NBÚ pri uzatváraní zmlúv s tretími stranami, a to nie len na poskytovanie služieb kybernetickej bezpečnosti, vydal metodické usmernenie.
Pre poskytovateľa základných služieb – PZS – platí povinnosť dbať na zákon:
Podľa § 8 ods. 1 vyhlášky č. 362/2018 Z. z. na riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, akvizície, vývoja a údržby informačných systémov spôsobom podľa § 6.
Podľa § 8 ods. 2 vyhlášky č. 362/2018 Z. z. zmluva s treťou stranou obsahuje najmenej:
- obdobie trvania zmluvy,
- ustanovenie záväzku tretej strany dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby a vyjadrenie súhlasu s nimi,
- ustanovenie o povinnosti chrániť všetky informácie poskytnuté prevádzkovateľom základnej služby tretej strane,
- ustanovenie o povinnosti dodržiavať a prijímať bezpečnostné opatrenia treťou stranou,
- konkrétnu špecifikáciu a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana a vyjadrenie súhlasu s nimi,
- konkrétny rozsah činnosti tretej strany,
- zoznam pracovných rolí tretej strany, ktoré majú mať prístup k informáciám a údajom prevádzkovateľa základnej služby, s povinnosťou oznámiť prevádzkovateľovi základnej služby každú zmenu v personálnom obsadení; osoba zúčastnená na predmete plnenia podpisuje vyjadrenie o zachovávaní mlčanlivosti podľa § 12 ods. 1 zákona,
- ustanovenie o rozsahu, spôsobu a možnosti vykonávania kontrolných činností a auditu prevádzkovateľom základnej služby v tretej strane,
- vymedzenie podmienok a možnosti zapojenia ďalšieho dodávateľa úplne alebo čiastočne zabezpečujúceho plnenie pre prevádzkovateľa základnej služby namiesto dodávateľa,
- ustanovenia o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom bezpečnostnom incidente a o všetkých skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej bezpečnosti,
- ustanovenia o spôsobe a forme hlásenia ďalších informácií požadovaných prevádzkovateľom základnej služby na plnenie jeho povinností vyplývajúcich zo zákona a ich vymedzenie,
- ustanovenie o spôsobe a forme hlásenia všetkých informácií majúcich vplyv na zmluvu,
- ustanovenie o sankčných mechanizmoch pri porušení zmluvy,
- ustanovenia o podmienkach a spôsobe ukončenia zmluvy,
- záväzok tretej strany po ukončení zmluvného vzťahu vrátiť, previesť alebo aj zničiť všetky informácie, ku ktorým má tretia strana počas trvania zmluvného vzťahu prístup prevádzkovateľovi základnej služby,
- záväzok tretej strany po ukončení zmluvného vzťahu udeliť, poskytnúť, previesť alebo postúpiť všetky potrebné licencie, práva alebo súhlasy nevyhnutné na zabezpečenie kontinuity prevádzkovanej základnej služby na prevádzkovateľa základnej služby; tento záväzok tretej strany ostáva v platnosti aj po ukončení zmluvného vzťahu po dobu dohodnutú zmluvnými stranami, ktorá nesmie byť kratšia ako päť rokov po ukončení zmluvného vzťahu.
zdroj: www.nbu.gov.sk (novmber/2019)