Od regularnych przeglądów rejestrów dostawców przez analizę ryzyka w umowach aż po klasyfikację krytyczności usług – każdy element tej układanki ma znaczenie. Dowiedz się, jakie kroki podjąć, by nie tylko sprostać wymogom dyrektywy NIS2, lecz także zbudować odporność swojej organizacji na współczesne wyzwania. W tym artykule omawiamy najlepsze praktyki i narzędzia, które pomogą Ci utrzymać łańcuch dostaw pod pełną kontrolą.
Wymagania polityki bezpieczeństwa łańcucha dostaw
Podmioty kluczowe i ważne powinny opracować, wdrożyć i stosować politykę bezpieczeństwa łańcucha dostaw, która reguluje relacje z bezpośrednimi dostawcami i usługodawcami. Celem tej polityki jest ograniczenie zidentyfikowanych ryzyk związanych z bezpieczeństwem sieci i systemów informacyjnych. Polityka powinna również określać rolę danego podmiotu w łańcuchu dostaw oraz jasno komunikować ją dostawcom i usługodawcom.
Wytyczne dotyczące opracowania polityki bezpieczeństwa łańcucha dostaw
Tworzenie polityki bezpieczeństwa łańcucha dostaw wymaga uwzględnienia dobrze znanych standardów oraz dobrych praktyk. Kluczowym elementem jest jasne określenie roli organizacji w łańcuchu dostaw. Może ona pełnić jedną lub więcej z następujących funkcji:
- dostawca technologii informacyjno-komunikacyjnych (ICT),
- producent,
- dostawca oprogramowania,
- dostawca sprzętu,
- dostawca usług zarządzanych (MSP),
- dostawca zarządzanych usług bezpieczeństwa (MSSP),
- użytkownik.
Określenie roli w łańcuchu dostaw pozwala lepiej zarządzać kontaktami z dostawcami i minimalizować ryzyko wynikające z niewłaściwego zarządzania bezpieczeństwem w relacjach biznesowych.
Aby wykazać wdrożenie polityki bezpieczeństwa łańcucha dostaw, organizacje powinny dysponować odpowiednią dokumentacją.
Przykłady dowodów na realizację polityki bezpieczeństwa łańcucha dostaw
- Formalnie opracowana polityka bezpieczeństwa łańcucha dostaw.
- Potwierdzenie zgodności polityki z przyjętymi standardami i dobrymi praktykami.
- Dowody na komunikowanie roli podmiotu w łańcuchu dostaw, takie jak e-maile, umowy, ogłoszenia czy inne formy dokumentacji.

Kryteria wyboru dostawców w polityce bezpieczeństwa łańcucha dostaw
Zgodnie z dyrektywą NIS2 w ramach polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do określenia jasnych kryteriów wyboru i zawierania umów z dostawcami oraz usługodawcami. Kryteria te powinny uwzględniać niżej opisane aspekty.
Kluczowe kryteria wyboru dostawców
- Praktyki w zakresie cyberbezpieczeństwa dostawców i usługodawców
Zweryfikowanie procedur bezpiecznego rozwoju stosowanych przez dostawców oraz skontrolowanie ich podejścia do zarządzania bezpieczeństwem informacji. - Zdolność dostawców do spełnienia wymagań w zakresie cyberbezpieczeństwa
Upewnienie się, że dostawcy są w stanie spełnić określone wymagania i specyfikacje bezpieczeństwa ustalone przez zamawiający podmiot.
- Ogólna jakość i odporność produktów i usług ICT
Ocena jakości produktów i usług ICT oraz ich zdolności do radzenia sobie z zagrożeniami, a także ocena wdrożonych mechanizmów zarządzania ryzykiem cyberbezpieczeństwa, w tym identyfikacji poziomu ryzyka i klasyfikacji produktów i usług ICT. - Możliwość dywersyfikacji źródeł dostaw
Dążenie do unikania nadmiernej zależności od jednego dostawcy. Dzięki temu organizacja ogranicza ryzyko uzależnienia się od pojedynczych partnerów handlowych (tzw. vendor lock-in).
Przykład dowodu na realizację wymogu określenia kryteriów wyboru dostawców
- Polityka bezpieczeństwa łańcucha dostaw.
Uwzględnianie wyników oceny ryzyka w polityce bezpieczeństwa łańcucha dostaw
Podczas tworzenia polityki bezpieczeństwa łańcucha dostaw organizacje są zobowiązane do uwzględnienia wyników skoordynowanych ocen ryzyka bezpieczeństwa krytycznych łańcuchów dostaw, przeprowadzanych zgodnie z art. 22 ust. 1 dyrektywy (UE) 2022/2555 tam, gdzie ma to zastosowanie.
Dokumentacja jako dowód zgodności
Aby potwierdzić zgodność z przepisami, organizacja powinna dysponować dowodami, że uwzględniła w swojej polityce bezpieczeństwa łańcucha dostaw wyniki ocen ryzyka oraz rekomendacje Grupy Współpracy NIS. Takimi dowodami mogą być dokumenty wskazujące na integrację konkretnych scenariuszy i wytycznych z celami biznesowymi organizacji.
Wymagania wobec umów z dostawcami i usługodawcami w polityce bezpieczeństwa łańcucha dostaw
Organizacje tworzące politykę bezpieczeństwa łańcucha dostaw są zobowiązane do określenia szczegółowych wymagań wobec umów z dostawcami i usługodawcami. Umowy te powinny zawierać postanowienia dotyczące strategicznych obszarów związanych z bezpieczeństwem sieci i systemów informacyjnych, określonych na podstawie wyników oceny ryzyka.
Kluczowe wymagania wobec umów z dostawcami i usługodawcami
- Wymogi dotyczące cyberbezpieczeństwa
Umowy powinny określać standardy cyberbezpieczeństwa, w tym zasady nabywania produktów i usług ICT. - Szkolenia i certyfikacje
Organizacje powinny wymagać od dostawców i ich pracowników odpowiednich szkoleń, umiejętności oraz certyfikacji w zakresie bezpieczeństwa. - Weryfikacja personelu
Niezbędne jest zapewnienie procedur sprawdzania przeszłości pracowników dostawców i usługodawców, szczególnie w kontekście ich dostępu do krytycznych systemów. - Raportowanie incydentów
Dostawcy są zobowiązani do niezwłocznego informowania o wszelkich incydentach, które mogą wpłynąć na bezpieczeństwo sieci i systemów informacyjnych. - Audyt i raporty bezpieczeństwa
Umowy powinny gwarantować prawo do audytu oraz dostępu do raportów dotyczących bezpieczeństwa. - Zarządzanie podwykonawcami
Jeśli dostawca korzysta z podwykonawców, ich zgodność z wymaganiami cyberbezpieczeństwa musi być zagwarantowana. - Rozwiązanie umowy i usuwanie danych
Umowy muszą regulować kwestie związane z zakończeniem współpracy, w tym procedury odzyskiwania i usuwania danych pozyskanych w trakcie realizacji zadań.
Wskazówki dla mniejszych podmiotów
Organizacjom o ograniczonych możliwościach negocjacyjnych zaleca się:
- wspólne negocjacje w ramach grup zakupowych,
- korzystanie z reprezentacji przez organizacje branżowe,
- zasięganie porad prawnych przy zawieraniu umów,
- negocjowanie klauzul zabezpieczających, takich jak zasady rozwiązania umowy czy poziomy usług.
Przykłady dowodów na zgodność umów z wymaganiami
- Umowy uwzględniające wszystkie niezbędne elementy.
- Porównanie treści umów z dokumentacją przetargową, w szczególności pod kątem zgodności z zasadami zakupu produktów ICT.
- Raporty dostawców dotyczące zgłaszania podatności i działań naprawczych.
Ocena ryzyka jako kluczowy element procesu wyboru dostawców i usługodawców
Zgodnie z dyrektywą NIS2 w procesie wyboru nowych dostawców i usługodawców w organizacji wymaga się uwzględnienia kluczowych elementów związanych z bezpieczeństwem cybernetycznym i zarządzaniem ryzykiem. Istotne jest szczegółowe zbadanie praktyk dostawców, jakości oferowanych usług oraz potencjalnych zagrożeń dla sieci i systemów informacyjnych organizacji. Zasadniczym etapem tego procesu jest przeprowadzenie szczegółowej analizy ryzyka przed podpisaniem umowy, aby zapewnić bezpieczeństwo współpracy i minimalizację potencjalnych zagrożeń.
Wytyczne dotyczące analizy ryzyka
Przed podpisaniem umów z dostawcami lub usługodawcami należy:
- przeprowadzić analizę ryzyka,
- zidentyfikować potencjalne zagrożenia wynikające ze współpracy z danym podmiotem oraz ocenić ich wpływ na bezpieczeństwo sieci i systemów informacyjnych organizacji.
Przykłady dowodów na zgodność procesu wyboru dostawców i usługodawców
- Dokumentacja umów i wytycznych dotyczących przetargów – potwierdzająca, że postanowienia uwzględniają wymagania NIS2.
- Porównanie treści umów i przetargów – aby zweryfikować, czy pozyskiwanie systemów ICT oraz usług spełnia wymogi bezpieczeństwa.
- Raporty z analizy ryzyka – sporządzone na podstawie oceny dostawców i usługodawców, zawierające identyfikację zagrożeń i rekomendacje działań naprawczych.
Cykliczna ocena polityki bezpieczeństwa łańcucha dostaw
W dynamicznym środowisku biznesowym, w którym zagrożenia cyberbezpieczeństwa stale ewoluują, niezbędne jest przeprowadzanie regularnej oceny i aktualizacji polityki bezpieczeństwa łańcucha dostaw. Organizacje powinny monitorować, oceniać i w razie potrzeby wprowadzać modyfikacje w odpowiedzi na zmiany w praktykach dostawców, na incydenty bezpieczeństwa czy na inne istotne zdarzenia wpływające na bezpieczeństwo usług i produktów ICT.
Znaczenie regularnej oceny polityki bezpieczeństwa łańcucha dostaw
Zmieniające się ryzyka i wymagania rynku sprawiają, że polityka bezpieczeństwa łańcucha dostaw nie może być traktowana jako statyczny dokument. Regularna ocena pozwala organizacjom na:
- wykrywanie luk w aktualnych procedurach,
- dopasowywanie polityki do zmieniających się standardów cyberbezpieczeństwa,
- reagowanie na nowe zagrożenia wynikające z incydentów lub zmian w działalności dostawców.
Praktyczne podejście do monitorowania i oceny polityki bezpieczeństwa łańcucha dostaw
Organizacje powinny:
- przeprowadzać przegląd polityki co najmniej raz w roku – regularny harmonogram przeglądów umożliwia systematyczne aktualizowanie polityki,
- monitorować dostawców przez cały cykl współpracy – ciągła analiza praktyk i działań dostawców pozwala na bieżąco identyfikować potencjalne zagrożenia,
- uwzględniać znaczące zmiany lub incydenty – każdy istotny incydent bezpieczeństwa lub każda zmiana w działalności dostawców powinny być impulsem do przeglądu polityki.
Przykłady dowodów na zgodność z wymogami dotyczącymi monitorowania
- Plany i harmonogramy przeglądów polityki bezpieczeństwa.
- Rejestry z wcześniejszych przeglądów i wprowadzonych zmian.
- Listy incydentów związanych z dostawcami.
- Raporty oceniające dostawców i ich produkty pod kątem cyberbezpieczeństwa.
Monitorowanie poziomu usług i zarządzanie ryzykiem w łańcuchu dostaw ICT

Praca dobrymi narzędziami RODO to nie praca!
Kluczowe działania w budowaniu odporności na zagrożenia i utrzymywaniu stabilności operacyjnej
- Regularne monitorowanie umów SLA
Organizacje powinny nadzorować realizację postanowień wynikających z umów o poziomie usług (Service Level Agreements) w celu zapewnienia zgodności z ustalonymi standardami. - Przegląd incydentów bezpieczeństwa
Analiza incydentów związanych z produktami i usługami ICT dostarczanymi przez dostawców jest niezbędna do identyfikacji zagrożeń i wdrażania odpowiednich działań naprawczych. - Ocena ryzyka zmian w produktach i usługach ICT
W przypadku wprowadzania zmian w produktach lub usługach ICT organizacje muszą przeprowadzać analizę ryzyka i podejmować działania w celu zminimalizowania potencjalnych zagrożeń. - Planowanie dodatkowych przeglądów
W razie potrzeby organizacje powinny uwzględniać możliwość przeprowadzania przeglądów poza regularnym harmonogramem, szczególnie w odpowiedzi na znaczące zmiany lub incydenty.
Przykłady dowodów na zgodność z zasadami monitorowania poziomu usług i zarządzania ryzykiem
- Dokumentacja monitorowania poziomu usług zgodnie z umowami SLA.
- Raporty z analizy incydentów bezpieczeństwa oraz z wprowadzonych działań naprawczych.
- Dowody potwierdzające, że podpisane umowy z dostawcami uwzględniają wymagania odnoszące się do bezpieczeństwa, w tym zapisy dotyczące ról, odpowiedzialności i raportowania.
- Dokumenty dotyczące zarządzania zakończeniem współpracy z dostawcami, obejmujące przejście usług i danych oraz dostęp do zasobów.
- Lista incydentów związanych z bezpieczeństwem, wynikających ze współpracy z dostawcami.
Rejestr dostawców i usługodawców – narzędzie zarządzania i kontroli w łańcuchu dostaw
Utrzymywanie aktualnego rejestru dostawców i usługodawców jest podstawą zarządzania bezpieczeństwem łańcucha dostaw w każdej organizacji. Taki rejestr pozwala nie tylko na efektywne monitorowanie współpracy z partnerami biznesowymi, lecz także na szybkie reagowanie na zmiany, które mogą wpłynąć na bezpieczeństwo systemów ICT.
Wymagane elementy rejestru dostawców i usługodawców
Rejestr dostawców i usługodawców powinien obejmować:
- dane kontaktowe każdego dostawcy i usługodawcy,
- szczegółową listę produktów ICT, usług ICT i procesów ICT dostarczanych przez każdego dostawcę lub usługodawcę.
Regularne przeglądy i aktualizacje rejestru dostawców i usługodawców
Aby zapewnić dokładność i aktualność informacji, rejestr dostawców i usługodawców powinien być przeglądany co najmniej dwa razy w roku lub po każdej istotnej zmianie dotyczącej dostawców. Takie podejście pozwala na bieżąco identyfikować potencjalne ryzyka i wdrażać odpowiednie środki zapobiegawcze.
Klasyfikacja dostawców i usługodawców
Dostawcy i usługodawcy mogą być klasyfikowani według różnych kryteriów, takich jak:
- wrażliwość zasobów dostarczanych przez danego dostawcę,
- wolumen zakupów,
- wymagania dotyczące dostępności usług,
- zastosowanie regulacji prawnych,
- poziom ryzyka i środki jego ograniczania.
Na podstawie tych kryteriów dostawcy mogą być przypisani do trzech kategorii:
- krytyczni – dostawcy mający kluczowy wpływ na operacje organizacji,
- strategiczni – dostawcy o wysokiej wartości, którzy wspierają infrastrukturę informacyjną, np. dostawcy chmury czy oprogramowania,
- rutynowi – dostawcy o minimalnym wpływie na działania organizacji.
Przykłady dowodów na zgodność rejestru dostawców i usługodawców
- Lista umów i porozumień SLA, które są zgodne z polityką łańcucha dostaw.
- Dokumentacja kategorii przypisanych dostawcom oraz zasady zarządzania dostawcami na podstawie tych kategorii.
- Opisy procesów oceny ryzyka dla każdego dostawcy i odpowiednie działania dostosowane do ich klasyfikacji.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Który z poniższych elementów jest kluczowy w polityce bezpieczeństwa łańcucha dostaw zgodnie z wymaganiami dyrektywy NIS2?