Pilot previewMáte záujem?
NISMap
Všetky šablóny
DodávateliaNIS2 Art. 21(2)(d) + ENISA Supply Chain Security

Supply chain security questionnaire — dotazník pre dodávateľa

Procurement / CISO / DPO · 229 riadkov · 99 placeholders

Stiahnuť markdownSpustiť NIS2 scan
Placeholders na vyplnenie pred finálnou schvalbou:
{{VENDOR_NAME}}{{VENDOR_REG_ID}}{{VENDOR_HQ}}{{VENDOR_SALES_CONTACT}}{{VENDOR_SECURITY_CONTACT}}{{VENDOR_DPO}}{{SERVICE_DESCRIPTION}}{{VENDOR_TIER}}{{DATA_ACCESS}}{{PROCESSES_PII}}{{OTHER_CERTS}}{{CERT_EXPIRY}}{{LAST_PENTEST}}{{PENTEST_VENDOR}}{{LAST_INTERNAL_AUDIT}}{{HAS_ISMS}}{{SECURITY_LEADER}}{{SECURITY_REPORTING_LINE}}{{SECURITY_HEADCOUNT}}{{TRAINING_FREQ}}{{PHISHING_SIM_FREQ}}{{SECDEV_TRAINING}}{{BACKGROUND_CHECKS}}{{EXIT_NDA}}{{MFA_STAFF}}{{MFA_PRIV}}{{FIDO2}}{{SSO}}{{ENCRYPTION_AT_REST}}{{TLS_MIN}}{{KMS}}{{BYOK}}{{ZERO_TRUST}}{{SEGMENTATION}}{{WAF}}{{DDOS_PROTECTION}}{{PATCH_FREQ}}{{CRITICAL_CVE_SLA}}{{HIGH_CVE_SLA}}{{SCA_TOOLS}}{{SAST}}{{DAST}}{{CODE_REVIEW}}{{SECRETS_SCANNING}}{{SBOM}}{{SOC}}{{MONITORING_247}}{{EDR_VENDOR}}{{MTTD}}{{HAS_IR_PLAN}}{{IR_EXERCISE_FREQ}}{{IR_SLA}}{{NOTIFICATION_METHOD}}{{RCA_COMMITMENT}}{{FORENSIC_COOPERATION}}{{RTO}}{{RPO}}{{GEO_REDUNDANCY}}{{DR_TEST_FREQ}}{{BACKUP_RETENTION}}{{BACKUP_RESTORE_TEST_FREQ}}{{DPA_SIGNED}}{{SUBPROCESSORS_LIST}}{{SUBPROCESSOR_NOTIFICATION}}{{INTERNATIONAL_TRANSFER}}{{TRANSFER_MECHANISM}}{{RETENTION_POLICY}}{{DELETE_EXPORT}}{{DSAR_SLA}}{{FOURTH_PARTY_VISIBILITY}}{{VENDOR_DD_PROCESS}}{{CLOUD_PROVIDER}}{{DATA_STORAGE_LOCATION}}{{NIS2_APPLICABLE}}{{NIS2_REGULATOR}}{{NIS2_REGISTRATION_DATE}}{{RM_METHODOLOGY}}{{INSURANCE_COVERAGE}}{{VENDOR_SIGNATORY_NAME}}{{DATE}}{{SIGNATURE}}{{SCORE_B}}{{COMMENT_B}}{{SCORE_C}}{{COMMENT_C}}{{SCORE_D}}{{COMMENT_D}}{{SCORE_E}}{{COMMENT_E}}{{SCORE_F}}{{COMMENT_F}}{{SCORE_G}}{{COMMENT_G}}{{SCORE_H}}{{COMMENT_H}}{{TOTAL_SCORE}}{{REMEDIATION_DEADLINE}}{{CONDITIONS}}{{REVALIDATION_FREQ}}
PreviewStiahnuť markdown

# Supply Chain Security Questionnaire

**Dotazník pre posúdenie bezpečnostnej úrovne dodávateľa podľa NIS2 čl. 21 ods. 2 písm. d.**

_Vyplní dodávateľ. Odpovede sa archivujú minimálne 3 roky a reviduje sa minimálne raz ročne alebo pri zmene kategórie dodávateľa._

---

## A. Identifikácia dodávateľa

| Pole | Hodnota |
|------|---------|
| **Obchodné meno** | {{VENDOR_NAME}} |
| **IČO / Reg. číslo** | {{VENDOR_REG_ID}} |
| **Sídlo** | {{VENDOR_HQ}} |
| **Kontakt (obchod)** | {{VENDOR_SALES_CONTACT}} |
| **Kontakt (bezpečnosť / CISO)** | {{VENDOR_SECURITY_CONTACT}} |
| **DPO (ak aplikovateľné)** | {{VENDOR_DPO}} |
| **Dodávaná služba / produkt** | {{SERVICE_DESCRIPTION}} |
| **Kategória (podľa nášho registra)** | {{VENDOR_TIER}} (tier 1 / 2 / 3) |
| **Prístup k našim dátam?** | {{DATA_ACCESS}} (áno / nie — aké) |
| **Spracováva naše osobné údaje?** | {{PROCESSES_PII}} (áno / nie) |

---

## B. Certifikácie & audity

**B1. Aké bezpečnostné certifikácie máte aktuálne platné?**
- [ ] ISO/IEC 27001
- [ ] ISO/IEC 27701 (PII)
- [ ] ISO/IEC 27017 (cloud)
- [ ] ISO/IEC 27018 (PII v cloude)
- [ ] SOC 2 Type II
- [ ] TISAX (automotive)
- [ ] PCI-DSS (ak spracúvate card data)
- [ ] HIPAA (ak health data)
- [ ] Iné: {{OTHER_CERTS}}

**Platnosť do:** {{CERT_EXPIRY}}
**Attach:** kópia certifikátu + Statement of Applicability (SoA)

**B2. Kedy bol posledný nezávislý pentest / red team?**
{{LAST_PENTEST}}
**Kto ho vykonal:** {{PENTEST_VENDOR}}
**Attach:** executive summary (opravené kritické findings)

**B3. Kedy bola posledná interná bezpečnostná kontrola / audit?**
{{LAST_INTERNAL_AUDIT}}

---

## C. Organizačná bezpečnosť

**C1. Máte formálny ISMS?** {{HAS_ISMS}}

**C2. Kto je zodpovedný za bezpečnosť v spoločnosti?** {{SECURITY_LEADER}}
- Reportuje komu? {{SECURITY_REPORTING_LINE}}

**C3. Počet zamestnancov s bezpečnostnou špecializáciou:** {{SECURITY_HEADCOUNT}}

**C4. Školenia**
- Frekvencia všeobecných bezpečnostných školení: {{TRAINING_FREQ}}
- Phishing simulácie: {{PHISHING_SIM_FREQ}}
- Špecifické školenia pre developerov (secure coding): {{SECDEV_TRAINING}}

**C5. Background checks nových zamestnancov?** {{BACKGROUND_CHECKS}}

**C6. NDA pri ukončení pracovného pomeru?** {{EXIT_NDA}}

---

## D. Technická bezpečnosť

### D1. Autentifikácia
- MFA povinné pre všetkých zamestnancov? {{MFA_STAFF}}
- MFA povinné pre privileged access? {{MFA_PRIV}}
- Podpora FIDO2 / WebAuthn? {{FIDO2}}
- SSO integrácia (SAML / OIDC)? {{SSO}}

### D2. Šifrovanie
- Dáta v rest (štandard): {{ENCRYPTION_AT_REST}}
- Dáta v tranzite (TLS verzia minimum): {{TLS_MIN}}
- Key management system: {{KMS}}
- BYOK (bring-your-own-key) podpora? {{BYOK}}

### D3. Segmentácia a network security
- Zero trust architektúra? {{ZERO_TRUST}}
- Network segmentation (VLAN / microsegmentation): {{SEGMENTATION}}
- Web Application Firewall? {{WAF}}
- DDoS protection: {{DDOS_PROTECTION}}

### D4. Vulnerability management
- Frekvencia patchingu: {{PATCH_FREQ}}
- SLA na critical CVE (CVSS 9+): {{CRITICAL_CVE_SLA}}
- SLA na high CVE (CVSS 7-8.9): {{HIGH_CVE_SLA}}
- Automatizovaný dependency scan (SCA): {{SCA_TOOLS}}

### D5. Secure development (ak je to SW dodávateľ)
- SAST (static analysis) tool: {{SAST}}
- DAST (dynamic analysis) tool: {{DAST}}
- Code review (2-person): {{CODE_REVIEW}}
- Secrets scanning v repo: {{SECRETS_SCANNING}}
- SBOM generovanie: {{SBOM}}

### D6. Monitoring & detection
- SIEM/SOC (interný / MSSP): {{SOC}}
- 24/7 monitoring? {{MONITORING_247}}
- EDR/XDR nasadený: {{EDR_VENDOR}}
- Mean time to detect (MTTD): {{MTTD}}

---

## E. Incident response

**E1. Máte zdokumentovaný IR plán?** {{HAS_IR_PLAN}}
**E2. Frekvencia IR cvičení:** {{IR_EXERCISE_FREQ}}
**E3. Záväzok notifikácie pri incidente, ktorý nás môže ovplyvniť:**
- [ ] Bez zbytočného odkladu (a najneskôr do 24 hodín)
- [ ] Do 48 hodín
- [ ] Do 72 hodín
- [ ] Iný SLA: {{IR_SLA}}

**E4. Kto nás notifikuje a akým kanálom?** {{NOTIFICATION_METHOD}}

**E5. Po incidente poskytnete RCA dokument?** {{RCA_COMMITMENT}}

**E6. Spolupráca pri forenznom vyšetrovaní?** {{FORENSIC_COOPERATION}}

---

## F. Business continuity & disaster recovery

- **F1.** RTO pre našu službu: {{RTO}}
- **F2.** RPO pre naše dáta: {{RPO}}
- **F3.** Geografická redundancia: {{GEO_REDUNDANCY}}
- **F4.** Frekvencia DR testov: {{DR_TEST_FREQ}}
- **F5.** Záloha dát — retencia: {{BACKUP_RETENTION}}
- **F6.** Testovanie obnovenia zo zálohy: {{BACKUP_RESTORE_TEST_FREQ}}

---

## G. Data protection (GDPR)

**Vypĺňa sa iba ak dodávateľ spracúva naše osobné údaje.**

- **G1.** Podpísaná DPA (data processing agreement)? {{DPA_SIGNED}}
- **G2.** Sub-processori — aktuálny zoznam: {{SUBPROCESSORS_LIST}}
  - Mechanizmus notifikácie pri zmene: {{SUBPROCESSOR_NOTIFICATION}}
- **G3.** Transfer dát mimo EU / EEA? {{INTERNATIONAL_TRANSFER}}
  - Ak áno, mechanizmus: SCC / BCR / adekvátnosť: {{TRANSFER_MECHANISM}}
- **G4.** Retenčná politika: {{RETENTION_POLICY}}
- **G5.** Možnosť delete / export dát na našu žiadosť: {{DELETE_EXPORT}}
- **G6.** DSAR (data subject access request) SLA: {{DSAR_SLA}}

---

## H. Supply chain (4th party)

**H1. Poznáte bezpečnostnú úroveň vašich kľúčových dodávateľov?** {{FOURTH_PARTY_VISIBILITY}}

**H2. Máte proces due diligence pre nových dodávateľov?** {{VENDOR_DD_PROCESS}}

**H3. Aký kľúčový cloud / SaaS používate pre prácu s našimi dátami?**
- {{CLOUD_PROVIDER}}
- {{DATA_STORAGE_LOCATION}}

---

## I. Compliance s NIS2 (ak aplikovateľné)

- **I1.** Patríte pod NIS2 ako entity? {{NIS2_APPLICABLE}} (essential / important / nie)
- **I2.** Ktorý regulátor?: {{NIS2_REGULATOR}}
- **I3.** Register u regulátora: {{NIS2_REGISTRATION_DATE}}
- **I4.** Schválená metodika risk managementu (čl. 21): {{RM_METHODOLOGY}}

---

## J. Prílohy

- [ ] SOC 2 Type II report (podpísané NDA)
- [ ] ISO 27001 certifikát + SoA
- [ ] Pentest executive summary
- [ ] Poistenie zodpovednosti (cyber insurance) — suma krytia: {{INSURANCE_COVERAGE}}
- [ ] Information Security Policy (summary)
- [ ] Business Continuity Plan (summary)
- [ ] Incident Response Plan (summary)

---

## K. Vyhlásenie dodávateľa

Odpovede v tomto dotazníku sú pravdivé k dňu podpisu. Akúkoľvek zmenu v období platnosti zmluvy, ktorá by ovplyvnila odpovede, oznámime do 30 dní.

| Pole | Hodnota |
|------|---------|
| Meno a funkcia | {{VENDOR_SIGNATORY_NAME}} |
| Dátum | {{DATE}} |
| Podpis | {{SIGNATURE}} |

---

## L. Interné vyhodnotenie (vypĺňa objednávateľ)

| Sekcia | Skóre (1-5) | Komentár |
|--------|-------------|----------|
| B — Certifikácie | {{SCORE_B}} | {{COMMENT_B}} |
| C — Organizačná | {{SCORE_C}} | {{COMMENT_C}} |
| D — Technická | {{SCORE_D}} | {{COMMENT_D}} |
| E — Incident response | {{SCORE_E}} | {{COMMENT_E}} |
| F — BCP / DR | {{SCORE_F}} | {{COMMENT_F}} |
| G — GDPR | {{SCORE_G}} | {{COMMENT_G}} |
| H — 4th party | {{SCORE_H}} | {{COMMENT_H}} |
| **Celkom** | **{{TOTAL_SCORE}}** | |

**Verdikt:**
- [ ] Akceptované bez podmienok
- [ ] Akceptované s podmienkami (viď nižšie)
- [ ] Podmienené zlepšením do {{REMEDIATION_DEADLINE}}
- [ ] Zamietnuté

**Podmienky / remediation plan:** {{CONDITIONS}}

**Frekvencia re-validácie:** {{REVALIDATION_FREQ}} (odporúčané: tier 1 ročne, tier 2 každé 2 roky, tier 3 každé 3 roky)

---

_Šablóna podľa NIS2 čl. 21 ods. 2 písm. d (supply chain security) a ENISA Supply Chain Security guidelines. Pre výber kľúčových dodávateľov (tier 1) odporúčame doplniť onsite audit alebo SOC 2 Type II._

Orientačná šablóna v súlade s uvedenými právnymi ustanoveniami a usmerneniami ÚOOÚ/NBÚ/NÚKIB/EDPB. Pred použitím validujte s DPO alebo právnym tímom.