Jak wdrożyć NIS2 – łańcuch dostaw

W obliczu rosnących zagrożeń cyberbezpieczeństwa łańcuch dostaw stał się kluczowym punktem w procesie zapewnienia stabilności operacyjnej organizacji. Wymagania dyrektywy NIS2 stawiają przed firmami obowiązek opracowania i wdrożenia polityki bezpieczeństwa łańcucha dostaw. Warto więc zadać pytanie, jak skutecznie zarządzać relacjami z dostawcami i usługodawcami, by zminimalizować ryzyko i jednocześnie zachować zgodność z przepisami.

Od regularnych przeglądów rejestrów dostawców przez analizę ryzyka w umowach aż po klasyfikację krytyczności usług – każdy element tej układanki ma znaczenie. Dowiedz się, jakie kroki podjąć, by nie tylko sprostać wymogom dyrektywy NIS2, lecz także zbudować odporność swojej organizacji na współczesne wyzwania. W tym artykule omawiamy najlepsze praktyki i narzędzia, które pomogą Ci utrzymać łańcuch dostaw pod pełną kontrolą.

NIS2

Wymagania polityki bezpieczeństwa łańcucha dostaw

Podmioty kluczowe i ważne powinny opracować, wdrożyć i stosować politykę bezpieczeństwa łańcucha dostaw, która reguluje relacje z bezpośrednimi dostawcami i usługodawcami. Celem tej polityki jest ograniczenie zidentyfikowanych ryzyk związanych z bezpieczeństwem sieci i systemów informacyjnych. Polityka powinna również określać rolę danego podmiotu w łańcuchu dostaw oraz jasno komunikować ją dostawcom i usługodawcom.

Wytyczne dotyczące opracowania polityki bezpieczeństwa łańcucha dostaw

Tworzenie polityki bezpieczeństwa łańcucha dostaw wymaga uwzględnienia dobrze znanych standardów oraz dobrych praktyk. Kluczowym elementem jest jasne określenie roli organizacji w łańcuchu dostaw. Może ona pełnić jedną lub więcej z następujących funkcji:

  • dostawca technologii informacyjno-komunikacyjnych (ICT),
  • producent,
  • dostawca oprogramowania,
  • dostawca sprzętu,
  • dostawca usług zarządzanych (MSP),
  • dostawca zarządzanych usług bezpieczeństwa (MSSP),
  • użytkownik.

Określenie roli w łańcuchu dostaw pozwala lepiej zarządzać kontaktami z dostawcami i minimalizować ryzyko wynikające z niewłaściwego zarządzania bezpieczeństwem w relacjach biznesowych.

Aby wykazać wdrożenie polityki bezpieczeństwa łańcucha dostaw, organizacje powinny dysponować odpowiednią dokumentacją.

CZYTAJ WIĘCEJ: Jak wdrożyć NIS2 – polityka bezpieczeństwa informacji

Przykłady dowodów na realizację polityki bezpieczeństwa łańcucha dostaw

  • Formalnie opracowana polityka bezpieczeństwa łańcucha dostaw.
  • Potwierdzenie zgodności polityki z przyjętymi standardami i dobrymi praktykami.
  • Dowody na komunikowanie roli podmiotu w łańcuchu dostaw, takie jak e-maile, umowy, ogłoszenia czy inne formy dokumentacji.
NIS2: Praktyczny przewodnik zarządzania łańcuchem dostaw

Kryteria wyboru dostawców w polityce bezpieczeństwa łańcucha dostaw

Zgodnie z dyrektywą NIS2 w ramach polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do określenia jasnych kryteriów wyboru i zawierania umów z dostawcami oraz usługodawcami. Kryteria te powinny uwzględniać niżej opisane aspekty.

Kluczowe kryteria wyboru dostawców

  1. Praktyki w zakresie cyberbezpieczeństwa dostawców i usługodawców
    Zweryfikowanie procedur bezpiecznego rozwoju stosowanych przez dostawców oraz skontrolowanie ich podejścia do zarządzania bezpieczeństwem informacji.
  2. Zdolność dostawców do spełnienia wymagań w zakresie cyberbezpieczeństwa
    Upewnienie się, że dostawcy są w stanie spełnić określone wymagania i specyfikacje bezpieczeństwa ustalone przez zamawiający podmiot.
CZYTAJ WIĘCEJ: Jak wdrożyć NIS2 – zarządzanie incydentami
  1. Ogólna jakość i odporność produktów i usług ICT
    Ocena jakości produktów i usług ICT oraz ich zdolności do radzenia sobie z zagrożeniami, a także ocena wdrożonych mechanizmów zarządzania ryzykiem cyberbezpieczeństwa, w tym identyfikacji poziomu ryzyka i klasyfikacji produktów i usług ICT.
  2. Możliwość dywersyfikacji źródeł dostaw
    Dążenie do unikania nadmiernej zależności od jednego dostawcy. Dzięki temu organizacja ogranicza ryzyko uzależnienia się od pojedynczych partnerów handlowych (tzw. vendor lock-in).

Przykład dowodu na realizację wymogu określenia kryteriów wyboru dostawców

  • Polityka bezpieczeństwa łańcucha dostaw.

Uwzględnianie wyników oceny ryzyka w polityce bezpieczeństwa łańcucha dostaw

Podczas tworzenia polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do uwzględnienia wyników skoordynowanych ocen ryzyka bezpieczeństwa krytycznych łańcuchów dostaw, przeprowadzanych zgodnie z art. 22 ust. 1 dyrektywy (UE) 2022/2555 tam, gdzie ma to zastosowanie.

Dokumentacja jako dowód zgodności

Aby potwierdzić zgodność z przepisami, organizacja powinna dysponować dowodami, że uwzględniła w swojej polityce bezpieczeństwa łańcucha dostaw wyniki ocen ryzyka oraz rekomendacje Grupy Współpracy NIS. Takimi dowodami mogą być dokumenty wskazujące na integrację konkretnych scenariuszy i wytycznych z celami biznesowymi organizacji.

Wymagania wobec umów z dostawcami i usługodawcami w polityce bezpieczeństwa łańcucha dostaw

Organizacje tworzące politykę bezpieczeństwa łańcucha dostaw są zobowiązane do określenia szczegółowych wymagań wobec umów z dostawcami i usługodawcami. Umowy te powinny zawierać postanowienia dotyczące strategicznych obszarów związanych z bezpieczeństwem sieci i systemów informacyjnych, określonych na podstawie wyników oceny ryzyka.

Kluczowe wymagania wobec umów z dostawcami i usługodawcami

  1. Wymogi dotyczące cyberbezpieczeństwa
    Umowy powinny określać standardy cyberbezpieczeństwa, w tym zasady nabywania produktów i usług ICT.
  2. Szkolenia i certyfikacje
    Organizacje powinny wymagać od dostawców i ich pracowników odpowiednich szkoleń, umiejętności oraz certyfikacji w zakresie bezpieczeństwa.
  3. Weryfikacja personelu
    Niezbędne jest zapewnienie procedur sprawdzania przeszłości pracowników dostawców i usługodawców, szczególnie w kontekście ich dostępu do krytycznych systemów.
  4. Raportowanie incydentów
    Dostawcy są zobowiązani do niezwłocznego informowania o wszelkich incydentach, które mogą wpłynąć na bezpieczeństwo sieci i systemów informacyjnych.
  5. Audyt i raporty bezpieczeństwa
    Umowy powinny gwarantować prawo do audytu oraz dostępu do raportów dotyczących bezpieczeństwa.
  6. Zarządzanie podwykonawcami
    Jeśli dostawca korzysta z podwykonawców, ich zgodność z wymaganiami cyberbezpieczeństwa musi być zagwarantowana.
  7. Rozwiązanie umowy i usuwanie danych
    Umowy muszą regulować kwestie związane z zakończeniem współpracy, w tym procedury odzyskiwania i usuwania danych pozyskanych w trakcie realizacji zadań.

Wskazówki dla mniejszych podmiotów

Organizacjom o ograniczonych możliwościach negocjacyjnych zaleca się:

  • wspólne negocjacje w ramach grup zakupowych,
  • korzystanie z reprezentacji przez organizacje branżowe,
  • zasięganie porad prawnych przy zawieraniu umów,
  • negocjowanie klauzul zabezpieczających, takich jak zasady rozwiązania umowy czy poziomy usług.

Przykłady dowodów na zgodność umów z wymaganiami

  • Umowy uwzględniające wszystkie niezbędne elementy.
  • Porównanie treści umów z dokumentacją przetargową, w szczególności pod kątem zgodności z zasadami zakupu produktów ICT.
  • Raporty dostawców dotyczące zgłaszania podatności i działań naprawczych.

Ocena ryzyka jako kluczowy element procesu wyboru dostawców i usługodawców

NIS2 - analiza ryzyka

Zgodnie z dyrektywą NIS2 w procesie wyboru nowych dostawców i usługodawców w organizacji wymaga się uwzględnienia kluczowych elementów związanych z bezpieczeństwem cybernetycznym i zarządzaniem ryzykiem. Istotne jest szczegółowe zbadanie praktyk dostawców, jakości oferowanych usług oraz potencjalnych zagrożeń dla sieci i systemów informacyjnych organizacji. Zasadniczym etapem tego procesu jest przeprowadzenie szczegółowej analizy ryzyka przed podpisaniem umowy, aby zapewnić bezpieczeństwo współpracy i minimalizację potencjalnych zagrożeń.

Wytyczne dotyczące analizy ryzyka

Przed podpisaniem umów z dostawcami lub usługodawcami należy:

  • przeprowadzić analizę ryzyka,
  • zidentyfikować potencjalne zagrożenia wynikające ze współpracy z danym podmiotem oraz ocenić ich wpływ na bezpieczeństwo sieci i systemów informacyjnych organizacji.

Przykłady dowodów na zgodność procesu wyboru dostawców i usługodawców

  • Dokumentacja umów i wytycznych dotyczących przetargów – potwierdzająca, że postanowienia uwzględniają wymagania NIS2.
  • Porównanie treści umów i przetargów – aby zweryfikować, czy pozyskiwanie systemów ICT oraz usług spełnia wymogi bezpieczeństwa.
  • Raporty z analizy ryzyka – sporządzone na podstawie oceny dostawców i usługodawców, zawierające identyfikację zagrożeń i rekomendacje działań naprawczych.
CZYTAJ WIĘCEJ: Jak wdrożyć NIS2 – zarządzanie ryzykiem

Cykliczna ocena polityki bezpieczeństwa łańcucha dostaw

W dynamicznym środowisku biznesowym, w którym zagrożenia cyberbezpieczeństwa stale ewoluują, niezbędne jest przeprowadzanie regularnej oceny i aktualizacji polityki bezpieczeństwa łańcucha dostaw. Organizacje powinny monitorować, oceniać i w razie potrzeby wprowadzać modyfikacje w odpowiedzi na zmiany w praktykach dostawców, na incydenty bezpieczeństwa czy na inne istotne zdarzenia wpływające na bezpieczeństwo usług i produktów ICT.

Znaczenie regularnej oceny polityki bezpieczeństwa łańcucha dostaw

Zmieniające się ryzyka i wymagania rynku sprawiają, że polityka bezpieczeństwa łańcucha dostaw nie może być traktowana jako statyczny dokument. Regularna ocena pozwala organizacjom na:

  • wykrywanie luk w aktualnych procedurach,
  • dopasowywanie polityki do zmieniających się standardów cyberbezpieczeństwa,
  • reagowanie na nowe zagrożenia wynikające z incydentów lub zmian w działalności dostawców.

Praktyczne podejście do monitorowania i oceny polityki bezpieczeństwa łańcucha dostaw

Organizacje powinny:

  • przeprowadzać przegląd polityki co najmniej raz w roku – regularny harmonogram przeglądów umożliwia systematyczne aktualizowanie polityki,
  • monitorować dostawców przez cały cykl współpracy – ciągła analiza praktyk i działań dostawców pozwala na bieżąco identyfikować potencjalne zagrożenia,
  • uwzględniać znaczące zmiany lub incydenty – każdy istotny incydent bezpieczeństwa lub każda zmiana w działalności dostawców powinny być impulsem do przeglądu polityki.

Przykłady dowodów na zgodność z wymogami dotyczącymi monitorowania

  • Plany i harmonogramy przeglądów polityki bezpieczeństwa.
  • Rejestry z wcześniejszych przeglądów i wprowadzonych zmian.
  • Listy incydentów związanych z dostawcami.
  • Raporty oceniające dostawców i ich produkty pod kątem cyberbezpieczeństwa.
CZYTAJ WIĘCEJ: Jak wdrożyć NIS2 – polityka bezpieczeństwa informacji

Monitorowanie poziomu usług i zarządzanie ryzykiem w łańcuchu dostaw ICT

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ
W ramach zapewnienia bezpieczeństwa produktów i usług ICT organizacje powinny regularnie monitorować poziom świadczonych usług, analizować incydenty związane z dostawcami oraz podejmować działania naprawcze w odpowiedzi na zmieniające się ryzyka.

Kluczowe działania w budowaniu odporności na zagrożenia i utrzymywaniu stabilności operacyjnej

  1. Regularne monitorowanie umów SLA
    Organizacje powinny nadzorować realizację postanowień wynikających z umów o poziomie usług (Service Level Agreements) w celu zapewnienia zgodności z ustalonymi standardami.
  2. Przegląd incydentów bezpieczeństwa
    Analiza incydentów związanych z produktami i usługami ICT dostarczanymi przez dostawców jest niezbędna do identyfikacji zagrożeń i wdrażania odpowiednich działań naprawczych.
  3. Ocena ryzyka zmian w produktach i usługach ICT
    W przypadku wprowadzania zmian w produktach lub usługach ICT organizacje muszą przeprowadzać analizę ryzyka i podejmować działania w celu zminimalizowania potencjalnych zagrożeń.
  4. Planowanie dodatkowych przeglądów
    W razie potrzeby organizacje powinny uwzględniać możliwość przeprowadzania przeglądów poza regularnym harmonogramem, szczególnie w odpowiedzi na znaczące zmiany lub incydenty.

Przykłady dowodów na zgodność z zasadami monitorowania poziomu usług i zarządzania ryzykiem

  • Dokumentacja monitorowania poziomu usług zgodnie z umowami SLA.
  • Raporty z analizy incydentów bezpieczeństwa oraz z wprowadzonych działań naprawczych.
  • Dowody potwierdzające, że podpisane umowy z dostawcami uwzględniają wymagania odnoszące się do bezpieczeństwa, w tym zapisy dotyczące ról, odpowiedzialności i raportowania.
  • Dokumenty dotyczące zarządzania zakończeniem współpracy z dostawcami, obejmujące przejście usług i danych oraz dostęp do zasobów.
  • Lista incydentów związanych z bezpieczeństwem, wynikających ze współpracy z dostawcami.
Normy i standardy
Wymagania
ISO 27001:2022
A.5.19, A.5.20, A.5.21, A.8.30
NIST CSF v2.0
GV.OC-03, GV.OC-05, GV.SC-01, GV.SC-04, GV.SC- 06, GV.SC-05, GV.SC-07, GV.SC-09, GV.SC-10, ID.RA- 10, ID.IM-01, ID.IM-02, ID.IM-03, ID.IM-04

Rejestr dostawców i usługodawców – narzędzie zarządzania i kontroli w łańcuchu dostaw

Utrzymywanie aktualnego rejestru dostawców i usługodawców jest podstawą zarządzania bezpieczeństwem łańcucha dostaw w każdej organizacji. Taki rejestr pozwala nie tylko na efektywne monitorowanie współpracy z partnerami biznesowymi, lecz także na szybkie reagowanie na zmiany, które mogą wpłynąć na bezpieczeństwo systemów ICT.

Wymagane elementy rejestru dostawców i usługodawców

Rejestr dostawców i usługodawców powinien obejmować:

  • dane kontaktowe każdego dostawcy i usługodawcy,
  • szczegółową listę produktów ICT, usług ICT i procesów ICT dostarczanych przez każdego dostawcę lub usługodawcę.

Regularne przeglądy i aktualizacje rejestru dostawców i usługodawców

Aby zapewnić dokładność i aktualność informacji, rejestr dostawców i usługodawców powinien być przeglądany co najmniej dwa razy w roku lub po każdej istotnej zmianie dotyczącej dostawców. Takie podejście pozwala na bieżąco identyfikować potencjalne ryzyka i wdrażać odpowiednie środki zapobiegawcze.

Klasyfikacja dostawców i usługodawców

Dostawcy i usługodawcy mogą być klasyfikowani według różnych kryteriów, takich jak:

  • wrażliwość zasobów dostarczanych przez danego dostawcę,
  • wolumen zakupów,
  • wymagania dotyczące dostępności usług,
  • zastosowanie regulacji prawnych,
  • poziom ryzyka i środki jego ograniczania.

Na podstawie tych kryteriów dostawcy mogą być przypisani do trzech kategorii:

  • krytyczni – dostawcy mający kluczowy wpływ na operacje organizacji,
  • strategiczni – dostawcy o wysokiej wartości, którzy wspierają infrastrukturę informacyjną, np. dostawcy chmury czy oprogramowania,
  • rutynowi – dostawcy o minimalnym wpływie na działania organizacji.

Przykłady dowodów na zgodność rejestru dostawców i usługodawców

  • Lista umów i porozumień SLA, które są zgodne z polityką łańcucha dostaw.
  • Dokumentacja kategorii przypisanych dostawcom oraz zasady zarządzania dostawcami na podstawie tych kategorii.
  • Opisy procesów oceny ryzyka dla każdego dostawcy i odpowiednie działania dostosowane do ich klasyfikacji.
Normy i standardy
Wymagania
ISO 27001:2022
A.5.22
NIST CSF v2.0
GV.OC-05, GV.SC-04, ID.IM- 01, ID.IM-02, ID.IM-03, ID.IM-04
CZYTAJ WIĘCEJ: Jak wdrożyć NIS2 - poradnik dla firm
quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Który z poniższych elementów jest kluczowy w polityce bezpieczeństwa łańcucha dostaw zgodnie z wymaganiami dyrektywy NIS2?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>