Nový zákon o kybernetické bezpečnosti zásadně mění způsob, jakým mají organizace přemýšlet o svých dodavatelích – a především o smlouvách s nimi. Zatímco základní orientaci v nové úpravě lze získat poměrně rychle, skutečná výzva přichází ve chvíli, kdy je potřeba zákonné požadavky promítnout do konkrétní smluvní dokumentace a nastavit je tak, aby obstály v praxi.
Tento tříhodinový seminář jde výrazně více do hloubky. Zaměříme se především na to, jak uchopit dodavatelské vztahy a smluvní dokumentaci podle nového zákona o kybernetické bezpečnosti, jak rozlišovat mezi jednotlivými typy dodavatelů a jak správně nastavit smluvní práva a povinnosti podle významu dodavatele i regulatorního režimu organizace. Okrajově se dotkneme také přesahů do dalších regulatorních rámců, pokud mohou mít dopad na smluvní nastavení nebo interní koordinaci požadavků.
Důraz bude kladen na konkrétní smluvní ujednání a jejich „přetavení“ z regulatorních požadavků do použitelné a vyjednatelně formulované podoby. Projdeme si typické struktury smluv a dodatků, ukážeme si praktické příklady formulací a upozorníme na nejčastější chyby, které v praxi vídáme. Pozornost budeme věnovat i oblastem, které bývají při vyjednávání s dodavateli nejobtížnější – zejména subdodavatelskému řetězci, auditním a kontrolním právům, změnovému řízení, prokazování plnění bezpečnostních požadavků, incidentům, SLA, kontinuitě a exitovým scénářům.
Pro koho je seminář určen
Seminář je určen zejména pro ty, kteří nesou odpovědnost za nastavení, řízení nebo kontrolu dodavatelských vztahů v regulovaném prostředí a potřebují jít dál než jen po základním přehledu:
- management a vedoucí pracovníci poskytovatelů regulovaných služeb (IT, bezpečnost, risk, compliance), kteří rozhodují o nastavení dodavatelského modelu a nesou odpovědnost za jeho funkčnost,
- právníci, advokáti a contract manažeři, kteří připravují, vyjednávají nebo revidují smlouvy s dodavateli,
- nákup / procurement a vendor management týmy, které prakticky řídí dodavatelský řetězec a implementují požadavky do praxe,
- ICT a kyberbezpečnostní specialisté, kteří definují technické a bezpečnostní požadavky a spolupracují na jejich promítnutí do smluv,
- interní auditoři a osoby odpovědné za kontrolu souladu (compliance), kteří posuzují, zda nastavení odpovídá regulatorním požadavkům.
Seminář je vhodný jak pro organizace, které se s novou úpravou teprve seznamují, tak i pro ty, které už mají základní orientaci, ale potřebují si ujasnit konkrétní smluvní řešení a systematický přístup k úpravě dodavatelských vztahů.
Co si ze semináře odnesete
- jasnou představu, jak převést požadavky nového zákona o kybernetické bezpečnosti do konkrétních smluvních ustanovení,
- jasný rozdíl mezi nižším a vyšším režimem v praxi – konkrétně co to znamená pro textaci smluv, rozsah kontrolních práv, reporting nebo odpovědnost,
- konkrétní mapu toho, co má být ve smlouvách podle nového zákona obsaženo a jak tyto požadavky strukturovat,
- přehled toho, co je „must-have“ a co už představuje smluvní nadstavbu,
- praktický návod, jak systematicky upravit dodavatelské vztahy a přizpůsobit smluvní přísnost významu konkrétního dodavatele,
- doporučení, jak pracovat se subdodavateli, auditními právy, změnovým řízením a prokazováním souladu,
- konkrétní přístup k incidentům ve smlouvách – jak nastavit oznamování, součinnost a odpovědnost tak, aby to dávalo smysl při reálném bezpečnostním incidentu,
- doporučení, jak uchopit SLA, kontinuitu a exitové scénáře v kontextu kyberbezpečnosti,
- praktický postup, jak upravit stávající smlouvy a dodatky,
- ukázky konkrétních smluvních formulací,
- přehled typických chyb z praxe – co bývá problém při revizích smluv, auditech nebo incidentech,
- základní orientaci v tom, kde mohou do smluvního nastavení okrajově vstupovat i další regulatorní požadavky.
