norppa.io
Przewodniki

Przewodnik NIS2 · 9 min

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

Kwestionariusz bezpieczeństwa dostawcy to podstawa due diligence z art. 21 ust. 2 lit. d) NIS2 — ale większość jest zbyt długa, źle punktowana i nigdy nieweryfikowana. Ten przewodnik omawia, o co naprawdę pytać, jak zamienić odpowiedzi w decyzje, jak reagować, gdy dostawca nie spełnia wymagań, oraz jedną słabość wspólną wszystkim kwestionariuszom. Kończy się gotowym szablonem do dostosowania.

O co pytać — sześć obszarów, które mają znaczenie

Dobry kwestionariusz jest krótki i nastawiony na decyzję. Pokryj te sześć obszarów; oprzyj się pokusie dodania pięćdziesięciu kolejnych pól, których nikt nie oceni.

1

Ład i odpowiedzialność

Kto odpowiada za bezpieczeństwo i czy kierownictwo faktycznie je nadzoruje? NIS2 czyni zarząd odpowiedzialnym, więc to pierwszy sygnał dojrzałości.

2

Kontrola dostępu i uwierzytelnianie

Słabe uwierzytelnianie to najczęstszy wektor włamań. Uwierzytelnianie wieloskładnikowe i zasada najmniejszych uprawnień to podstawa, nie dodatek.

3

Reagowanie na incydenty i zgłaszanie

Potrzebujesz dostawcy, który wykrywa, ogranicza i szybko informuje — zegar 24 godzin (art. 23) może ruszyć od jego incydentu, nie Twojego.

4

Ciągłość działania i kopie zapasowe

Jeśli dostawca padnie lub zostanie zaszyfrowany, jak szybko odzyskasz usługę? Liczą się testowane kopie i zadeklarowany czas odtworzenia.

5

Łańcuch dostaw i ryzyko czwartej strony

Dostawcy Twojego dostawcy to także Twoje ryzyko. Zapytaj, czy oceniają własnych krytycznych podwykonawców i powiadamiają o zmianach.

6

Technika i ochrona danych

Szyfrowanie, tempo łatania i lokalizacja danych — konkretne kontrole, które zewnętrzny skan może później potwierdzić.

Jak punktować odpowiedzi — nie tylko je zbieraj

Kwestionariusz wnosi wartość tylko wtedy, gdy odpowiedzi zmieniają decyzję. Punktuj je, nie tylko archiwizuj:

  • Waż według krytyczności — 'nie' przy MFA od dostawcy przechowującego Twoje dane klientów waży więcej niż brakujący dokument polityki u mniej istotnego dostawcy. Zważ pytania przed wysłaniem.
  • Traktuj 'w toku' jako 'nie' — dopóki kontrola nie jest wdrożona i udokumentowana, punktuj ją jako lukę z datą naprawy, nie jako zaliczoną.
  • Oznaczaj brak odpowiedzi — niejasne lub wymijające odpowiedzi same w sobie są sygnałem. Wymagaj konkretów lub dowodów zamiast odhaczonego pola.
  • Odświeżaj punkt odniesienia według harmonogramu — odpowiedzi tracą ważność. Coroczny kwestionariusz odzwierciedla jeden dzień, nie następujący po nim rok.

Co zrobić, gdy dostawca nie spełnia wymagań

Luka nie jest automatycznie powodem do rezygnacji z dostawcy — ale musi dokądś prowadzić. Uzgodnij plan naprawczy z imiennymi odpowiedzialnymi i datami, zapisz go i uczyń istotne luki umownymi: prawo do dowodu, datę naprawy i ścieżkę eskalacji w razie poślizgu.

W przypadku krytycznych dostawców powiąż naprawę z relacją: ponowna ocena przed odnowieniem, klauzule bezpieczeństwa w umowie i prawo do żądania dowodów — nie tylko zapewnień. Udokumentuj decyzję w każdym przypadku. Akceptacja ryzyka rezydualnego to uprawniony wybór, ale tylko gdy jest zapisaną, przypisaną decyzją, a nie przeoczeniem.

Martwy punkt kwestionariusza: samoocena

Każda odpowiedź w kwestionariuszu to twierdzenie, które dostawca wygłasza o sobie. Niektóre są szczere, niektóre optymistyczne, niektóre po prostu nieaktualne, zanim je przeczytasz. Kwestionariusz mówi, w co dostawca wierzy — lub w co chce, byś uwierzył — o swoim bezpieczeństwie, a nie co jest faktycznie wystawione w internecie.

Dlatego najsilniejsze programy łączą SAQ z zewnętrznymi dowodami technicznymi. Jeśli dostawca odpowiada 'tak, cały ruch jest szyfrowany', a skan znajduje wygasły certyfikat lub formularz logowania w postaci jawnej, masz sprzeczność wartą rozmowy. Kwestionariusz ujmuje proces i intencję; ciągły monitoring zewnętrzny potwierdza — lub podważa. Korzystaj z obu.

Darmowy szablon kwestionariusza do dostosowania

Skopiuj te sekcje do swojego procesu. Trzymaj odpowiedzi w formie tak / nie / w toku plus pole na dowód, aby każde twierdzenie można było później poprzeć.

1. Ład i odpowiedzialność

  • Czy istnieje imiennie wskazana osoba odpowiedzialna za bezpieczeństwo informacji?
  • Czy kierownictwo zatwierdziło politykę bezpieczeństwa w ciągu ostatnich 12 miesięcy?
  • Czy personel przechodzi szkolenia z zakresu świadomości bezpieczeństwa co najmniej raz w roku?

2. Kontrola dostępu i uwierzytelnianie

  • Czy uwierzytelnianie wieloskładnikowe jest wymuszone dla dostępu zdalnego i administracyjnego?
  • Czy uprawnienia dostępu są przeglądane i niezwłocznie odbierane przy zmianie ról?
  • Czy zasadę najmniejszych uprawnień stosuje się do systemów przechowujących nasze dane?

3. Reagowanie na incydenty i zgłaszanie

  • Czy istnieje udokumentowany plan reagowania na incydenty, testowany w ciągu ostatnich 12 miesięcy?
  • Czy możecie powiadomić nas o istotnym incydencie w ciągu 24 godzin?
  • Czy w ciągu ostatnich 24 miesięcy mieliście naruszenie podlegające zgłoszeniu? Jeśli tak, co zmieniono?

4. Ciągłość działania i kopie zapasowe

  • Czy kopie zapasowe są szyfrowane, testowane i przechowywane offline lub w sposób niezmienny?
  • Jaki jest wasz docelowy czas odtworzenia (RTO) dla usługi świadczonej nam?
  • Czy macie plan odtwarzania po awarii i kiedy był ostatnio ćwiczony?

5. Łańcuch dostaw i ryzyko czwartej strony

  • Czy oceniacie bezpieczeństwo własnych krytycznych podwykonawców?
  • Czy powiadomicie nas o zmianach podmiotów podprzetwarzających nasze dane?
  • Czy posiadacie odpowiednie certyfikaty (np. ISO 27001)? Czy możecie udostępnić zakres?

6. Technika i ochrona danych

  • Czy dane są szyfrowane w tranzycie i w spoczynku zgodnie z aktualnymi standardami?
  • Czy prowadzicie regularne skanowanie podatności i łatacie według określonego harmonogramu?
  • W jakich jurysdykcjach przechowywane i przetwarzane są nasze dane?

Źródło: Dyrektywa (UE) 2022/2555 (NIS2), art. 21 ust. 2 lit. d) — bezpieczeństwo łańcucha dostaw — odwzoruj swoje pytania na środki z art. 21 i krajową ustawę transponującą.

Jak pomaga norppa.io

norppa.io wysyła kwestionariusze samooceny (SAQ) do Twoich dostawców bezpośrednio z platformy — bez arkuszy, bez gonienia wątków e-mail. Odpowiedzi są śledzone, wersjonowane i punktowane według powyższej wagi ryzyka.

Co kluczowe: każda odpowiedź SAQ jest krzyżowo weryfikowana z bieżącym technicznym profilem ryzyka dostawcy (ponad 100 kontroli, codziennie). Gdy pozytywne twierdzenie przeczy temu, co obserwujemy, norppa.io oznacza je jako poparte dowodami — widzisz więc nie tylko, co mówią dostawcy, ale czy to się broni. Martwy punkt kwestionariusza — zamknięty.

Wyślij swój pierwszy SAQ — i zobacz go zweryfikowanego krzyżowo

Zobacz przykładowy raport o dostawcy albo jak działają kwestionariusze w norppa.io.

Zobacz przykładowy raport O SAQ

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.