HOME/SERVICES/Rizik dobavljača

PRAKSA · UPRAVLJANJE RIZICIMA DOBAVLJAČA

Upravljanje rizicima trećih strana.

Procjena dobavljača, ugovorne odredbe, kontinuirano praćenje i izlazna strategija za dobavljače koji obrađuju vaše podatke, ICT usluge ili druge ključne usluge. Pokrivamo članak 28. GDPR-a, sigurnost lanca opskrbe iz NIS2 i članke 28. do 30. DORA-e.

Zakažite pregled programa30 MIN Pogledajte opseg suradnje

UPRAVLJANJE DOBAVLJAČIMA · ZADNJIH 12 MJESECI● UŽIVO

Procijenjenih dobavljača1.184

Pregledanih DPA ugovora627

Kritičnih ICT trećih strana143

Izrađenih izlaznih strategija38

Upozorenja na koncentracijski rizik21

Provedenih revizija dobavljača29

300+ ANGAŽMANA U REGULIRANIM SEKTORIMA

ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT

BESPLATAN 30-MINUTNI RAZGOVOR

Razgovor s iskusnim savjetnikom.

Odgovor unutar jednog radnog dana. Jasni sljedeći koraci i okvirna cijena.

ODGOVOR U 1 RADNOM DANU·UGOVOR O POVJERLJIVOSTI NA ZAHTJEV·BEZ OBVEZE

OSNOVE

Obveze prema dobavljačima.

GDPR ČL. 28

Ugovori s izvršiteljima i obvezni elementi.

Voditelj obrade angažira izvršitelje koji daju dostatna jamstva. Ugovor pokriva predmet, trajanje, prirodu, svrhu, vrste podataka i upute voditelja.

DORA ČL. 28

Registar ICT trećih strana i kritičnost.

Financijski subjekti registriraju svaki ICT aranžman, izdvajaju one koji podupiru kritične funkcije i procjenjuju koncentracijski rizik.

NIS2 ČL. 21(2)(d)

Sigurnost lanca opskrbe u mjerama upravljanja rizicima.

Ključni i važni subjekti uključuju rizike lanca opskrbe, sigurnost odnosa s dobavljačima i zaštitu podataka koje s njima dijele.

GDPR KAZNE

Do 4% prometa

Neadekvatne odredbe s izvršiteljima ulaze u viši okvir kazni iz čl. 83 GDPR-a.

DORA SANKCIJE

Do 1% dnevnog prometa

Periodične kazne za propuste oko registra ICT trećih strana i koncentracijskog rizika prema provedbenim aktima.

GDJE NAJVIŠE BOLI

Glavni propisi.

PROPIS · ŠTO TRAŽI

GDPR ČL. 28Ugovor o obradi podatakaObvezne odredbe za svakog izvršitelja i podizvršitelja. Suglasnost za podugovaranje, pravo revizije, mehanizam prijenosa.

GDPR ČL. 32Sigurnost obradePrimjerene tehničke i organizacijske mjere, potvrda dobavljača, dokazi u dosjeu.

DORA ČL. 28Registar ICT trećih stranaIdentifikator, funkcija, kritičnost, lokacija, podugovaranje, izlazna strategija. Prijavljuje se nadzoru.

NIS2 ČL. 21Mjere za lanac opskrbeMjere upravljanja rizicima za sigurnost lanca opskrbe i odnose s dobavljačima.

PROPIS · ŠTO TRAŽI

DORA ČL. 30Ugovorne odredbeObvezni sadržaj ugovora za ICT usluge koje podupiru kritične funkcije, uključujući reviziju, podugovaranje i izlazne klauzule.

LKSGPažljivost u lancu opskrbeAnaliza rizika, preventivne mjere, korekcije i izvještavanje za njemačke subjekte iznad praga.

CSDDDDirektiva o održivostiEU obveza dubinske analize kroz lanac vrijednosti, fazna primjena od 2027.

SCC 2021Međunarodni prijenosiStandardne ugovorne klauzule za prijenose u treće zemlje, plus procjena učinka prijenosa po Schrems II.

MODELI SURADNJE

Modeli suradnje.

MODEL ARETAINER

Retainer za rizik dobavljača

Stalna podrška programu: održavanje registra, ulazni pregledi, praćenje, izvještavanje uprave.

→Registar i kategorizacija aktualni
→Ulazni pregledi za nove dobavljače
→Tromjesečni ciklus praćenja
→Izvještavanje uprave i odbora za rizike

Dogovorite retainer →

MODEL BPOSTAVKA

Postavljanje programa

Fiksni opseg za novi program: registar, kategorizacija, DPA-ovi, predlošci ugovora, playbook praćenja.

→Registar i kategorizacija dobavljača
→Registar po DORA čl. 28 kad se primjenjuje
→Paket DPA i ICT ugovora
→Playbook praćenja i KPI

Razgovor o postavci →

MODEL CREVIZIJA

Revizija dobavljača

Neovisna revizija pojedinog dobavljača ili portfelja u odnosu na ugovor, propis i sigurnosnu osnovu.

→Predugovorna provjera
→Postugovorna revizija
→Pregled koncentracijskog rizika
→Test izlazne strategije

Opišite reviziju →

OPSEG

Opseg usluga.

01 / 04

Ulaz i provjera

Upitnik za procjenu rizika i bodovanje
Sigurnosna i privatnosna provjera
Mapiranje podizvršitelja i podugovaratelja
Procjena učinka prijenosa za ne-EU dobavljače

02 / 04

Ugovori

Ugovor o obradi po GDPR čl. 28
Odredbe ICT ugovora po DORA čl. 30
Standardne ugovorne klauzule (2021)
Klauzule o reviziji, podugovaranju i izlazu

03 / 04

Praćenje

Tromjesečni ciklus i KPI tracker
Godišnja reatestacija i pregled SOC 2 / ISO 27001
Postupanje s incidentima dobavljača
Sankcije i screening stvarnih vlasnika

04 / 04

Kritični dobavljači i izlaz

Procjena kritičnosti po DORA
Pregled koncentracijskog rizika
Izrada i test izlazne strategije
Nadzorno izvještavanje kad se traži

U PRAKSI

Kako vodimo program.

Rizik dobavljača radi kada su ulaz, registar i praćenje jedan povezan proces. Definiramo vlasništvo, oblikujemo tijek rada, pišemo paket ugovora i vodimo mjesečni status. Registar odgovara onome što regulator traži, a paket ugovora onome što pravna služba može potpisati.

Medijan pregleda ulaza

5 dana

DORA registar iz prvog pregleda

94%

Pokrivenost DPA biblioteke

98%

Zatvoreni koncentracijski flagovi

100%

Zakažite pregled30 MIN

TVRTKA · STATUS REGISTRAQ2 2026

Aktivnih dobavljača412

Kritičnih ICT (DORA)18

Reatestacije u roku100%

Otvoreni SCC pregledi3

Koncentracijski flagovi0

Vision Compliance · vendor risk praksa

IZABRANE STUDIJE

Nedavni angažmani.

Sve studije slučaja →

VR-19OSIGURANJE

DORA registar prihvaćen u prvom nadzornom pregledu.

412

DOBAVLJAČI

KRITIČNI

Prošao

PREGLED

OPSEGIzgradnja registra, kritičnost, izlazne strategije, paket ugovora

VR-14SAAS

Mapiranje izvršitelja i podizvršitelja za 1.100 dobavljača.

1.100

DOBAVLJAČI

740

DPA

TIA

OPSEGDPA biblioteka, inventar podizvršitelja, procjena učinka prijenosa

VR-11MALOPRODAJA

LkSG program proveden kroz europsku bazu dobavljača.

T1 + T2

RAZINE

286

PROCIJENJENO

MJERE

OPSEGAnaliza rizika, kodeks dobavljača, tracker remedijacija

PROPISI U PRIMJENI

Pejzaž rizika dobavljača.

62%

europskih povreda uključuje treću stranu

143

ICT trećih strana u DORA registru tipične srednje banke

€4,6M

prosječni trošak povrede uzrokovane trećom stranom

T+15

dana za prijavu izmjene u DORA registru

TREND 01

Koncentracijski rizik u fokusu DORA-e

Nadzor upozorava na koncentraciju kod nekoliko hyperscalera i ključnih pružatelja. Izlazne strategije i zamjenjivost postaju predmet pregleda.

TREND 02

Lanac opskrbe u NIS2

Ključni i važni subjekti adresiraju rizik dobavljača kroz mjere upravljanja rizicima. Revizije sad uključuju dokaze iz lanca opskrbe.

TREND 03

Slijedi održivost

LkSG je na snazi u Njemačkoj, CSDDD ima faznu primjenu od 2027. u cijeloj EU.

ČESTA PITANJA

Česta pitanja.

01Trebamo li DORA registar trećih strana ako nismo banka?+

Da, ako ste financijski subjekt u opsegu DORA-e. To pokriva banke, platne institucije, izdavatelje e-novca, investicijska društva, društva za upravljanje, osiguranja i CASP-ove. Registar se odnosi na svaki ICT aranžman, ne samo kritične.

02Možete li voditi funkciju upravljanja rizicima dobavljača kao uslugu?+

Da, kao podršku drugoj liniji. Vodimo ulaz, održavanje registra, praćenje i izvještavanje uprave kroz mjesečni retainer. Prva linija odgovornosti ostaje na poslovnom vlasniku svakog dobavljača.

03Kako pokrivate međunarodne prijenose i Schrems II?+

Gradimo biblioteku procjena učinka prijenosa, primjenjujemo SCC 2021, dodajemo dopunske mjere kad treba i pratimo ne-EU dobavljače u registru. Reatestacija je godišnja ili ranija ako se promijeni stajalište o trećoj zemlji.

04A LkSG i CSDDD?+

Gradimo metodologiju analize rizika, kodeks dobavljača, preventivne i korektivne mjere te godišnje izvješće. Spremnost za CSDDD je dio iste radne linije gdje je subjekt u opsegu.

05Možete li revidirati jednog kritičnog dobavljača prije nadzornog pregleda?+

Da. Ciljana revizija jednog kritičnog pružatelja traje 4 do 6 tjedana. Rezultat: izvješće, popis nalaza, tracker remedijacija i sažetak za upravu.

06Što ako dobavljač odbije potpisati DPA?+

Pregovaramo. Najčešći razlog je previše obveza koje dobavljač realno ne može ispuniti. Usklađujemo DPA s realnim operativnim modelom i dokumentiramo preostali rizik u registru.

MATERIJALI