Politika bezpečnosti dodávateľského reťazca

# Politika bezpečnosti dodávateľského reťazca

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Zabezpečuje, že bezpečnostné riziká plynúce z dodávateľov sú systematicky identifikované, posudzované a riadené v súlade s NIS2 čl. 21(2)(d) a ENISA IR kap. 5.

## 2. Rozsah
Aplikuje sa na všetkých dodávateľov, sub-dodávateľov a tretie strany, ktoré:
- spracovávajú, ukladajú alebo prenášajú dáta {{COMPANY_NAME}},
- majú prístup k IT infraštruktúre,
- poskytujú kritické služby (cloud, SaaS, telco, security, outsourcing).

## 3. Klasifikácia dodávateľov
| Trieda | Kritériá | Schvaľovanie |
|--------|----------|--------------|
| **Critical** | Výpadok > 4h spôsobí prerušenie business | Board / {{EXECUTIVE_BODY}} |
| **Important** | Spracovanie PII alebo dôverných dát | CISO |
| **Standard** | Ostatní | Vendor Risk Manager |

## 4. Onboarding proces
Pred podpisom zmluvy:
1. **Security questionnaire** — SOC 2 / ISO 27001 evidencia, DPA, SCC klauzuly.
2. **Risk assessment** — analýza pravdepodobných hrozieb a dopadov.
3. **Kontrola sankcií** — EU, OFAC, UN zoznamy.
4. **Financial due diligence** — credit rating, UBO transparentnosť.
5. **Právny review** — DPA podľa GDPR čl. 28, SCC pre EU↔non-EU prenosy.

## 5. Zmluvné požiadavky
Kritickí a important dodávatelia majú v zmluve:
- **Right to audit** — minimálne raz ročne, aj s prihliadnutím na regulátora.
- **Sub-processor approval** — notifikácia 30 dní vopred pre nových sub-dodávateľov.
- **Breach notification** do 24/48h podľa triedy.
- **Security requirements** — referencia na ENISA IR a naše internal security baseline.
- **Exit clause** — data export, deletion timeline, transition support.

## 6. Kontinuálne sledovanie
- **Credit rating delta** — alert pri poklese {{CREDIT_DELTA_THRESHOLD}}.
- **Sankčné zoznamy** — automatizovaný weekly check.
- **Public contracts** — monitoring na strategické zmeny.
- **Vulnerability disclosures** — sledovanie CVE pre používané produkty.
- **Vendor security ratings** — BitSight, SecurityScorecard alebo interný systém.

## 7. Register dodávateľov
Centrálny register obsahuje pre každého vendora:
- Meno, IČO/LEI, sídlo
- Trieda (Critical / Important / Standard)
- Spracovávané dáta + právny základ
- Lokalita spracovania (EU / EEA / tretia krajina)
- Dátum poslednej revízie
- Kontaktná osoba na strane dodávateľa
- Exit strategy status

## 8. Koncentračné riziko
Sledujú sa metriky:
- % závislosti na top-1 vendorovi per funkcia.
- Cluster analysis: zdieľaní sub-processori, spoločný cloud provider.
- Geografická koncentrácia.

Prah pre action: ak top-1 vendor > {{CONCENTRATION_THRESHOLD}} % kritického procesu, požaduje sa diversifikačný plán.

## 9. Exit strategia
Pre každého kritického dodávateľa dokumentovaná:
- Alternatívni vendori (minimálne 1 kandidát pre-vetted).
- Data migration plán (formát, objem, harmonogram).
- Personálne presuny (kto preberá prevádzku).
- Odhadovaný čas prechodu.

## 10. Revízia
Ročne + pri zmene triedy dodávateľa alebo incidenta na jeho strane.

## 11. Súvisiace dokumenty
- DORA Register of Information (ak spadáte pod DORA)
- Incident response policy (vendor-side incidents)
- Politika prístupových práv
- GDPR DPA templates

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________