GDPR zahtijeva DPA ugovore s izvršiteljima obrade. NIS2 zahtijeva sigurnost lanca opskrbe. DORA propisuje nadzor ICT dobavljača. Pomažemo hrvatskim organizacijama sustavno upravljati rizicima trećih strana prema svim propisima.

Procjena sigurnosnih mjera, usklađenosti i pouzdanosti dobavljača prije sklapanja ugovora i tijekom suradnje.
Izrada i pregled ugovora o obradi podataka s izvršiteljima obrade — sigurnosne mjere, podizvršitelji i prava revizije.
Tehničke i organizacijske mjere, certifikacije, testovi ranjivosti i bodovanje rizika za svakog dobavljača.
Procjena rizika lanca opskrbe prema NIS2 zahtjevima — sigurnosne kontrole, incidenti i kontinuitet.
Registar ICT dobavljača, izlazne strategije, kontinuirano praćenje i izvještavanje prema DORA zahtjevima.
Periodične revizije dobavljača, praćenje incidenata, obnova certifikacija i ponovna procjena kod promjena.
Vaši dobavljači su dio vašeg regulatornog obveznog okvira — propusti u nadzoru trećih strana dovode do ozbiljnih posljedica:
Voditelj obrade odgovara za radnje izvršitelja. Bez DPA ugovora i nadzora, AZOP može izreći kaznu do 10 mil. € ili 2% prometa (čl. 83(4)) — vama, ne dobavljaču.
62% povreda podataka uključuje treće strane. Incident kod dobavljača aktivira vaše obveze prijave AZOP-u u 72 sata i obavijesti pogođenim pojedincima.
NIS2 zahtijeva upravljanje sigurnošću lanca opskrbe. Neadekvatna procjena dobavljača znači neusklađenost s direktivom i potencijalne sankcije.
Kvar ili incident kod kritičnog dobavljača može zaustaviti vaše poslovanje. Bez izlaznih strategija i planova kontinuiteta, oporavak može trajati tjednima.
Tri ključna propisa postavljaju zahtjeve za upravljanje rizicima dobavljača i trećih strana u Hrvatskoj i EU.
Mapiramo sve dobavljače koji obrađuju osobne podatke, pružaju IT usluge ili imaju pristup vašim sustavima. Klasificiramo ih prema razini rizika: kritičan, visok, srednji, nizak.
Za visokorizične i kritične dobavljače provodimo detaljnu procjenu: sigurnosne mjere, certifikacije, politike zaštite podataka, planovi za incidente i financijska stabilnost.
Izrađujemo DPA ugovore prema GDPR čl. 28, definiramo sigurnosne zahtjeve u ugovorima, uspostavljamo prava revizije i procedure za incidente dobavljača.
Uspostavljamo sustav za periodične revizije dobavljača, praćenje incidenata, obnovu certifikacija i ponovnu procjenu kod značajnih promjena.

Ugovor o obradi podataka (DPA) je obvezan ugovor prema GDPR čl. 28 između voditelja i izvršitelja obrade. Potreban je za sve dobavljače koji obrađuju osobne podatke u vaše ime — cloud hosting, platne liste, CRM, email marketing, analitika i slično.
Prema GDPR-u, voditelj obrade (vaša organizacija) odgovara za radnje izvršitelja obrade. Ako dobavljač uzrokuje povredu podataka, vi ste odgovorni za prijavu AZOP-u u 72 sata i obavijest pogođenim pojedincima. Zato su DPA ugovori i nadzor ključni.
Rizik se procjenjuje prema: vrsti podataka koje obrađuju (osobni, posebne kategorije), kritičnosti usluge za vaše poslovanje, pristupu vašim sustavima, sigurnosnim mjerama koje primjenjuju i certifikacijama (ISO 27001, SOC 2). Kritični dobavljači zahtijevaju detaljnu dubinsku analizu.
NIS2 čl. 21 zahtijeva od obveznika procjenu sigurnosti lanca opskrbe, uključujući: identifikaciju kritičnih dobavljača, procjenu njihovih sigurnosnih praksi, ugovorne sigurnosne zahtjeve i koordinaciju prijave incidenata. Ovo posebno utječe na subjekte u energetici, transportu, zdravstvu i digitalnoj infrastrukturi u Hrvatskoj.
DORA postavlja stroge zahtjeve: due diligence prije sklapanja ICT ugovora, kontinuirano praćenje ICT dobavljača, registar svih ICT ugovornih odnosa za Hanfu, izlazne strategije za kritične ICT usluge i testiranje operativne otpornosti uključujući dobavljače.
Preporuka je: godišnja revizija za kritične dobavljače, svake 2 godine za visokorizične, svake 3 godine za ostale. Dodatna revizija potrebna je kod značajnih promjena — novi podizvršitelj, sigurnosni incident, promjena usluge ili isteka certifikacije.
Izlazna strategija definira kako prekinuti suradnju s dobavljačem bez gubitka podataka ili prekida usluge. DORA je zahtijeva za kritične ICT dobavljače. Uključuje: plan migracije podataka, rokove tranzicije, alternativne dobavljače i postupak povrata ili brisanja podataka.
GDPR čl. 28 zahtijeva da izvršitelj obrade dobije vaše prethodno odobrenje za angažman podizvršitelja. DPA ugovor treba definirati postupak odobravanja i obvezu obavijesti o novim podizvršiteljima. Za kritične podatke preporučujemo procjenu ključnih podizvršitelja.
Cloud dobavljači (AWS, Azure, Google Cloud) zahtijevaju posebnu pažnju: provjera lokacije podataka (EU/EEA), DPA ugovor s adekvatnim standardnim ugovornim klauzulama, provjera certifikacija (ISO 27001, SOC 2), razumijevanje modela dijeljene odgovornosti i evaluacija sub-izvršitelja obrade.
Inventar i klasifikacija dobavljača: 2-4 tjedna. Due diligence kritičnih dobavljača: 4-6 tjedana. DPA ugovori: 2-4 tjedna po grupi. Uspostava sustava kontinuiranog praćenja: 2-3 tjedna. Počinjemo odmah s kritičnim dobavljačima i DPA ugovorima.
Besplatan početni sastanak za procjenu vaših rizika trećih strana. Inventar dobavljača, DPA ugovori i procjene — odmah krećemo s radom.