Rizik trećih strana i dobavljača

Procjena dobavljača, DPA ugovori i kontinuirane procjene prema GDPR, NIS2 i DORA

Pregled usluge

Upravljanje rizicima trećih strana prema GDPR (čl. 28), NIS2 (sigurnost lanca opskrbe) i DORA (ICT treće strane). Procjena dobavljača, ugovori o obradi podataka i kontinuirane procjene.

Naše usluge vendor risk

Procjena dobavljača

Procjena sigurnosnih i compliance sposobnosti dobavljača, upitnici, revizije na lokaciji, pregled certifikacija i bodovanje rizika.

Ugovori o obradi podataka (DPA)

Izrada i pregled DPA ugovora s izvršiteljima obrade prema GDPR čl. 28, definiranje sigurnosnih mjera i obveza izvještavanja.

Procjena sigurnosti dobavljača

Procjena tehničkih i organizacijskih mjera dobavljača, testiranje penetracije, skeniranje ranjivosti i pregled certifikacija usklađenosti.

Kontinuirano praćenje

Periodične revizije dobavljača, praćenje incidenata, certifikacijski renewal tracking i re-assessment pri promjenama.

Upravljanje incidentima kod dobavljača

Procedure za incident kod dobavljača, komunikacijski protokoli, SLA za odgovor i koordinacija s vašim planom odgovora na incidente.

Regulatorni zahtjevi

GDPR čl. 28

Ugovor s izvršiteljem obrade

DPA, sigurnosne mjere, sub-processor odobrenje, audit prava

NIS2 Supply Chain

Sigurnost lanca opskrbe

Vendor risk assessment, sigurnosne kontrole, incident reporting

DORA ICT Third-Party

ICT treće strane za financijske institucije

Due diligence, continuous monitoring, exit strategies, regulatory register

Naš proces

Inventar dobavljača

Mapiranje svih dobavljača koji obrađuju podatke ili pružaju kritične usluge.

Klasifikacija rizika

Klasifikacija dobavljača po riziku (kritični, visoki, srednji, niski).

Procjena dobavljača

Procjena sigurnosti i compliance za visokorizične dobavljače.

Ugovorna zaštita

DPA ugovori i sigurnosni zahtjevi u ugovorima.

Kontinuirano praćenje

Kontinuirano praćenje i periodične revizije.

Često postavljana pitanja

Što je DPA ugovor i kada je potreban?

Ugovor o obradi podataka (DPA) je ugovor između voditelja i izvršitelja obrade podataka prema GDPR čl. 28. Obavezan je za sve dobavljače koji obrađuju osobne podatke u vaše ime (npr. cloud hosting, obračun plaća, CRM).

Kako procjenjujem rizik dobavljača?

Rizik ovisi o vrsti podataka koje obrađuju, kritičnosti usluge, pristupu vašim sustavima i njihovim sigurnosnim mjerama. Kritični dobavljači zahtijevaju detaljne procjene dobavljača i revizije.

Što zahtijeva DORA za ICT treće strane?

DORA (Digital Operational Resilience Act) postavlja stroge zahtjeve za financijske institucije: procjena dobavljača prije ugovora, kontinuirano praćenje, strategije izlaska, registar kritičnih ICT dobavljača i izvještavanje regulatoru.

Koliko često trebam reviziju dobavljača?

GDPR ne propisuje točne rokove, ali najbolja praksa je godišnja revizija za kritične dobavljače, svake 2-3 godine za manje kritične. DORA zahtijeva kontinuirano praćenje kritičnih ICT dobavljača.

Povezane usluge

GDPR NIS2 DORA

Upravljajte vendor rizicima sustavno

Tipični ishodi: vendor inventory, risk scoring, DPA spremni, procjena kritičnih dobavljača.

Zakažite konzultacije