Przewodnik NIS2

Przewodnik NIS2 · 7 min

Twój zewnętrzny stan bezpieczeństwa w NIS2: co widzą dostawcy i klienci

W NIS2 Twoi klienci odpowiadają za bezpieczeństwo swoich dostawców (art. 21 ust. 2 lit. d) i coraz częściej oceniają to ryzyko z zewnątrz, wyłącznie na podstawie tego, co publicznie widoczne: uwierzytelnianie poczty, certyfikaty i to, co z Twojej infrastruktury jest wystawione do internetu. To te same sygnały, które napastnik widzi jako pierwsze. Ten przewodnik wyjaśnia zewnętrzne sygnały decydujące o tym, jak jesteś oceniany jako dostawca, dlaczego każdy ma znaczenie oraz jak je sprawdzić i naprawić.

Najważniejsze wnioski

  • NIS2 przenosi ocenę dostawców w dół łańcucha; wiele zaczyna się od Twojego publicznie widocznego stanu bezpieczeństwa.
  • Najsilniejsze sygnały: podatność poczty na podszywanie (SPF/DMARC), higiena certyfikatów i systemy wystawione do internetu.
  • Większość zobaczysz i naprawisz samodzielnie w kilka minut, zanim zrobi to klient lub napastnik.

Dlaczego widok z zewnątrz ma znaczenie w NIS2

Art. 21 ust. 2 lit. d NIS2 czyni podmiot objęty zakresem odpowiedzialnym za cyberryzyko swoich bezpośrednich dostawców. Ponieważ kupujący nie może dogłębnie audytować każdego dostawcy, praktycznym pierwszym krokiem jest widok zewnętrzny: sygnały widoczne bez żadnego dostępu do Twoich systemów. Słaby sygnał nie dowodzi braku bezpieczeństwa, ale to właśnie zauważa klient, do tego porównuje się ankietę i to bada najpierw napastnik. Zrobienie tego dobrze jest tanie i wymowne.

Źródło oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 (środki bezpieczeństwa) i 21 ust. 2 lit. d (bezpieczeństwo łańcucha dostaw).

Zewnętrzne sygnały kształtujące Twoją ocenę

Żaden nie wymaga dostępu do Twoich systemów; wszystkie są widoczne z publicznego internetu. Odpowiadają środkom oczekiwanym przez NIS2 i temu, jak faktycznie działają napastnicy.

1

Podatność poczty na podszywanie (SPF i DMARC)

Jeśli Twoja domena nie publikuje SPF ani DMARC, albo DMARC jest na p=none, każdy może wysłać e-mail wyglądający jak od Ciebie. To mechanizm phishingu i oszustwa na prezesa (BEC), trywialnie sprawdzalny w Twoim publicznym DNS.

2

Higiena certyfikatów (TLS)

Wygasłe lub wkrótce wygasające certyfikaty na głównych usługach sygnalizują słabą kontrolę operacyjną i mogą naruszyć zaufanie i dostępność. Logi certificate transparency czynią też Twoją historię certyfikatów publiczną.

3

Wystawione systemy nieprodukcyjne i administracyjne

Hosty deweloperskie, staging lub administracyjne osiągalne z internetu poszerzają Twoją powierzchnię ataku i często brakuje im utwardzenia na poziomie produkcji. Często pojawiają się w publicznych logach certificate transparency.

4

Wyciekłe poświadczenia i ekspozycja na wycieki

Poświadczenia pracowników ujawnione w publicznych zbiorach wycieków i infostealerów to bezpośrednia droga wejścia. To zewnętrzna, publiczna informacja, na którą napastnik może zareagować, zanim zauważysz.

5

Utwardzenie transportu webowego (HSTS i nagłówki)

Brak HSTS i powiązanych nagłówków jest z osobna drobny, ale razem wskazują, jak konsekwentnie stosowane są podstawy. Oceniający czytają je jako miernik dojrzałości operacyjnej.

Zobacz, jak naprawdę wypadają Twoi dostawcy

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Jak to sprawdzić i utrzymać

Większość sprawdzisz samodzielnie w kilka minut, publicznymi narzędziami i własnym DNS. Trudniejsze jest utrzymanie tego w czasie: certyfikat wygasa, nowa subdomena się wystawia, poświadczenia wyciekają. Ciągłe monitorowanie zewnętrzne obserwuje te sygnały dla Twojej domeny i Twoich dostawców i przypisuje każde ustalenie do właściwego artykułu NIS2, byś zobaczył i naprawił, zanim zrobi to ocena klienta lub napastnik.

Częste błędy

  • Uznawanie uwierzytelniania poczty za zrobione, gdy istnieje SPF, podczas gdy DMARC pozostaje na p=none i nic nie blokuje.
  • Naprawienie głównej witryny, ale pozostawienie hostów dev, staging lub admin wystawionych i nieutwardzonych.
  • Założenie, że 'przeszliśmy ankietę' oznacza, że zewnętrzna rzeczywistość nadal się zgadza miesiące później.
  • Niesprawdzanie, co publiczne dane o wyciekach już ujawniają o Waszych kontach.

Zobacz, jak Twój zewnętrzny stan bezpieczeństwa mapuje się na NIS2

Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć

Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.

Status transpozycji NIS2: w których krajach UE obowiązuje

Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.

Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców

Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.

Czy Twoi dostawcy używają AI? Ryzyko dostawców w NIS2 a unijny akt o AI

Dostawcy coraz częściej osadzają AI w usługach, od których zależysz, a ich dostawcy tak samo. Gdzie AI dostawców i n-tej strony tworzy ryzyko w świetle art. 21 ust. 2 lit. d NIS2 i unijnego aktu o AI, co oceniać i jak zachować widoczność.

Podszywanie się pod dostawcę i oszustwo na prezesa (BEC): podszywanie e-mail, DMARC i NIS2

Jeden z najczęstszych ataków na łańcuch dostaw nie wymaga włamania: sfałszowany e-mail, który przekierowuje płatność albo kradnie dane. Jak działa BEC i podszywanie się pod dostawcę, jakie ustawienia SPF, DKIM i DMARC je zatrzymują i jak wpisuje się w art. 21 ust. 2 lit. d NIS2.

Ostatnio sprawdzono: 19 czerwca 2026

Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.