Kategória I

V zmluve s dodávateľmi musí byť určená požiadavka na dodržiavanie všetkých interných riadiacich dokumentov a všeobecne záväzných predpisov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti. Môže byť uvedený odkaz na zákon, túto vyhlášku alebo na osobitný predpis.8)

Kategória II

a)
Požiadavky v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti sa určujú, odsúhlasujú a formálne zadokumentujú formou zmluvy pre každý dodávateľský vzťah, ktorý si vyžaduje prístup alebo akékoľvek používanie informačných technológií verejnej správy.

b)
Zmluvné požiadavky na kybernetickú bezpečnosť a informačnú bezpečnosť obsahujú najmenej záväzok
1.
plnenia určených požiadaviek a kritérií pre oblasť kybernetickej bezpečnosti a informačnej bezpečnosti pri dodávke predmetu zmluvy,
2.
ochrany informácií, ku ktorým je poskytnutý prístup,
3.
oboznámenia sa a dodržiavania všetkých interných riadiacich aktov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti a ďalších opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti špecifických na plnenie predmetu zmluvy,
4.
riadenia a monitorovania prístupov do informačných technológií verejnej správy vrátane spôsobu a mechanizmu,
5.
možnosti vykonávania kontrolných činností a auditu vrátane rozsahu a spôsobu,
6.
oznámenia všetkých bezpečnostných rizík, nedostatkov alebo zraniteľností informačných technológií verejnej správy zistených v rámci plnenia predmetu zmluvy, ako aj povinnosť a proces ich ošetrenia,
7.
spolupráce pri riešení kybernetických bezpečnostných incidentov, najmä zachovania a poskytovania všetkých relevantných informácií, dôkazov a podkladov,
8.
zachovania úrovne kybernetickej bezpečnosti a informačnej bezpečnosti pri významných zmenách vrátane spôsobu a formy prechodu k inému dodávateľovi.

c)
Pri využívaní dodávateľských reťazcov sa pred začatím využívania služieb identifikujú možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti a posúdia sa najmä
1.
kritické komponenty a prvky služby,
2.
možnosti presadzovania a monitorovania bezpečnostných požiadaviek naprieč celým dodávateľským reťazcom,
3.
možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch medzi dodávateľmi a subdodávateľmi,
4.
ďalšie možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vyplývajúce zo životného cyklu dodávanej služby a z možnosti ukončenia dodávky služieb alebo prechodu k inému dodávateľovi.

d)
Pri zmenách služieb poskytovaných treťou stranou sa posudzuje ich vplyv na kybernetickú a informačnú bezpečnosť, a ak je to potrebné, sú navrhnuté a implementované ďalšie opatrenia a postupy kybernetickej bezpečnosti a informačnej bezpečnosti.

e)
Do zmluvného vzťahu s tretími stranami sa zavedie proces implementácie zmien v oblasti riadenia kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu.

f)
Pri vývoji aplikácií a systémov realizovaných treťou stranou sa v zmluve určia jasné podmienky týkajúce sa najmä autorských práv, práv duševného vlastníctva, bezpečnostných parametrov, bezpečnostného a funkčného testovania, legislatívnych a regulačných požiadaviek.

Kategória III

a)
Pre informačné technológie verejnej správy, ktoré spracúvajú kritické informačné aktíva v zmysle požiadaviek na ich dôvernosť, dostupnosť a integritu, sa implementuje technológia pre riadenie privilegovaných prístupov a zaznamenávanie aktivít správcov.

b)
Interný predpis ustanovujúci zásady kybernetickej bezpečnosti a informačnej bezpečnosti pre dodávateľov a tretie strany obsahuje najmenej bezpečnostné požiadavky
1.
pri riadení vzťahov s dodávateľmi,
2.
pri ošetrení kybernetickej bezpečnosti a informačnej bezpečnosti v zmluvách s dodávateľmi,
3.
dodávateľských reťazcov informačných technológií verejnej správy,
4.
monitorovania a preskúmavania dodávateľských služieb,
5.
riadenia zmien v službách dodávateľa,
6.
na prístupové práva a účty,
7.
na fyzickú bezpečnosť,
8.
na ochranu a zálohovanie dát,
9.
na mobilné prostriedky a vzdialený prístup.

c)
Vytvorenie a využívanie procesu pravidelného monitorovania a preskúmavania kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s dodávateľmi.