1. Milleks see dokumentide komplekt on?

NIS2 ja KüTS ütlevad selgelt: kui sinu teenus sõltub tarnijatest, ei kao vastutus ära.
Tarneahela riskijuhtimine ei tähenda tarnijate auditeerimist, vaid teadlikku ja dokumenteeritud otsustamist.
Loe ka postitust - tarneahel NIS2 ja KüTS järgi: mida pead teadma?

See komplekt aitab sul:

• kaardistada tarnijad, kes võivad mõjutada sinu teenuste toimepidevust ja infoturvet
  
• hinnata tarnijate küberriske proportsionaalselt ja praktiliselt
  
• teha riskipõhiseid otsuseid, mitte tugineda sisetundele
  
• siduda tarnijate riskid organisatsiooni üldise riskijuhtimisega
  
• seada lepingulised küberturbe ja intsidenditeavituse tingimused
  
• tõendada järelevalvele ja audiitorile, et tarneahela riskid on juhitud
  

Vastus ei ole “meil on poliitika”.
Vastus on: “meil on süsteem, mis töötab.”

Pakett on üles ehitatud nii, et:

• see töötab ka mitte-IT tarnijatega
  
• sobib kasutamiseks nii enne lepingu sõlmimist kui ka olemasolevate partnerite hindamiseks
  
• on kooskõlas ISO 27001:2022, NIS2 ja KüTS ootustega
  

2. Kellele sobib?

See komplekt on loodud organisatsioonidele, kes:

• peavad vastama NIS2 ja/või KüTS nõuetele
  
• kasutavad IT-teenuseid, pilve, tarkvara või allhankijaid
  
• peavad tarneahela riske teadlikult aktsepteerima või maandama
  
• vajavad praktilisi tööriistu, mitte teooriat
  
• soovivad, et tarneahela turvalisus oleks juhtimissotsus, mitte oletus

See ei ole lihtsalt dokumentide kogum.
See on terviklik töövoog:
tarnija → risk → otsus → leping → seire

3.1. Tarnijate ja partnerite halduse dokumentide juhend

• selgitab kogu süsteemi loogikat lihtsas keeles
  
• aitab kasutajal aru saada, kuidas dokumendid omavahel töötavad
  
• sobib nii juhatusele kui ka praktikule
  

Vastab küsimusele: kuidas see kõik kokku töötab

3.2. Tarnijate ja partnerite halduse poliitika vorm

• määrab rollid, vastutused ja põhimõtted
  
• seob tarnijate halduse organisatsiooni infoturbe ja riskijuhtimisega
  
• kooskõlas ISO 27001:2022, NIS2 ja KüTS nõuetega
  

Vastab küsimusele: mida me teeme ja miks

3.3. Tarnijate ja partnerite halduse protseduuri vorm

• samm-sammuline juhis tarnijate hindamiseks
  
• kirjeldab täpselt, mida teha, millal ja kes teeb
  
• seob riskihindamise, otsused ja lepingulised nõuded
  

Vastab küsimusele: kuidas me seda päriselt teeme

3.4. Küberturbe ja tarneahela turbe tingimused (lepingu lisa)

• valmis lepingutingimused (sh 24h intsidenditeavitus)
  
• katab allhankijad, auditid ja vastutuse
  
• kooskõlas NIS2 ja KüTS ootustega
  

Vastab küsimusele: kuidas risk muutub kohustuseks

3.5. Juhend tarnijate riskihindamiseks

• lihtne ja praktiline loogika
  
• selgitab, mida tarneahela riskihindamine päriselt tähendab
  
• aitab vältida üleanalüüsi ja “ISO audit igale tarnijale” lähenemist
  

Vastab küsimusele: keda ja kui põhjalikult hinnata

3.6. Tarnijate riskihindamise vorm

• tarnijate nimekiri + riskikriteeriumid
  
• riskiskoor
  
• eristab madala, keskmise ja kõrge riskiga tarnijad
  

Vastab küsimusele: kus risk päriselt elab

3.7. Tarnija küberturbe hindamisküsimustik

• praktiline küsimustik tarnijale saatmiseks
  
• katab ligipääsud, andmed, intsidendid ja allhankijad
  
• loob tugeva auditijälje
  

Vastab küsimusele: kuidas sa saad sisendi

4. KKK

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.