Przewodnik NIS2

Przewodnik NIS2 · 8 min

Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców

NIS2 czyni Cię odpowiedzialnym za cyberryzyko Twoich dostawców (art. 21 ust. 2 lit. d), a tej odpowiedzialności nie da się oddać na zewnątrz. Umowa to miejsce, w którym obowiązek staje się realny: pozwala Ci żądać dowodów, dowiadywać się o incydentach na czas, by dotrzymać własnych terminów zgłoszeń, i utrzymać dostawcę na poziomie bezpieczeństwa. To praktyczna lista klauzul, które mają znaczenie: dlaczego każda istnieje i jak uczynić je egzekwowalnymi, a nie ozdobnymi.

Najważniejsze wnioski

  • Obowiązek dotyczący łańcucha dostaw jest Twój; umowa to sposób przeniesienia go w dół łańcucha.
  • Klauzula o terminie powiadomienia chroni Twoje własne terminy z art. 23.
  • Podpisana klauzula to nie gwarancja: połącz ją ze sposobem ciągłej weryfikacji dostawcy.

Dlaczego klauzule umowne, a nie sama ankieta

Ankieta rejestruje deklaracje dostawcy w jednym dniu. Umowa tworzy obowiązki, na które możesz reagować: poziom, który musi spełnić, obowiązek poinformowania Cię, gdy coś zawiedzie, i prawo do sprawdzenia. Art. 21 ust. 2 lit. d NIS2 oczekuje, że będziesz zarządzać bezpieczeństwem relacji z bezpośrednimi dostawcami, a art. 23 może uczynić incydent dostawcy Twoim terminem zgłoszenia. Żadne z nich nie działa na samą dobrą wolę; oba trzeba zapisać.

Źródło oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 lit. d (środki dotyczące łańcucha) i art. 23 (zgłaszanie incydentów).

Klauzule do uwzględnienia

Dostosuj treść do swojej branży i radcy prawnego, ale uwzględnij każdą z nich. Odpowiadają bezpośrednio środkom oczekiwanym przez NIS2 i terminom, które nakłada.

1

Poziom bezpieczeństwa powiązany ze środkami NIS2

Wymagaj, aby dostawca utrzymywał istotne dla usługi środki z art. 21 ust. 2: zarządzanie ryzykiem, kontrolę dostępu, MFA, szyfrowanie, obsługę podatności i łatanie oraz testowane kopie zapasowe. Odwołaj się do środków wprost, aby standard był obiektywny, a nie mglistą 'dobrą praktyką branżową'.

2

Okno powiadomienia o incydencie

Ustal twardy termin (zwykle 24 godziny) na powiadomienie Cię przez dostawcę o incydencie bezpieczeństwa dotyczącym Twojej usługi, wyznaczony kontakt odpowiadający poza godzinami pracy oraz minimalne informacje, jakie powiadomienie ma zawierać. To pozwala Ci dotrzymać własnego wczesnego ostrzeżenia w 24 godziny i zgłoszenia w 72 godziny zgodnie z art. 23.

3

Prawo do żądania dowodów i audytu

Zastrzeż sobie prawo do żądania dowodów kontroli (certyfikaty, wyniki testów, wyniki skanów), a dla dostawców wyższego ryzyka do audytu lub zlecenia niezależnej oceny. Bez tego 'jesteśmy bezpieczni' jest nieweryfikowalne.

4

Przeniesienie na podwykonawców (czwarta strona)

Wymagaj, aby dostawca nałożył równoważne obowiązki bezpieczeństwa i powiadamiania na własnych podwykonawców oraz ujawnił tych, którzy istotnie przetwarzają Twoje dane lub wspierają usługę. Twoje ryzyko nie kończy się na bezpośrednim dostawcy.

5

Zobowiązania dotyczące podatności i łatania

Zdefiniuj oczekiwane terminy usuwania aktywnie wykorzystywanych i krytycznych podatności w systemach, które Cię obsługują, oraz obowiązek poinformowania Cię, jeśli istotnej podatności nie da się naprawić na czas.

6

Lokalizacja danych i przejrzystość podprzetwarzających

Wymagaj ujawnienia, gdzie Twoje dane są przetwarzane i przechowywane oraz których podprzetwarzających użyto, z uprzedzeniem przed istotnymi zmianami. Wspiera to zarówno Twój obraz łańcucha NIS2, jak i obowiązki RODO.

7

Współpraca, naprawa i prawo wkroczenia

Zobowiąż dostawcę do współpracy przy Twojej reakcji na incydenty i z każdym organem, do usuwania ustaleń w uzgodnionych terminach i zapewnij sobie środki (plan naprawczy, eskalacja, ostatecznie rozwiązanie umowy), jeśli tego nie zrobi.

8

Trwałość i zwrot danych przy zakończeniu

Zapewnij, że poufność, obowiązki dowodowe oraz bezpieczny zwrot lub usunięcie Twoich danych przetrwają rozwiązanie umowy, aby odchodzący dostawca nie stał się niemonitorowaną ekspozycją.

Zobacz, jak naprawdę wypadają Twoi dostawcy

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Podpisz, a potem weryfikuj na bieżąco

Klauzula umowna ustala obowiązek; nie mówi, czy dostawca spełnia go dzisiaj. Luka między podpisem a rzeczywistością to miejsce, gdzie dochodzi do incydentów łańcucha dostaw. Połącz klauzule z ciągłym, zewnętrznym monitorowaniem stanu każdego dostawcy, aby gdy coś odbiega (wygasający certyfikat, wyciekłe poświadczenia, świeżo wystawiona usługa), zobaczyć to i móc powołać się na klauzulę, zamiast dowiadywać się z powiadomienia o incydencie.

Częste błędy

  • Mglisty standard 'odpowiednich środków bezpieczeństwa' bez niczego obiektywnego do egzekwowania.
  • Brak terminu powiadomienia, więc o incydencie dostawcy dowiadujesz się, gdy Twój własny zegar już bije.
  • Klauzule, które kończą się na bezpośrednim dostawcy i pomijają podwykonawców.
  • Podpisanie raz i brak weryfikacji, traktowanie umowy jako końca staranności, a nie jej początku.

Zobacz monitoring dostawców na poziomie NIS2

Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć

Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.

Status transpozycji NIS2: w których krajach UE obowiązuje

Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.

Ostatnio sprawdzono: 19 czerwca 2026

Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.