HOME/SERVICES/Rizik dobavljača

PRAKSA · RIZIK DOBAVLJAČA

Upravljanje rizicima trećih strana.

Due diligence, ugovorne odredbe, stalno praćenje i izlazna strategija za dobavljače koji dotiču vaše podatke, ICT ili poslovni model. GDPR čl. 28, NIS2 sigurnost lanca opskrbe, DORA čl. 28 do 30, LkSG.

Zakažite pregled programa30 MIN Pogledajte opseg suradnje

VENDOR.DESK · 12 MJESECI● UŽIVO

Procijenjenih dobavljača1.184

Pregledanih DPA ugovora627

Kritičnih ICT trećih strana143

Izrađenih izlaznih strategija38

Upozorenja na koncentracijski rizik21

Provedenih revizija dobavljača29

POVJERENJE 300+ EU ORGANIZACIJA

ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT

BESPLATNA 30-MIN KONZULTACIJA

Razgovor s iskusnim savjetnikom.

Odgovor unutar jednog radnog dana. Jasni sljedeći koraci i okvirna cijena.

ODGOVOR U 1 RADNOM DANU·NDA NA UPIT·BEZ OBVEZA

§ 01 / OSNOVE

Obveze prema dobavljačima.

GDPR ČL. 28

Ugovori s izvršiteljima i obvezni elementi.

Voditelj obrade angažira izvršitelje koji daju dostatna jamstva. Ugovor pokriva predmet, trajanje, prirodu, svrhu, vrste podataka i upute voditelja.

DORA ČL. 28

Registar ICT trećih strana i kritičnost.

Financijski subjekti registriraju svaki ICT aranžman, izdvajaju one koji podupiru kritične funkcije i procjenjuju koncentracijski rizik.

NIS2 ČL. 21(2)(d)

Sigurnost lanca opskrbe u mjerama upravljanja rizicima.

Ključni i važni subjekti uključuju rizike lanca opskrbe, sigurnost odnosa s dobavljačima i zaštitu podataka koje s njima dijele.

GDPR KAZNE

Do 4% prometa

Neadekvatne odredbe s izvršiteljima ulaze u viši okvir kazni iz čl. 83 GDPR-a.

DORA SANKCIJE

Do 1% dnevnog prometa

Periodične kazne za propuste oko registra ICT trećih strana i koncentracijskog rizika prema provedbenim aktima.

§ 02 / GDJE NAJVIŠE BOLI

Glavni propisi.

PROPIS · ŠTO TRAŽI

GDPR ČL. 28Ugovor o obradi podatakaObvezne odredbe za svakog izvršitelja i podizvršitelja. Suglasnost za podugovaranje, pravo revizije, mehanizam prijenosa.

GDPR ČL. 32Sigurnost obradePrimjerene tehničke i organizacijske mjere, potvrda dobavljača, dokazi u dosjeu.

DORA ČL. 28Registar ICT trećih stranaIdentifikator, funkcija, kritičnost, lokacija, podugovaranje, izlazna strategija. Prijavljuje se nadzoru.

NIS2 ČL. 21Mjere za lanac opskrbeMjere upravljanja rizicima za sigurnost lanca opskrbe i odnose s dobavljačima.

PROPIS · ŠTO TRAŽI

DORA ČL. 30Ugovorne odredbeObvezni sadržaj ugovora za ICT usluge koje podupiru kritične funkcije, uključujući reviziju, podugovaranje i izlazne klauzule.

LKSGPažljivost u lancu opskrbeAnaliza rizika, preventivne mjere, korekcije i izvještavanje za njemačke subjekte iznad praga.

CSDDDDirektiva o održivostiEU obveza dubinske analize kroz lanac vrijednosti, fazna primjena od 2027.

SCC 2021Međunarodni prijenosiStandardne ugovorne klauzule za prijenose u treće zemlje, plus procjena učinka prijenosa po Schrems II.

§ 03 / MODELI SURADNJE

Modeli suradnje.

MODEL ARETAINER

Retainer za rizik dobavljača

Stalna podrška programu: održavanje registra, ulazni pregledi, praćenje, izvještavanje uprave.

→Registar i kategorizacija aktualni
→Ulazni pregledi za nove dobavljače
→Tromjesečni ciklus praćenja
→Izvještavanje uprave i odbora za rizike

Dogovorite retainer →

MODEL BPOSTAVKA

Postavljanje programa

Fiksni opseg za novi program: registar, kategorizacija, DPA-ovi, predlošci ugovora, playbook praćenja.

→Registar i kategorizacija dobavljača
→Registar po DORA čl. 28 kad se primjenjuje
→Paket DPA i ICT ugovora
→Playbook praćenja i KPI

Razgovor o postavci →

MODEL CREVIZIJA

Revizija dobavljača

Neovisna revizija pojedinog dobavljača ili portfelja u odnosu na ugovor, propis i sigurnosnu osnovu.

→Predugovorna provjera
→Postugovorna revizija
→Pregled koncentracijskog rizika
→Test izlazne strategije

Opišite reviziju →

§ 04 / OPSEG

Opseg usluga.

01 / 04

Ulaz i provjera

Upitnik za procjenu rizika i bodovanje
Sigurnosna i privatnosna provjera
Mapiranje podizvršitelja i podugovaratelja
Procjena učinka prijenosa za ne-EU dobavljače

02 / 04

Ugovori

Ugovor o obradi po GDPR čl. 28
Odredbe ICT ugovora po DORA čl. 30
Standardne ugovorne klauzule (2021)
Klauzule o reviziji, podugovaranju i izlazu

03 / 04

Praćenje

Tromjesečni ciklus i KPI tracker
Godišnja reatestacija i pregled SOC 2 / ISO 27001
Postupanje s incidentima dobavljača
Sankcije i screening stvarnih vlasnika

04 / 04

Kritični dobavljači i izlaz

Procjena kritičnosti po DORA
Pregled koncentracijskog rizika
Izrada i test izlazne strategije
Nadzorno izvještavanje kad se traži

§ 05 / U PRAKSI

Kako vodimo program.

Rizik dobavljača radi kada su ulaz, registar i praćenje jedan povezan proces. Definiramo vlasništvo, oblikujemo tijek rada, pišemo paket ugovora i vodimo mjesečni status. Registar odgovara onome što regulator traži, a paket ugovora onome što pravna služba može potpisati.

Medijan pregleda ulaza

5 dana

DORA registar iz prvog pregleda

94%

Pokrivenost DPA biblioteke

98%

Zatvoreni koncentracijski flagovi

100%

Zakažite pregled30 MIN

TVRTKA · STATUS REGISTRAQ2 2026

Aktivnih dobavljača412

Kritičnih ICT (DORA)18

Reatestacije u roku100%

Otvoreni SCC pregledi3

Koncentracijski flagovi0

Vision Compliance · vendor risk praksa

§ 06 / IZABRANE STUDIJE

Nedavni angažmani.

Sve studije slučaja →

VR-19OSIGURANJE

DORA registar prihvaćen u prvom nadzornom pregledu.

412

DOBAVLJAČI

KRITIČNI

Prošao

PREGLED

OPSEGIzgradnja registra, kritičnost, izlazne strategije, paket ugovora

VR-14SAAS

Mapiranje izvršitelja i podizvršitelja za 1.100 dobavljača.

1.100

DOBAVLJAČI

740

DPA

TIA

OPSEGDPA biblioteka, inventar podizvršitelja, procjena učinka prijenosa

VR-11MALOPRODAJA

LkSG program proveden kroz europsku bazu dobavljača.

T1 + T2

RAZINE

286

PROCIJENJENO

MJERE

OPSEGAnaliza rizika, kodeks dobavljača, tracker remedijacija

§ 07 / PEJZAŽ

Pejzaž rizika dobavljača.

62%

europskih povreda uključuje treću stranu

143

ICT trećih strana u DORA registru tipične srednje banke

€4,6M

prosječni trošak povrede uzrokovane trećom stranom

T+15

dana za prijavu izmjene u DORA registru

TREND 01

Koncentracijski rizik u fokusu DORA-e

Nadzor upozorava na koncentraciju kod nekoliko hyperscalera i ključnih pružatelja. Izlazne strategije i zamjenjivost postaju predmet pregleda.

TREND 02

Lanac opskrbe u NIS2

Ključni i važni subjekti adresiraju rizik dobavljača kroz mjere upravljanja rizicima. Revizije sad uključuju dokaze iz lanca opskrbe.

TREND 03

Slijedi održivost

LkSG je na snazi u Njemačkoj, CSDDD ima faznu primjenu od 2027. u cijeloj EU.

§ 08 / ČESTA PITANJA

Česta pitanja.

01Trebamo li DORA registar trećih strana ako nismo banka?+

Da, ako ste financijski subjekt u opsegu DORA-e. To pokriva banke, platne institucije, izdavatelje e-novca, investicijska društva, društva za upravljanje, osiguranja i CASP-ove. Registar se odnosi na svaki ICT aranžman, ne samo kritične.

02Možete li voditi funkciju upravljanja rizicima dobavljača kao uslugu?+

Da, kao podršku drugoj liniji. Vodimo ulaz, održavanje registra, praćenje i izvještavanje uprave kroz mjesečni retainer. Prva linija odgovornosti ostaje na poslovnom vlasniku svakog dobavljača.

03Kako pokrivate međunarodne prijenose i Schrems II?+

Gradimo biblioteku procjena učinka prijenosa, primjenjujemo SCC 2021, dodajemo dopunske mjere kad treba i pratimo ne-EU dobavljače u registru. Reatestacija je godišnja ili ranija ako se promijeni stajalište o trećoj zemlji.

04A LkSG i CSDDD?+

Gradimo metodologiju analize rizika, kodeks dobavljača, preventivne i korektivne mjere te godišnje izvješće. Spremnost za CSDDD je dio iste radne linije gdje je subjekt u opsegu.

05Možete li revidirati jednog kritičnog dobavljača prije nadzornog pregleda?+

Da. Ciljana revizija jednog kritičnog pružatelja traje 4 do 6 tjedana. Rezultat: izvješće, popis nalaza, tracker remedijacija i sažetak za upravu.

06Što ako dobavljač odbije potpisati DPA?+

Pregovaramo. Najčešći razlog je previše obveza koje dobavljač realno ne može ispuniti. Usklađujemo DPA s realnim operativnim modelom i dokumentiramo preostali rizik u registru.

§ 09 / MATERIJALI