekatera gredo pri tem tudi v zunanje presoje. Vendar je še razmeroma redko, da bi v okviru presoj izvajala tudi varnostno preverjanje dobaviteljev.

dr. Andrej Rakar, vodja informacijske varnosti (CISO) v podjetju Petrol d. d.

»Z varnostnim preverjanjem dobaviteljev želimo zmanjšati tveganje ranljivosti dobavne verige. Obramba pred tovrstnimi ranljivostmi je še posebej težavna, saj informacijski sistem dobaviteljev ni pod našim nadzorom. Dobra praksa je kar upoštevanje varnostnih zahtev, ki izhajajo iz standarda ISO/IEC 27001,« je povedal dr. Andrej Rakar, vodja informacijske varnosti (CISO) v podjetju Petrol d. d.

Kot meni Rakar, je varnostne zahteve treba opredeliti za vse tiste dobavitelje, ki lahko s svojo opremo, vzdrževanjem ali razvojem rešitev kakorkoli vplivajo na varnost informacijskega sistema. Kakršen koli varnostni incident pri njih namreč lahko zaradi povezanih sistemov predstavlja resno varnostno grožnjo tudi za naročnike.

V Petrolu so v okviru varnostnega preverjanja dobaviteljev določili podrobne varnostne zahteve, od tehničnih in pravnih do organizacijskih ukrepov, kar od njih zahtevajo tako poslovni standardi kot tudi zakonodaja. Varnostni vidik tako vgrajujejo tudi v pogodbe. »Z novimi dobavitelji nimamo težav, doseči dogovor z nekaterimi obstoječimi dobavitelji pa predstavlja izziv,« je izpostavil Rakar.

NIS-2 širi krog zavezancev

Podjetjem, še posebej izvajalcem bistvenih storitev, bo v prihodnje sicer enostavneje obvladovati tveganja ranljivosti dobavne verige, predvsem na račun novele Direktive za varnost omrežij in informacij (NIS – Network and Information Security). »Direktiva NIS-2 širi krog zavezancev, s tem pa prinaša bistveno več odgovornosti dobaviteljev glede izpolnjevanja varnostnih zahtev,« je pojasnil Rakar.

Izvajalci bistvenih storitev so po Zakonu o informacijski varnosti (ZinfV) namreč že zavezani izvajanju dolžnega nadzorstva svojih dobaviteljev, kar pa je možno le ob soglasju dobaviteljev. Novela direktive NIS, ki naj bi bila sprejeta še letos, bo omogočala direktni inšpekcijski nadzor pri dobaviteljih in s tem olajšala upravljanje tveganj trenutnim zavezancem, ki morajo sami zagotavljati in odgovarjati za dolžno nadzorstvo.