Popis kurzu:
Supply chain bezpečnost, která obstojí při auditu i při incidentu
⚠ Aktuální hrozba
Více než 60 % kybernetických incidentů v kritické infrastruktuře dnes zahrnuje kompromitaci třetí strany – dodavatele, servisního partnera nebo cloudové služby. Tradiční perimetrická ochrana tento vektor neřeší.
Vaše organizace je tak bezpečná, jak bezpečný je její nejslabší dodavatel. Tento kurz vám ukáže, jak přestat spoléhat na ujištění z dotazníků a začít skutečně řídit bezpečnostní rizika, která přicházejí zvenku.
Dostanete praktický rámec pro identifikaci kritických dodavatelů, nastavení bezpečnostních požadavků ve smlouvách, monitoring externích přístupů a přípravu na regulatorní kontroly. Seminář je postaven na reálných případech supply chain útoků a zkušenostech z prostředí velkých organizací a kritické infrastruktury.
- Pochopíte, proč jsou dodavatelé preferovaným vstupním vektorem útočníků a jak typické supply chain útoky probíhají
- Naučíte se identifikovat kritické dodavatele a hodnotit rizikovost jejich dodávek pro vaše prostředí
- Zjistíte, co přesně požadují zákon č. 264/2025 Sb. a vyhláška č. 409/2025 Sb. v oblasti řízení dodavatelských rizik
- Získáte šablony bezpečnostních požadavků pro smlouvy, tendry a onboarding dodavatelů
- Nastavíte technická opatření pro omezení a monitoring přístupů třetích stran
- Připravíte procesní a dokumentační základ pro audit dle NIS2 a NÚKIB
Seminář je vhodný zejména pro organizace ze sektorů kritické infrastruktury, energetiky, zdravotnictví, veřejné správy a finančních služeb, kde jsou požadavky na řízení třetích stran nejpřísnější.
Komu je kurz určen:
Je určen pro role, které se podílejí na řízení dodavatelů, nákupu technologií nebo nesou odpovědnost za kybernetickou bezpečnost organizace.
🛡️ CISO a bezpečnostní manažeři - Potřebujete prokázat, že vaše organizace systémově řídí bezpečnostní rizika třetích stran. Seminář vám dá procesní rámec, metriky a argumenty pro vedení i auditora.
⚙️IT manažeři a architekti - Zodpovídáte za přístupy externích dodavatelů a integraci cloudových služeb. Naučíte se, jak technicky omezit supply chain rizika bez narušení provozu.
📋Compliance a risk manažeři - Musíte doložit soulad s NIS2, ZoKB a vyhláškou 409/2025 Sb. Dostanete přehled regulatorních požadavků a šablony pro dokumentaci přijatých opatření.
🔍Nákup a právní oddělení - Přijímáte rozhodnutí o výběru a smluvním zajištění dodavatelů. Naučíte se, jak zapracovat bezpečnostní požadavky do tendrů, smluv a SLA.
Předpoklady: Základní orientace v oblasti kybernetické bezpečnosti nebo řízení rizik. Seminář je navržen pro mezioborový tým – není vyžadována technická specializace.
Obsah kurzu:
Čtyři tematické bloky propojují teorii s reálnou praxí. Každý blok obsahuje příklady ze skutečných supply chain incidentů a prostor pro diskusi konkrétních situací účastníků.
Blok 01 - Proč jsou supply chain útoky dnes zásadní riziko
Úvod do problematiky a aktuálních trendů – s důrazem na praktické dopady do provozu energetiky a velkých organizací s rozsáhlým dodavatelským ekosystémem.
- Proč jsou dodavatelé častým cílem útočníků
- Rozdíl mezi kompromitací dodavatele a kompromitací služby
- Typické scénáře supply chain útoků
- Zneužití vzdálené správy, VPN a privilegovaných přístupů
- Kompromitované aktualizace, software a SaaS služby
- Příklady známých supply chain incidentů a jejich dopadů
- Proč tradiční perimetrická ochrana nestačí
Útočníci dnes cílí na dodavatele záměrně – jako na most do sítě jejich zákazníků. Jeden kompromitovaný servisní partner může otevřít přístup do desítek organizací najednou.
Blok 02 - Požadavky zákona č. 264/2025 Sb. a vyhlášky č. 409/2025 Sb.
Přehled regulatorních požadavků v oblasti dodavatelských vztahů – co regulátor skutečně očekává v praxi a jaké oblasti bývají nejčastěji podceňované.
- Povinnost řídit kybernetická rizika spojená s dodavateli
- Identifikace kritických dodavatelů a významných služeb
- Bezpečnostní požadavky na externí přístupy a outsourcing
- Odpovědnost organizace za služby poskytované třetí stranou
- Požadavky na smluvní zajištění bezpečnosti
- Požadavky na kontrolu a hodnocení dodavatelů
- Dokumentace a auditovatelnost přijatých opatření
- Role řízení rizik a odpovědnosti managementu
- Vazba na NIS2 a očekávání NÚKIB
Blok 03 - Jak prakticky hodnotit bezpečnost dodavatelů
Praktický rámec pro technické i bezpečnostní týmy – jak přejít od dotazníků k reálnému hodnocení rizika.
- Jak určit kritičnost dodavatele
- Jak hodnotit rizikovost dodávané služby
- Minimální bezpečnostní požadavky na dodavatele
- Práce s přístupy třetích stran a privilegovanými účty
- Segmentace a omezení přístupů dodavatelů
- Monitoring aktivit externích subjektů
- Jak řešit cloudové a SaaS služby
- Bezpečnostní požadavky při nákupu technologií
- Jak pracovat s výjimkami a akceptací rizik
- Kontrolní otázky pro onboarding dodavatele
Klíčové otázky, které si ze semináře odnesete
- Který dodavatel je pro nás skutečně kritický?
- Jaká rizika z dodavatelských vztahů reálně vznikají?
- Jaké minimální požadavky musí dodavatel splnit?
- Jak omezit dopad kompromitace dodavatele?
- Jak doložit přiměřené řízení rizik regulátorovi?
- Jak obstojíme při kontrole NÚKIB?
Blok 04 - Od compliance k reálnému snížení rizika
Jak převést regulatorní požadavky do bezpečnostní praxe – od nastavení procesů přes smluvní zajištění až po reakci na incident u dodavatele.
- Nastavení procesu řízení dodavatelských rizik
- Spolupráce bezpečnosti, IT, nákupu a právního oddělení
- Bezpečnostní požadavky ve smlouvách a tendrech
- Pravidelné hodnocení a přehodnocování dodavatelů
- Technická opatření pro omezení supply chain rizik
- Evidence a auditovatelnost přijatých opatření
- Reakce na incident u dodavatele nebo kompromitaci služby
- Typické nedostatky zjišťované při auditech a kontrolách
- Doporučení pro prostředí velké organizace a kritické infrastruktury
Důraz není pouze na splnění regulatorních povinností, ale na schopnost organizace reálně snižovat rizika vznikající z dodavatelských vztahů a externích přístupů.
Certifikace:
Po absolvování kurzu získáte certifikát AIM Agency
Materiály:
V ceně kurzu jsou studijní materiály v elektronické podobě, které vám pomohou udržet si znalosti i po školení. Materiály jsou prakticky zaměřené tak, abyste se k nim mohli vracet při řešení reálných problémů ve firmě.
Cíle kurzu:
Znalosti - Co budete vědět
- Jak probíhají supply chain útoky a jaké jsou jejich dopady
- Co požaduje zákon č. 264/2025 Sb. v oblasti dodavatelů
- Co znamenají konkrétní paragrafy vyhlášky 409/2025 Sb.
- Co NÚKIB při kontrole nejčastěji prověřuje
Dovednosti - Co budete umět
- Identifikovat a klasifikovat kritické dodavatele
- Hodnotit rizikovost dodávané služby nebo produktu
- Definovat minimální bezpečnostní požadavky na dodavatele
- Komunikovat riziko vedení srozumitelně a obhajitelně
Procesy - Co nastavíte
- Proces onboardingu a hodnocení dodavatelů
- Segmentaci a monitoring přístupů třetích stran
- Bezpečnostní požadavky pro tendry a smlouvy
- Postup pro reakci na incident u dodavatele
Compliance - Co splníte
- Požadavky NIS2 na řízení třetích stran
- Zákon č. 264/2025 Sb. – zákonné povinnosti vůči dodavatelům
- Vyhláška 409/2025 Sb. – bezpečnostní opatření
- ISMS dokumentace a auditní stopa pro kontroly NÚKIB
Řešíte bezpečnost dodavatelského řetězce?
Pomůžeme vám nastavit procesy řízení třetích stran, které obstojí při auditu NIS2 i při reálném incidentu.
