Przewodnik · 10 min czytania
Ocena cyberzagrożeń dostawcy — co sprawdza automatyczny monitoring NIS2
Pełny przegląd wszystkich kategorii kontroli, ich znaczenia dla NIS2 oraz sposobu przekształcania wyników w działania.
Pasywny wywiad — brak ruchu do dostawcy
Automatyczny monitoring opiera się na pasywnym wywiadzie: wszystkie dane są zbierane ze źródeł publicznych — rejestrów certyfikatów, rekordów DNS, baz danych ransomware, baz danych naruszeń HIBP, rejestrów sankcji i otwartych kanałów OSINT. Żaden ruch nie jest wysyłany do sieci dostawcy, a jego zgoda nie jest wymagana.
Pełny zestaw kontroli jest uruchamiany codziennie, a kanały ransomware i dark web mniej więcej co 6 godzin. Krytyczne wyniki — takie jak pojawienie się dostawcy na liście ofiar ransomware lub aktywny wyciek danych uwierzytelniających w dark webie — natychmiast wyzwalają powiadomienie e-mail.
Monitorowanie ofiar ransomware
Art. 21(2)(b)Co około 6 godzin sprawdzane są liczne kanały wywiadowcze dotyczące ransomware. Jeśli Twój dostawca pojawi się na liście ofiar — znak aktywnego lub niedawnego ataku ransomware — otrzymasz alert tego samego dnia. Może to uzasadniać pilną rozmowę z dostawcą o tym, czy Ty lub Twoje dane są zagrożone.
Wycieki danych uwierzytelniających w dark webie
Art. 21(2)(i)Bazy danych złośliwego oprogramowania infostealer i rynki dark web są skanowane w poszukiwaniu par e-mail/hasło powiązanych z domeną dostawcy. Skompromitowane dane uwierzytelniające są najczęstszym wektorem ataku — wyciekłe dane logowania pracowników dostawcy mogą skończyć się atakiem na Twoje systemy.
Bezpieczeństwo poczty elektronicznej
Art. 21(2)(h)Brak lub błędna konfiguracja SPF, DKIM lub DMARC umożliwia nadużywanie domeny dostawcy do podszywania się pod e-maile. Sprawdza również MTA-STS (ochrona warstwy transportowej poczty e-mail), rekord raportowania TLS-RPT i wskaźnik marki BIMI. Wszystkie są wymaganiami kryptograficznymi zgodnie z Art. 21(2)(h) NIS2.
Certyfikaty TLS i DNSSEC
Art. 21(2)(h)Ważność certyfikatów TLS jest sprawdzana z alertami 14 dni przed wygaśnięciem. Walidacja DNSSEC sprawdza, czy łańcuch DNS jest podpisany i nienaruszony — brak DNSSEC naraża dostawcę na spoofing DNS. Rekordy CAA wskazują, czy wystawianie certyfikatów jest ograniczone do zatwierdzonych CA.
Konfiguracja zabezpieczeń serwisu
Art. 21(2)(c)Atrybuty bezpieczeństwa plików cookie (Secure, HttpOnly, SameSite) są sprawdzane — brakujące atrybuty umożliwiają przechwytywanie sesji lub ataki XSS. Plik robots.txt jest analizowany pod kątem ujawniania wrażliwych ścieżek. Plik security.txt jest sprawdzany w celu potwierdzenia istnienia odpowiedzialnego kanału ujawniania podatności.
Podatności i wyniki CVE/EPSS
Art. 21(2)(e)Wpisy CISA KEV (Known Exploited Vulnerabilities) powiązane z CVE związanymi z infrastrukturą dostawcy są identyfikowane natychmiast. Wyniki EPSS (Exploit Prediction Scoring System) priorytetyzują podatności według prawdopodobieństwa eksploitowania — nie tylko według klasyfikacji ważności CVSS.
Sankcje i sprawdzanie czarnych list MX
Art. 21(2)(e) & Art. 21(2)(j)Listy sankcji UE, ONZ i OFAC są sprawdzane pod kątem organizacji dostawcy. Adresy IP serwerów pocztowych dostawcy (rekordy MX) są sprawdzane pod kątem czterech czarnych list w czasie rzeczywistym (RBL) — umieszczenie na czarnej liście wskazuje na nadużycie poczty e-mail lub wcześniejsze naruszenie.
SAQ — kwestionariusz samooceny
Art. 21(2)(a) & (b) & (d)Techniczny monitoring obejmuje zewnętrznie widoczną powierzchnię ataku. Wymagania na poziomie procesów — zarządzanie ryzykiem, obsługa incydentów, zarządzanie łańcuchem dostaw — są spełniane poprzez wysłanie dostawcy kwestionariusza samooceny SAQ z portalu norppa.io. Odpowiedzi są przechowywane i łączone z technicznym profilem ryzyka.
Punktacja ryzyka i poziomy ważności
Każdy wynik jest klasyfikowany do jednego z czterech poziomów ważności: krytyczny (natychmiastowe działanie), wysoki (naprawa w ciągu 7 dni), średni (naprawa w ciągu 30 dni) i niski (informacyjny). Wynik ryzyka (0–100, 100 = czysty) jest obliczany na podstawie ważności otwartych wyników.
Wynik ryzyka jest narzędziem priorytetyzacji, a nie absolutną prawdą. Dostawca może otrzymać niski wynik z powodu jednej krytycznej podatności, nawet gdy jego ogólna postawa bezpieczeństwa jest silna.
Cykl życia wyniku
Wynik jest tworzony, gdy kontrola wykryje anomalię. Pozostaje otwarty do czasu rozwiązania problemu — weryfikator automatycznie potwierdza poprawkę przy następnym uruchomieniu. Jeśli wynik reprezentuje znane, zaakceptowane ryzyko, można go oznaczyć jako "zaakceptowane ryzyko" z komentarzem. Ten sam wynik nie będzie wyzwalał nowych alertów, chyba że zmieni się status.
Wszystkie wyniki są automatycznie mapowane na odpowiedni podpunkt Art. 21(2) NIS2 — pojawiają się zarówno w widoku portalu w czasie rzeczywistym, jak i w miesięcznym raporcie PDF.
Mapowanie NIS2 i raportowanie
Miesięczny raport zawiera podsumowanie wykonawcze AI, wyniki NIS2 według artykułów, profile ryzyka dla poszczególnych dostawców i priorytetową listę działań naprawczych. Raport jest przeznaczony do prezentacji na poziomie kierownictwa — nie tylko dla zespołów technicznych.
Raport zawiera również wyniki zaakceptowane jako udokumentowane ryzyka. Jest to ważne z punktu widzenia audytu: NIS2 nie wymaga zerowej liczby wyników — wymaga udokumentowanego zarządzania ryzykiem.
Twoja własna domena — kompleksowa ocena zewnętrzna
Domeny dostawców są oceniane za pomocą pasywnego OSINT — tylko publicznie dostępne dane. Twoja własna domena może dodatkowo otrzymywać miesięczną zewnętrzną ocenę bezpieczeństwa: odsłonięte porty i usługi, znane zagrożenia podatnościami i konfiguracja SSL/TLS. Bez integracji, bez dostępu do sieci wewnętrznej.