NBÚ pri uzatváraní zmlúv s tretími stranami, a to nie len na poskytovanie služieb kybernetickej bezpečnosti, vydal metodické usmernenie.
Pre poskytovateľov základných služieb (PZS) – platí povinnosť dbať v prvom rade na zákon.
Podľa § 8 ods. 1 vyhlášky č. 362/2018 Z. z. na riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, akvizície, vývoja a údržby informačných systémov spôsobom podľa § 6.
Nakoľko existuje množstvo spoločnosti, ktoré poskytujú služby ohľadne bezpečnosti, pripravili sme pre Vás zoznam bodov, ktoré musí obsahovať zmluva, inak je neplatná a hrozí Vám pokuta, za
nesplnenie si povinnosti.
Podľa § 8 ods. 2 vyhlášky č. 362/2018 Z. z. zmluva s treťou stranou musí obsahovať minimálne :
  obdobie trvania zmluvy,
  ustanovenie záväzku tretej strany dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby a vyjadrenie súhlasu s nimi,
  ustanovenie o povinnosti chrániť všetky informácie poskytnuté prevádzkovateľom základnej služby tretej strane,
  ustanovenie o povinnosti dodržiavať a prijímať bezpečnostné opatrenia treťou stranou,
  konkrétnu špecifikáciu a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana a vyjadrenie súhlasu s nimi,
  konkrétny rozsah činnosti tretej strany,
  zoznam pracovných rolí tretej strany, ktoré majú mať prístup k informáciám a údajom prevádzkovateľa základnej služby, s povinnosťou oznámiť prevádzkovateľovi základnej služby každú zmenu v personálnom obsadení; osoba zúčastnená na predmete plnenia podpisuje vyjadrenie o zachovávaní mlčanlivosti podľa § 12 ods. 1 zákona,
  ustanovenie o rozsahu, spôsobu a možnosti vykonávania kontrolných činností a auditu prevádzkovateľom základnej služby v tretej strane,
  vymedzenie podmienok a možnosti zapojenia ďalšieho dodávateľa úplne alebo čiastočne zabezpečujúceho plnenie pre prevádzkovateľa základnej služby namiesto dodávateľa,
  ustanovenia o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom bezpečnostnom incidente a o všetkých skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej bezpečnosti,
  ustanovenia o spôsobe a forme hlásenia ďalších informácií požadovaných prevádzkovateľom základnej služby na plnenie jeho povinností vyplývajúcich zo zákona a ich vymedzenie,
  ustanovenie o spôsobe a forme hlásenia všetkých informácií majúcich vplyv na zmluvu,
  ustanovenie o sankčných mechanizmoch pri porušení zmluvy,
  ustanovenia o podmienkach a spôsobe ukončenia zmluvy,
  záväzok tretej strany po ukončení zmluvného vzťahu vrátiť, previesť alebo aj zničiť všetky informácie, ku ktorým má tretia strana počas trvania zmluvného vzťahu prístup prevádzkovateľovi základnej služby,
  záväzok tretej strany po ukončení zmluvného vzťahu udeliť, poskytnúť, previesť alebo postúpiť všetky potrebné licencie, práva alebo súhlasy nevyhnutné na zabezpečenie kontinuity prevádzkovanej základnej služby na prevádzkovateľa základnej služby; tento záväzok tretej strany ostáva v platnosti aj po ukončení zmluvného vzťahu po dobu dohodnutú zmluvnými stranami, ktorá nesmie byť kratšia ako päť rokov po ukončení zmluvného vzťahu.