Jak wdrożyć
Bezpieczeństwo łańcucha dostaw w NIS2/KSC
Outsourcing usługi nie przenosi pełnej odpowiedzialności organizacji. Jeżeli dostawca utrzymuje system, przetwarza dane, ma zdalny dostęp albo jest jedynym źródłem krytycznej usługi, jego incydent może zatrzymać działalność klienta. Zarządzanie dostawcami powinno łączyć biznes, zakupy, prawo, bezpieczeństwo i IT.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- zacznij od rejestru i klasyfikacji dostawców
- oceniaj ryzyko przed umową, w trakcie i przy zakończeniu
- wymagania dopasuj do krytyczności i rodzaju dostępu
- zapewnij szybkie zgłoszenie incydentu przez dostawcę
- sprawdzaj podwykonawców, lokalizację danych, ciągłość i możliwość wyjścia
- nie opieraj oceny wyłącznie na certyfikacie
Klasyfikacja dostawcy
- wpływ przerwy na usługę krytyczną
- dostęp do systemów, sieci, OT lub danych oraz uprzywilejowane uprawnienia
- rodzaj i wrażliwość informacji
- możliwość zastąpienia i koncentracja rynku
- podwykonawcy i lokalizacje
- zależność od chmury, łączy, energii i komponentów
- historia incydentów oraz wymogi sektorowe i kontraktowe
| Klasa | Charakterystyka |
|---|---|
| Krytyczny | przerwa może szybko zatrzymać ważną usługę, a zastąpienie jest trudne |
| Wysoki | istotny dostęp lub dane, ale istnieją obejścia |
| Standardowy | ograniczony wpływ i brak uprzywilejowanego dostępu |
| Niski | brak dostępu i marginalny wpływ |
Cykl życia dostawcy
- Zapotrzebowanie i określenie wymagań.
- Ocena ryzyka i due diligence.
- Wybór i decyzja o odstępstwach.
- Klauzule umowne i plan wdrożenia.
- Bezpieczne nadanie dostępów.
- Monitoring usługi i ryzyka.
- Reocena po zmianie, incydencie lub cyklicznie.
- Plan wyjścia, zwrot danych i odebranie dostępów.
Due diligence — zakres
- governance, odpowiedzialność i zarządzanie ryzykiem
- certyfikaty i zakres certyfikacji
- ochrona tożsamości i kont uprzywilejowanych oraz separacja klientów
- aktualizacje, podatności, monitorowanie i SOC
- obsługa incydentów; BCP, DR i wyniki testów
- backup i retencja; szyfrowanie i zarządzanie kluczami
- bezpieczeństwo rozwoju i podwykonawcy
- lokalizacja oraz transfer danych
- prawo do audytu i dostarczenia dowodów; zakończenie usługi
Nie wymagać identycznego, długiego kwestionariusza od każdego dostawcy. Zakres pytań ma odpowiadać ryzyku.
Minimalne klauzule bezpieczeństwa
- wymagane środki bezpieczeństwa oraz zgodność z prawem i instrukcjami klienta
- termin zgłoszenia incydentu pozwalający klientowi dochować własnych terminów
- zakres danych w zgłoszeniu i aktualizacji; współpraca przy analizie i raportowaniu
- utrzymanie logów i dowodów
- korzystanie z podwykonawców; lokalizacja danych i usług
- dostęp administracyjny; ciągłość, backup, RTO/RPO i testy
- zarządzanie podatnościami
- prawo do audytu lub uzyskania niezależnych raportów
- obowiązek informowania o istotnych zmianach
- zwrot, eksport i bezpieczne usunięcie danych; odebranie dostępów
- plan wyjścia i wsparcie migracji
- odpowiedzialność, ubezpieczenie i środki naprawcze
Certyfikat nie wystarcza
Certyfikat ISO 27001 lub raport typu SOC może być wartościowym dowodem, ale trzeba sprawdzić: zakres, lokalizacje i usługi objęte oceną, okres ważności, wyłączenia, zastrzeżenia audytora, czy raport dotyczy konkretnej usługi klienta oraz jakie kontrole pozostają po stronie klienta.
Monitoring dostawców krytycznych
- dostępność i SLA; incydenty oraz czas zgłoszenia
- zmiany podwykonawców; wyniki testów ciągłości
- otwarte ryzyka i działania; certyfikaty i raporty
- ważne podatności; zmiany własności, lokalizacji lub architektury
- skuteczność planu wyjścia; aktualność dostępów
Plan wyjścia
- dane i format eksportu; czas potrzebny na migrację
- alternatywni dostawcy lub rozwiązanie wewnętrzne
- zależności techniczne i licencyjne; dostęp do konfiguracji i dokumentacji
- zachowanie ciągłości w okresie przejściowym
- sposób potwierdzenia usunięcia danych
- odebranie kont, certyfikatów, kluczy i połączeń
- odpowiedzialność za koszty i wsparcie
Najczęstsze błędy
- brak centralnego rejestru dostawców
- właściciel usługi nie uczestniczy w ocenie
- bezpieczeństwo sprawdzane po podpisaniu umowy
- brak terminu zgłaszania incydentu i nieznani podwykonawcy
- automatyczna akceptacja certyfikatu
- brak monitoringu po wdrożeniu
- konta dostawcy bez MFA i daty ważności
- brak planu wyjścia
- jedna chmura lub dostawca traktowane jako pełna strategia ciągłości
Uporządkuj łańcuch dostaw
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com