Jak wdrożyć NIS2 – łańcuch dostaw

Od regularnych przeglądów rejestrów dostawców przez analizę ryzyka w umowach aż po klasyfikację krytyczności usług – każdy element tej układanki ma znaczenie. Dowiedz się, jakie kroki podjąć, by nie tylko sprostać wymogom dyrektywy NIS2, lecz także zbudować odporność swojej organizacji na współczesne wyzwania. W tym artykule omawiamy najlepsze praktyki i narzędzia, które pomogą Ci utrzymać łańcuch dostaw pod pełną kontrolą.

Wymagania polityki bezpieczeństwa łańcucha dostaw

Podmioty kluczowe i ważne powinny opracować, wdrożyć i stosować politykę bezpieczeństwa łańcucha dostaw, która reguluje relacje z bezpośrednimi dostawcami i usługodawcami. Celem tej polityki jest ograniczenie zidentyfikowanych ryzyk związanych z bezpieczeństwem sieci i systemów informacyjnych. Polityka powinna również określać rolę danego podmiotu w łańcuchu dostaw oraz jasno komunikować ją dostawcom i usługodawcom.

Wytyczne dotyczące opracowania polityki bezpieczeństwa łańcucha dostaw

Tworzenie polityki bezpieczeństwa łańcucha dostaw wymaga uwzględnienia dobrze znanych standardów oraz dobrych praktyk. Kluczowym elementem jest jasne określenie roli organizacji w łańcuchu dostaw. Może ona pełnić jedną lub więcej z następujących funkcji:

• dostawca technologii informacyjno-komunikacyjnych (ICT),
• producent,
• dostawca oprogramowania,
• dostawca sprzętu,
• dostawca usług zarządzanych (MSP),
• dostawca zarządzanych usług bezpieczeństwa (MSSP),
• użytkownik.

Określenie roli w łańcuchu dostaw pozwala lepiej zarządzać kontaktami z dostawcami i minimalizować ryzyko wynikające z niewłaściwego zarządzania bezpieczeństwem w relacjach biznesowych.

Aby wykazać wdrożenie polityki bezpieczeństwa łańcucha dostaw, organizacje powinny dysponować odpowiednią dokumentacją.

Przykłady dowodów na realizację polityki bezpieczeństwa łańcucha dostaw

• Formalnie opracowana polityka bezpieczeństwa łańcucha dostaw.
• Potwierdzenie zgodności polityki z przyjętymi standardami i dobrymi praktykami.
• Dowody na komunikowanie roli podmiotu w łańcuchu dostaw, takie jak e-maile, umowy, ogłoszenia czy inne formy dokumentacji.

Kryteria wyboru dostawców w polityce bezpieczeństwa łańcucha dostaw

Zgodnie z dyrektywą NIS2 w ramach polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do określenia jasnych kryteriów wyboru i zawierania umów z dostawcami oraz usługodawcami. Kryteria te powinny uwzględniać niżej opisane aspekty.

Kluczowe kryteria wyboru dostawców

1. Praktyki w zakresie cyberbezpieczeństwa dostawców i usługodawców
   Zweryfikowanie procedur bezpiecznego rozwoju stosowanych przez dostawców oraz skontrolowanie ich podejścia do zarządzania bezpieczeństwem informacji.
2. Zdolność dostawców do spełnienia wymagań w zakresie cyberbezpieczeństwa
   Upewnienie się, że dostawcy są w stanie spełnić określone wymagania i specyfikacje bezpieczeństwa ustalone przez zamawiający podmiot.

3. Ogólna jakość i odporność produktów i usług ICT
   Ocena jakości produktów i usług ICT oraz ich zdolności do radzenia sobie z zagrożeniami, a także ocena wdrożonych mechanizmów zarządzania ryzykiem cyberbezpieczeństwa, w tym identyfikacji poziomu ryzyka i klasyfikacji produktów i usług ICT.
4. Możliwość dywersyfikacji źródeł dostaw
   Dążenie do unikania nadmiernej zależności od jednego dostawcy. Dzięki temu organizacja ogranicza ryzyko uzależnienia się od pojedynczych partnerów handlowych (tzw. vendor lock-in).

Przykład dowodu na realizację wymogu określenia kryteriów wyboru dostawców

• Polityka bezpieczeństwa łańcucha dostaw.

Uwzględnianie wyników oceny ryzyka w polityce bezpieczeństwa łańcucha dostaw

Podczas tworzenia polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do uwzględnienia wyników skoordynowanych ocen ryzyka bezpieczeństwa krytycznych łańcuchów dostaw, przeprowadzanych zgodnie z art. 22 ust. 1 dyrektywy (UE) 2022/2555 tam, gdzie ma to zastosowanie.

Dokumentacja jako dowód zgodności

Aby potwierdzić zgodność z przepisami, organizacja powinna dysponować dowodami, że uwzględniła w swojej polityce bezpieczeństwa łańcucha dostaw wyniki ocen ryzyka oraz rekomendacje Grupy Współpracy NIS. Takimi dowodami mogą być dokumenty wskazujące na integrację konkretnych scenariuszy i wytycznych z celami biznesowymi organizacji.

Wymagania wobec umów z dostawcami i usługodawcami w polityce bezpieczeństwa łańcucha dostaw

Organizacje tworzące politykę bezpieczeństwa łańcucha dostaw są zobowiązane do określenia szczegółowych wymagań wobec umów z dostawcami i usługodawcami. Umowy te powinny zawierać postanowienia dotyczące strategicznych obszarów związanych z bezpieczeństwem sieci i systemów informacyjnych, określonych na podstawie wyników oceny ryzyka.

Kluczowe wymagania wobec umów z dostawcami i usługodawcami

1. Wymogi dotyczące cyberbezpieczeństwa
   Umowy powinny określać standardy cyberbezpieczeństwa, w tym zasady nabywania produktów i usług ICT.
2. Szkolenia i certyfikacje
   Organizacje powinny wymagać od dostawców i ich pracowników odpowiednich szkoleń, umiejętności oraz certyfikacji w zakresie bezpieczeństwa.
3. Weryfikacja personelu
   Niezbędne jest zapewnienie procedur sprawdzania przeszłości pracowników dostawców i usługodawców, szczególnie w kontekście ich dostępu do krytycznych systemów.
4. Raportowanie incydentów
   Dostawcy są zobowiązani do niezwłocznego informowania o wszelkich incydentach, które mogą wpłynąć na bezpieczeństwo sieci i systemów informacyjnych.
5. Audyt i raporty bezpieczeństwa
   Umowy powinny gwarantować prawo do audytu oraz dostępu do raportów dotyczących bezpieczeństwa.
6. Zarządzanie podwykonawcami
   Jeśli dostawca korzysta z podwykonawców, ich zgodność z wymaganiami cyberbezpieczeństwa musi być zagwarantowana.
7. Rozwiązanie umowy i usuwanie danych
   Umowy muszą regulować kwestie związane z zakończeniem współpracy, w tym procedury odzyskiwania i usuwania danych pozyskanych w trakcie realizacji zadań.

Wskazówki dla mniejszych podmiotów

Organizacjom o ograniczonych możliwościach negocjacyjnych zaleca się:

• wspólne negocjacje w ramach grup zakupowych,
• korzystanie z reprezentacji przez organizacje branżowe,
• zasięganie porad prawnych przy zawieraniu umów,
• negocjowanie klauzul zabezpieczających, takich jak zasady rozwiązania umowy czy poziomy usług.

Przykłady dowodów na zgodność umów z wymaganiami

• Umowy uwzględniające wszystkie niezbędne elementy.
• Porównanie treści umów z dokumentacją przetargową, w szczególności pod kątem zgodności z zasadami zakupu produktów ICT.
• Raporty dostawców dotyczące zgłaszania podatności i działań naprawczych.

Ocena ryzyka jako kluczowy element procesu wyboru dostawców i usługodawców

Zgodnie z dyrektywą NIS2 w procesie wyboru nowych dostawców i usługodawców w organizacji wymaga się uwzględnienia kluczowych elementów związanych z bezpieczeństwem cybernetycznym i zarządzaniem ryzykiem. Istotne jest szczegółowe zbadanie praktyk dostawców, jakości oferowanych usług oraz potencjalnych zagrożeń dla sieci i systemów informacyjnych organizacji. Zasadniczym etapem tego procesu jest przeprowadzenie szczegółowej analizy ryzyka przed podpisaniem umowy, aby zapewnić bezpieczeństwo współpracy i minimalizację potencjalnych zagrożeń.

Wytyczne dotyczące analizy ryzyka

Przed podpisaniem umów z dostawcami lub usługodawcami należy:

• przeprowadzić analizę ryzyka,
• zidentyfikować potencjalne zagrożenia wynikające ze współpracy z danym podmiotem oraz ocenić ich wpływ na bezpieczeństwo sieci i systemów informacyjnych organizacji.

Przykłady dowodów na zgodność procesu wyboru dostawców i usługodawców

• Dokumentacja umów i wytycznych dotyczących przetargów – potwierdzająca, że postanowienia uwzględniają wymagania NIS2.
• Porównanie treści umów i przetargów – aby zweryfikować, czy pozyskiwanie systemów ICT oraz usług spełnia wymogi bezpieczeństwa.
• Raporty z analizy ryzyka – sporządzone na podstawie oceny dostawców i usługodawców, zawierające identyfikację zagrożeń i rekomendacje działań naprawczych.

Cykliczna ocena polityki bezpieczeństwa łańcucha dostaw

W dynamicznym środowisku biznesowym, w którym zagrożenia cyberbezpieczeństwa stale ewoluują, niezbędne jest przeprowadzanie regularnej oceny i aktualizacji polityki bezpieczeństwa łańcucha dostaw. Organizacje powinny monitorować, oceniać i w razie potrzeby wprowadzać modyfikacje w odpowiedzi na zmiany w praktykach dostawców, na incydenty bezpieczeństwa czy na inne istotne zdarzenia wpływające na bezpieczeństwo usług i produktów ICT.

Znaczenie regularnej oceny polityki bezpieczeństwa łańcucha dostaw

Zmieniające się ryzyka i wymagania rynku sprawiają, że polityka bezpieczeństwa łańcucha dostaw nie może być traktowana jako statyczny dokument. Regularna ocena pozwala organizacjom na:

• wykrywanie luk w aktualnych procedurach,
• dopasowywanie polityki do zmieniających się standardów cyberbezpieczeństwa,
• reagowanie na nowe zagrożenia wynikające z incydentów lub zmian w działalności dostawców.

Praktyczne podejście do monitorowania i oceny polityki bezpieczeństwa łańcucha dostaw

Organizacje powinny:

• przeprowadzać przegląd polityki co najmniej raz w roku – regularny harmonogram przeglądów umożliwia systematyczne aktualizowanie polityki,
• monitorować dostawców przez cały cykl współpracy – ciągła analiza praktyk i działań dostawców pozwala na bieżąco identyfikować potencjalne zagrożenia,
• uwzględniać znaczące zmiany lub incydenty – każdy istotny incydent bezpieczeństwa lub każda zmiana w działalności dostawców powinny być impulsem do przeglądu polityki.

Przykłady dowodów na zgodność z wymogami dotyczącymi monitorowania

• Plany i harmonogramy przeglądów polityki bezpieczeństwa.
• Rejestry z wcześniejszych przeglądów i wprowadzonych zmian.
• Listy incydentów związanych z dostawcami.
• Raporty oceniające dostawców i ich produkty pod kątem cyberbezpieczeństwa.

Monitorowanie poziomu usług i zarządzanie ryzykiem w łańcuchu dostaw ICT

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.

ZOBACZ WIĘCEJ

Kluczowe działania w budowaniu odporności na zagrożenia i utrzymywaniu stabilności operacyjnej

1. Regularne monitorowanie umów SLA
   Organizacje powinny nadzorować realizację postanowień wynikających z umów o poziomie usług (Service Level Agreements) w celu zapewnienia zgodności z ustalonymi standardami.
2. Przegląd incydentów bezpieczeństwa
   Analiza incydentów związanych z produktami i usługami ICT dostarczanymi przez dostawców jest niezbędna do identyfikacji zagrożeń i wdrażania odpowiednich działań naprawczych.
3. Ocena ryzyka zmian w produktach i usługach ICT
   W przypadku wprowadzania zmian w produktach lub usługach ICT organizacje muszą przeprowadzać analizę ryzyka i podejmować działania w celu zminimalizowania potencjalnych zagrożeń.
4. Planowanie dodatkowych przeglądów
   W razie potrzeby organizacje powinny uwzględniać możliwość przeprowadzania przeglądów poza regularnym harmonogramem, szczególnie w odpowiedzi na znaczące zmiany lub incydenty.

Przykłady dowodów na zgodność z zasadami monitorowania poziomu usług i zarządzania ryzykiem

• Dokumentacja monitorowania poziomu usług zgodnie z umowami SLA.
• Raporty z analizy incydentów bezpieczeństwa oraz z wprowadzonych działań naprawczych.
• Dowody potwierdzające, że podpisane umowy z dostawcami uwzględniają wymagania odnoszące się do bezpieczeństwa, w tym zapisy dotyczące ról, odpowiedzialności i raportowania.
• Dokumenty dotyczące zarządzania zakończeniem współpracy z dostawcami, obejmujące przejście usług i danych oraz dostęp do zasobów.
• Lista incydentów związanych z bezpieczeństwem, wynikających ze współpracy z dostawcami.

Rejestr dostawców i usługodawców – narzędzie zarządzania i kontroli w łańcuchu dostaw

Utrzymywanie aktualnego rejestru dostawców i usługodawców jest podstawą zarządzania bezpieczeństwem łańcucha dostaw w każdej organizacji. Taki rejestr pozwala nie tylko na efektywne monitorowanie współpracy z partnerami biznesowymi, lecz także na szybkie reagowanie na zmiany, które mogą wpłynąć na bezpieczeństwo systemów ICT.

Wymagane elementy rejestru dostawców i usługodawców

Rejestr dostawców i usługodawców powinien obejmować:

• dane kontaktowe każdego dostawcy i usługodawcy,
• szczegółową listę produktów ICT, usług ICT i procesów ICT dostarczanych przez każdego dostawcę lub usługodawcę.

Regularne przeglądy i aktualizacje rejestru dostawców i usługodawców

Aby zapewnić dokładność i aktualność informacji, rejestr dostawców i usługodawców powinien być przeglądany co najmniej dwa razy w roku lub po każdej istotnej zmianie dotyczącej dostawców. Takie podejście pozwala na bieżąco identyfikować potencjalne ryzyka i wdrażać odpowiednie środki zapobiegawcze.

Klasyfikacja dostawców i usługodawców

Dostawcy i usługodawcy mogą być klasyfikowani według różnych kryteriów, takich jak:

• wrażliwość zasobów dostarczanych przez danego dostawcę,
• wolumen zakupów,
• wymagania dotyczące dostępności usług,
• zastosowanie regulacji prawnych,
• poziom ryzyka i środki jego ograniczania.

Na podstawie tych kryteriów dostawcy mogą być przypisani do trzech kategorii:

• krytyczni – dostawcy mający kluczowy wpływ na operacje organizacji,
• strategiczni – dostawcy o wysokiej wartości, którzy wspierają infrastrukturę informacyjną, np. dostawcy chmury czy oprogramowania,
• rutynowi – dostawcy o minimalnym wpływie na działania organizacji.

Przykłady dowodów na zgodność rejestru dostawców i usługodawców

• Lista umów i porozumień SLA, które są zgodne z polityką łańcucha dostaw.
• Dokumentacja kategorii przypisanych dostawcom oraz zasady zarządzania dostawcami na podstawie tych kategorii.
• Opisy procesów oceny ryzyka dla każdego dostawcy i odpowiednie działania dostosowane do ich klasyfikacji.