Przewodnik NIS2

Przewodnik NIS2 · 7 min

Czy Twoi dostawcy używają AI? Ryzyko dostawców w NIS2 a unijny akt o AI

W NIS2 odpowiadasz za cyberryzyko, jakie niosą Twoi dostawcy (art. 21 ust. 2 lit. d). Coraz częściej należy do niego AI: dostawcy osadzają AI w usługach, od których zależysz, a ich dostawcy robią to samo. Unijny akt o AI, obecnie we wdrażaniu etapowym, dodaje obowiązki dla organizacji, które wdrażają systemy AI lub na nich polegają, także dostarczane przez podmioty trzecie. Większość ocen dostawców w ogóle nie pyta o AI. Ten przewodnik wyjaśnia, gdzie AI dostawców i n-tej strony tworzy ryzyko w świetle NIS2 i aktu o AI, co oceniać i jak zachować widoczność.

Najważniejsze wnioski

  • NIS2 czyni cyberryzyko dostawców Twoją odpowiedzialnością; AI osadzone przez dostawców jest już jego częścią.
  • Unijny akt o AI dodaje obowiązki, gdy polegasz na AI podmiotu trzeciego, w tym na systemach wysokiego ryzyka.
  • Większość ankiet pomija AI; AI n-tej strony (dostawcy Twoich dostawców) to najtrudniejszy martwy punkt.

Którędy AI wchodzi do Twojego łańcucha dostaw

AI dociera do Ciebie przez dostawców na trzy sposoby: dostawca używa AI w usłudze, którą konsumujesz; dostawca przetwarza Twoje dane z użyciem AI (trenowanie, wnioskowanie, narzędzia wsparcia); a dostawcy Twojego dostawcy robią to samo (n-ta strona). Każdy poszerza powierzchnię ataku (ekspozycja modelu i danych, wstrzyknięcie promptu, nowe integracje) oraz ekspozycję regulacyjną. Art. 21 ust. 2 lit. d NIS2 czyni Cię odpowiedzialnym za bezpieczeństwo tych relacji, a akt o AI dodaje obowiązki w zakresie przejrzystości i zarządzania ryzykiem, gdy wdrażasz systemy AI lub na nich polegasz, także podmiotów trzecich.

Źródła oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 lit. d; oraz unijny akt o AI (rozporządzenie (UE) 2024/1689) w zakresie obowiązków dotyczących AI.

Co oceniać w zakresie AI dostawców

Dodaj te punkty do oceny dostawców. Odpowiadają środkom NIS2 dotyczącym łańcucha dostaw oraz obowiązkom aktu o AI dla tych, którzy polegają na AI.

1

Gdzie AI dotyka Twoich danych

Zapytaj, które części usługi używają AI, czy Twoje dane służą do trenowania lub wnioskowania i gdzie odbywa się to przetwarzanie. To określa zarówno Twoją ekspozycję NIS2, jak i pozycję wobec aktu o AI oraz RODO.

2

Czy AI jest wysokiego ryzyka według aktu o AI

Jeśli AI dostawcy należy do kategorii wysokiego ryzyka aktu o AI, dziedziczysz oczekiwania co do przejrzystości, nadzoru człowieka i dokumentacji, gdy na niej polegasz. Potwierdź klasyfikację i prace dostawcy nad zgodnością.

3

AI n-tej strony (dostawcy Twojego dostawcy)

Dostawcy coraz częściej odsprzedają lub osadzają AI podmiotów trzecich (modele fundamentowe, API AI). Wymagaj ujawnienia tych poddostawców, aby awaria modelu, incydent danych lub zmiana polityki Cię nie zaskoczyły.

4

Kontrole bezpieczeństwa właściwe dla AI

Ochrona przed wstrzyknięciem promptu i wyciekiem danych, kontrola dostępu do punktów końcowych modelu, rejestrowanie oraz nadzór człowieka nad zautomatyzowanymi decyzjami. To rozszerzenie podstawy z art. 21 ust. 2 na erę AI.

5

Zgłaszanie incydentów AI

Rozszerz klauzulę powiadamiania w umowie o awarie właściwe dla AI (wyciek danych przez model, szkodliwy lub zmanipulowany wynik), aby incydent AI dostawcy dotarł do Ciebie na czas dla Twojego własnego zgłoszenia.

Zobacz, jak naprawdę wypadają Twoi dostawcy

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Jak zachować widoczność w miarę rozprzestrzeniania się AI

Wykorzystanie AI w Twoim łańcuchu zmienia się szybciej niż roczna ankieta: dostawca dodaje funkcję AI, zmienia dostawcę modelu albo pojawia się nowy podmiot przetwarzający. Połącz ankietę z ciągłym monitorowaniem zewnętrznym i żywym inwentarzem czwartej strony, aby nowe zależności od AI i stojący za nimi poddostawcy ujawniali się od razu, powiązani z obowiązkami NIS2 i aktu o AI, które uruchamiają, a nie dopiero w kolejnym cyklu przeglądu.

Częste błędy

  • Ankieta dostawcy, która w ogóle nie pyta o AI.
  • Ocena bezpośredniego dostawcy z pominięciem modelu podmiotu trzeciego lub API AI stojącego za jego usługą.
  • Traktowanie AI wyłącznie jako tematu innowacji, a nie bezpieczeństwa łańcucha dostaw i zgodności z aktem o AI.
  • Brak umownego obowiązku ujawniania użycia AI lub zgłaszania incydentów właściwych dla AI.

Zobacz, jak ryzyko dostawców i AI mapuje się na NIS2

Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć

Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.

Status transpozycji NIS2: w których krajach UE obowiązuje

Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.

Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców

Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.

Twój zewnętrzny stan bezpieczeństwa w NIS2: co widzą dostawcy i klienci

Publicznie widoczne sygnały, które klienci oceniają na mocy art. 21 ust. 2 lit. d NIS2: podatność poczty na podszywanie (SPF/DMARC), higiena certyfikatów, systemy wystawione do internetu i wyciekłe poświadczenia, dlaczego każdy ma znaczenie i jak je sprawdzić i naprawić.

Podszywanie się pod dostawcę i oszustwo na prezesa (BEC): podszywanie e-mail, DMARC i NIS2

Jeden z najczęstszych ataków na łańcuch dostaw nie wymaga włamania: sfałszowany e-mail, który przekierowuje płatność albo kradnie dane. Jak działa BEC i podszywanie się pod dostawcę, jakie ustawienia SPF, DKIM i DMARC je zatrzymują i jak wpisuje się w art. 21 ust. 2 lit. d NIS2.

Ostatnio sprawdzono: 19 czerwca 2026

Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.