Przewodnik NIS2 · 7 min
Twój zewnętrzny stan bezpieczeństwa w NIS2: co widzą dostawcy i klienci
W NIS2 Twoi klienci odpowiadają za bezpieczeństwo swoich dostawców (art. 21 ust. 2 lit. d) i coraz częściej oceniają to ryzyko z zewnątrz, wyłącznie na podstawie tego, co publicznie widoczne: uwierzytelnianie poczty, certyfikaty i to, co z Twojej infrastruktury jest wystawione do internetu. To te same sygnały, które napastnik widzi jako pierwsze. Ten przewodnik wyjaśnia zewnętrzne sygnały decydujące o tym, jak jesteś oceniany jako dostawca, dlaczego każdy ma znaczenie oraz jak je sprawdzić i naprawić.
Najważniejsze wnioski
- • NIS2 przenosi ocenę dostawców w dół łańcucha; wiele zaczyna się od Twojego publicznie widocznego stanu bezpieczeństwa.
- • Najsilniejsze sygnały: podatność poczty na podszywanie (SPF/DMARC), higiena certyfikatów i systemy wystawione do internetu.
- • Większość zobaczysz i naprawisz samodzielnie w kilka minut, zanim zrobi to klient lub napastnik.
Dlaczego widok z zewnątrz ma znaczenie w NIS2
Art. 21 ust. 2 lit. d NIS2 czyni podmiot objęty zakresem odpowiedzialnym za cyberryzyko swoich bezpośrednich dostawców. Ponieważ kupujący nie może dogłębnie audytować każdego dostawcy, praktycznym pierwszym krokiem jest widok zewnętrzny: sygnały widoczne bez żadnego dostępu do Twoich systemów. Słaby sygnał nie dowodzi braku bezpieczeństwa, ale to właśnie zauważa klient, do tego porównuje się ankietę i to bada najpierw napastnik. Zrobienie tego dobrze jest tanie i wymowne.
Źródło oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 (środki bezpieczeństwa) i 21 ust. 2 lit. d (bezpieczeństwo łańcucha dostaw).
Zewnętrzne sygnały kształtujące Twoją ocenę
Żaden nie wymaga dostępu do Twoich systemów; wszystkie są widoczne z publicznego internetu. Odpowiadają środkom oczekiwanym przez NIS2 i temu, jak faktycznie działają napastnicy.
Podatność poczty na podszywanie (SPF i DMARC)
Jeśli Twoja domena nie publikuje SPF ani DMARC, albo DMARC jest na p=none, każdy może wysłać e-mail wyglądający jak od Ciebie. To mechanizm phishingu i oszustwa na prezesa (BEC), trywialnie sprawdzalny w Twoim publicznym DNS.
Higiena certyfikatów (TLS)
Wygasłe lub wkrótce wygasające certyfikaty na głównych usługach sygnalizują słabą kontrolę operacyjną i mogą naruszyć zaufanie i dostępność. Logi certificate transparency czynią też Twoją historię certyfikatów publiczną.
Wystawione systemy nieprodukcyjne i administracyjne
Hosty deweloperskie, staging lub administracyjne osiągalne z internetu poszerzają Twoją powierzchnię ataku i często brakuje im utwardzenia na poziomie produkcji. Często pojawiają się w publicznych logach certificate transparency.
Wyciekłe poświadczenia i ekspozycja na wycieki
Poświadczenia pracowników ujawnione w publicznych zbiorach wycieków i infostealerów to bezpośrednia droga wejścia. To zewnętrzna, publiczna informacja, na którą napastnik może zareagować, zanim zauważysz.
Utwardzenie transportu webowego (HSTS i nagłówki)
Brak HSTS i powiązanych nagłówków jest z osobna drobny, ale razem wskazują, jak konsekwentnie stosowane są podstawy. Oceniający czytają je jako miernik dojrzałości operacyjnej.
Zobacz, jak naprawdę wypadają Twoi dostawcy
7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili
Jak to sprawdzić i utrzymać
Większość sprawdzisz samodzielnie w kilka minut, publicznymi narzędziami i własnym DNS. Trudniejsze jest utrzymanie tego w czasie: certyfikat wygasa, nowa subdomena się wystawia, poświadczenia wyciekają. Ciągłe monitorowanie zewnętrzne obserwuje te sygnały dla Twojej domeny i Twoich dostawców i przypisuje każde ustalenie do właściwego artykułu NIS2, byś zobaczył i naprawił, zanim zrobi to ocena klienta lub napastnik.
Częste błędy
- ✕Uznawanie uwierzytelniania poczty za zrobione, gdy istnieje SPF, podczas gdy DMARC pozostaje na p=none i nic nie blokuje.
- ✕Naprawienie głównej witryny, ale pozostawienie hostów dev, staging lub admin wystawionych i nieutwardzonych.
- ✕Założenie, że 'przeszliśmy ankietę' oznacza, że zewnętrzna rzeczywistość nadal się zgadza miesiące później.
- ✕Niesprawdzanie, co publiczne dane o wyciekach już ujawniają o Waszych kontach.
Zobacz, jak Twój zewnętrzny stan bezpieczeństwa mapuje się na NIS2
Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.
7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili
Powiązane przewodniki
Jak spełnić NIS2: mapa drogowa krok po kroku
Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.
Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości
Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.
NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak
Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.
NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce
NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.
Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2
Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.
NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców
Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.
Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon
O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.
Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione
Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.
NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca
Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.
ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie
Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.
Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć
Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.
NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie
Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.
RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba
Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.
Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw
Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.
Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)
Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.
Status transpozycji NIS2: w których krajach UE obowiązuje
Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.
Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców
Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.
Czy Twoi dostawcy używają AI? Ryzyko dostawców w NIS2 a unijny akt o AI
Dostawcy coraz częściej osadzają AI w usługach, od których zależysz, a ich dostawcy tak samo. Gdzie AI dostawców i n-tej strony tworzy ryzyko w świetle art. 21 ust. 2 lit. d NIS2 i unijnego aktu o AI, co oceniać i jak zachować widoczność.
Podszywanie się pod dostawcę i oszustwo na prezesa (BEC): podszywanie e-mail, DMARC i NIS2
Jeden z najczęstszych ataków na łańcuch dostaw nie wymaga włamania: sfałszowany e-mail, który przekierowuje płatność albo kradnie dane. Jak działa BEC i podszywanie się pod dostawcę, jakie ustawienia SPF, DKIM i DMARC je zatrzymują i jak wpisuje się w art. 21 ust. 2 lit. d NIS2.
Ostatnio sprawdzono: 19 czerwca 2026
Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.