Upravljanje rizicima dobavljača i trećih strana
GDPR zahtijeva DPA ugovore s izvršiteljima obrade. NIS2 zahtijeva sigurnost lanca opskrbe. DORA propisuje nadzor ICT dobavljača. Pomažemo hrvatskim organizacijama sustavno upravljati rizicima trećih strana prema svim propisima.
Naše usluge upravljanja rizicima dobavljača
Due diligence dobavljača
Procjena sigurnosnih mjera, usklađenosti i pouzdanosti dobavljača prije sklapanja ugovora i tijekom suradnje.
DPA ugovori (GDPR čl. 28)
Izrada i pregled ugovora o obradi podataka s izvršiteljima obrade — sigurnosne mjere, podizvršitelji i prava revizije.
Procjena sigurnosti dobavljača
Tehničke i organizacijske mjere, certifikacije, testovi ranjivosti i bodovanje rizika za svakog dobavljača.
NIS2 sigurnost lanca opskrbe
Procjena rizika lanca opskrbe prema NIS2 zahtjevima — sigurnosne kontrole, incidenti i kontinuitet.
DORA nadzor ICT dobavljača
Registar ICT dobavljača, izlazne strategije, kontinuirano praćenje i izvještavanje prema DORA zahtjevima.
Kontinuirano praćenje i revizije
Periodične revizije dobavljača, praćenje incidenata, obnova certifikacija i ponovna procjena kod promjena.
Što se događa bez upravljanja rizicima dobavljača?
Vaši dobavljači su dio vašeg regulatornog obveznog okvira — propusti u nadzoru trećih strana dovode do ozbiljnih posljedica:
GDPR kazne za propuste dobavljača
Voditelj obrade odgovara za radnje izvršitelja. Bez DPA ugovora i nadzora, AZOP može izreći kaznu do 10 mil. € ili 2% prometa (čl. 83(4)) — vama, ne dobavljaču.
Povrede putem trećih strana
62% povreda podataka uključuje treće strane. Incident kod dobavljača aktivira vaše obveze prijave AZOP-u u 72 sata i obavijesti pogođenim pojedincima.
NIS2 odgovornost za lanac opskrbe
NIS2 zahtijeva upravljanje sigurnošću lanca opskrbe. Neadekvatna procjena dobavljača znači neusklađenost s direktivom i potencijalne sankcije.
Operativni rizik od prekida
Kvar ili incident kod kritičnog dobavljača može zaustaviti vaše poslovanje. Bez izlaznih strategija i planova kontinuiteta, oporavak može trajati tjednima.
Regulatorni zahtjevi za upravljanje trećim stranama
Tri ključna propisa postavljaju zahtjeve za upravljanje rizicima dobavljača i trećih strana u Hrvatskoj i EU.
GDPR — izvršitelji obrade
- DPA ugovor prema čl. 28 s definiranim sigurnosnim mjerama
- Odobrenje za angažman podizvršitelja obrade
- Pravo revizije izvršitelja obrade
- Obveza obavijesti o povredi podataka bez odgode
NIS2 — lanac opskrbe
- Procjena rizika dobavljača i lanca opskrbe
- Sigurnosni zahtjevi u ugovorima s dobavljačima
- Praćenje sigurnosnih praksi ključnih dobavljača
- Koordinacija prijave incidenata s dobavljačima
DORA — ICT treće strane
- Due diligence prije sklapanja ICT ugovora
- Registar svih ICT dobavljača za regulatora
- Izlazne strategije za kritične ICT usluge
- Kontinuirano praćenje i testiranje ICT dobavljača
Kako provodimo upravljanje rizicima dobavljača
Inventar i klasifikacija dobavljača
Mapiramo sve dobavljače koji obrađuju osobne podatke, pružaju IT usluge ili imaju pristup vašim sustavima. Klasificiramo ih prema razini rizika: kritičan, visok, srednji, nizak.
Due diligence i procjena sigurnosti
Za visokorizične i kritične dobavljače provodimo detaljnu procjenu: sigurnosne mjere, certifikacije, politike zaštite podataka, planovi za incidente i financijska stabilnost.
DPA ugovori i ugovorna zaštita
Izrađujemo DPA ugovore prema GDPR čl. 28, definiramo sigurnosne zahtjeve u ugovorima, uspostavljamo prava revizije i procedure za incidente dobavljača.
Kontinuirano praćenje
Uspostavljamo sustav za periodične revizije dobavljača, praćenje incidenata, obnovu certifikacija i ponovnu procjenu kod značajnih promjena.
Često postavljana pitanja o upravljanju rizicima dobavljača
Ugovor o obradi podataka (DPA) je obvezan ugovor prema GDPR čl. 28 između voditelja i izvršitelja obrade. Potreban je za sve dobavljače koji obrađuju osobne podatke u vaše ime — cloud hosting, platne liste, CRM, email marketing, analitika i slično.
Prema GDPR-u, voditelj obrade (vaša organizacija) odgovara za radnje izvršitelja obrade. Ako dobavljač uzrokuje povredu podataka, vi ste odgovorni za prijavu AZOP-u u 72 sata i obavijest pogođenim pojedincima. Zato su DPA ugovori i nadzor ključni.
Rizik se procjenjuje prema: vrsti podataka koje obrađuju (osobni, posebne kategorije), kritičnosti usluge za vaše poslovanje, pristupu vašim sustavima, sigurnosnim mjerama koje primjenjuju i certifikacijama (ISO 27001, SOC 2). Kritični dobavljači zahtijevaju detaljnu dubinsku analizu.
NIS2 čl. 21 zahtijeva od obveznika procjenu sigurnosti lanca opskrbe, uključujući: identifikaciju kritičnih dobavljača, procjenu njihovih sigurnosnih praksi, ugovorne sigurnosne zahtjeve i koordinaciju prijave incidenata. Ovo posebno utječe na subjekte u energetici, transportu, zdravstvu i digitalnoj infrastrukturi u Hrvatskoj.
DORA postavlja stroge zahtjeve: due diligence prije sklapanja ICT ugovora, kontinuirano praćenje ICT dobavljača, registar svih ICT ugovornih odnosa za Hanfu, izlazne strategije za kritične ICT usluge i testiranje operativne otpornosti uključujući dobavljače.
Preporuka je: godišnja revizija za kritične dobavljače, svake 2 godine za visokorizične, svake 3 godine za ostale. Dodatna revizija potrebna je kod značajnih promjena — novi podizvršitelj, sigurnosni incident, promjena usluge ili isteka certifikacije.
Izlazna strategija definira kako prekinuti suradnju s dobavljačem bez gubitka podataka ili prekida usluge. DORA je zahtijeva za kritične ICT dobavljače. Uključuje: plan migracije podataka, rokove tranzicije, alternativne dobavljače i postupak povrata ili brisanja podataka.
GDPR čl. 28 zahtijeva da izvršitelj obrade dobije vaše prethodno odobrenje za angažman podizvršitelja. DPA ugovor treba definirati postupak odobravanja i obvezu obavijesti o novim podizvršiteljima. Za kritične podatke preporučujemo procjenu ključnih podizvršitelja.
Cloud dobavljači (AWS, Azure, Google Cloud) zahtijevaju posebnu pažnju: provjera lokacije podataka (EU/EEA), DPA ugovor s adekvatnim standardnim ugovornim klauzulama, provjera certifikacija (ISO 27001, SOC 2), razumijevanje modela dijeljene odgovornosti i evaluacija sub-izvršitelja obrade.
Inventar i klasifikacija dobavljača: 2-4 tjedna. Due diligence kritičnih dobavljača: 4-6 tjedana. DPA ugovori: 2-4 tjedna po grupi. Uspostava sustava kontinuiranog praćenja: 2-3 tjedna. Počinjemo odmah s kritičnim dobavljačima i DPA ugovorima.
Saznajte više o upravljanju rizicima dobavljača
Industrije u kojima djelujemo
Upravljajte rizicima dobavljača sustavno
Besplatan početni sastanak za procjenu vaših rizika trećih strana. Inventar dobavljača, DPA ugovori i procjene — odmah krećemo s radom.