Připravovaný zákon o kybernetické bezpečnosti a jeho prováděcí vyhlášky vyžadují pro poskytovatele v nižším i vyšším režimu povinností řídit bezpečnost dodavatelů. Pro tuto činnost je vžitý anglický termín Vendor security assesment (VSA). VSA zahrnuje nastavení pravidel, řízení a kontrolu dodržování povinností v ochraně bezpečnosti informací v dodavatelském řetězci. Tyto činnosti provádí manažer kybernetické bezpečnosti nebo osoba pověřené řízením kybernetické bezpečnosti.

V nižším režimu nestanovuje návrh vyhlášky přesnou podobu organizačního opatření, smlouvy s dodavateli by přesto měly minimálně obsahovat:

• náležitosti smlouvy o úrovni služeb (SLA),
• ustanovení pravidel pro dodavatele, se kterými byli odpovídající zaměstnanci prokazatelně seznámení,
• ustanovení o sankcích za porušení povinností,
• ustanovení o možnosti auditu dodavatele.

Ve vyšším režimu je nutné identifikovat a řídit takové dodavatele, kteří svými službami nebo produkty mohou ovlivňovat bezpečnost informací a dat. Návrh zákona také definuje tzv. významné dodavatele, kteří mohou významně ovlivnit bezpečnost informací regulované služby. Dodavatele, které organizace vyhodnotí jako významné, musí organizace písemně o této skutečnosti informovat.

V rámci politik řízení dodavatelů, bude například nutné stanovit:

• pravidla určování významných dodavatelů,
• pravidla a principy výběru dodavatelů,
• pravidla pro hodnocení rizik souvisejících s dodavateli,
• pravidla pro vedení evidence kontaktních údajů dodavatelů,
• pravidla pro provádění kontroly bezpečnostních opatření,
• relevantní požadavky na dodavatele plynoucí z bezpečnostních politik organizace.

Návrh vyhlášky pro režim vyšších povinností mimo jiné také stanovuje povinné náležitosti obsahu smluv uzavíraných s významnými dodavateli. Například povinnost zahrnout do smluv ustanovení o bezpečnosti informací, o oprávnění využívat data, o kontrole a auditu dodavatele.