norppa.io
Wszystkie przewodniki

Przewodnik · 12 min czytania

NIS2 i wymóg łańcucha dostaw — co to oznacza w praktyce

Dyrektywa NIS2 gruntownie zmieniła obowiązki w zakresie cyberbezpieczeństwa w całej Europie. Jeden z najbardziej konkretnych wymogów dotyczy łańcucha dostaw: musisz zarządzać cyberryzykami swoich dostawców, a nie tylko własnymi. Nie chodzi tu o kwestionariusz wysyłany raz w roku. Termin transpozycji (17 października 2024 r.) minął, a obowiązki już obowiązują; państwa członkowskie wdrażają NIS2 do prawa krajowego w różnym tempie, a nadzór się rozpoczął.

Kogo dotyczy ten wymóg?

NIS2 dzieli podmioty na dwie kategorie ze względu na sektor i wielkość:

Podmioty kluczowe

Energia, transport, rynki bankowe i finansowe, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, rządowe ICT i przestrzeń kosmiczna.

Podmioty ważne

Usługi pocztowe i kurierskie, gospodarka odpadami, chemikalia, produkcja żywności, produkcja przemysłowa, usługi cyfrowe i organizacje badawcze.

Próg wielkości wynosi ogólnie 50 pracowników lub 10 milionów euro rocznego obrotu. Firmy przekraczające ten próg automatycznie podlegają NIS2.

Ważne: mniejsze firmy mogą również podlegać wymogom w drodze umownej — jeśli świadczysz krytyczne usługi dla klienta objętego NIS2, ten prawdopodobnie narzuci wymagania zgodności w umowie.

Oficjalne źródło: Dyrektywa NIS2 na EUR-Lex — zob. w szczególności motyw 80–90 i art. 21.

Czego konkretnie wymaga art. 21 ust. 2 lit. d)?

Artykuł 21 ust. 2 lit. d) nakazuje stosowanie środków bezpieczeństwa łańcucha dostaw i relacji z dostawcami. Na podstawie wytycznych ENISA i interpretacji krajowych organów nadzoru wymóg ma cztery kluczowe elementy:

1

Ocena ryzyka dostawcy przed zawarciem umowy

Przed wdrożeniem nowego dostawcy musisz ocenić jego stan cyberbezpieczeństwa. To nie tylko kwestionariusz — oznacza weryfikowalną ocenę: czy ten dostawca doświadczył naruszenia, czy ma znane podatności w infrastrukturze, czy jego certyfikaty są ważne? Ocena powinna obejmować cały widoczny w Internecie ślad dostawcy — nie tylko domenę główną, lecz także adresy IP i infrastrukturę poza nią (np. bramki VPN, przekaźniki poczty, dedykowane hosty).

2

Klauzule umowne i obowiązki zgłaszania incydentów

Umowy muszą zawierać klauzulę zobowiązującą dostawców do zgłaszania incydentów bezpieczeństwa bez zbędnej zwłoki. Bez tej klauzuli nie możesz wypełnić własnego obowiązku wstępnego powiadomienia organu nadzoru w ciągu 24 godzin, gdy incydent dostawcy wpływa na Twoje usługi.

3

Ciągłe monitorowanie przez cały okres obowiązywania umowy

Tu właśnie większość organizacji wciąż pozostaje w tyle. Standard 'odpowiednich środków' NIS2 w praktyce wymaga ciągłego monitorowania — nie tylko rocznej kontroli. Sytuacja dostawcy może zmienić się radykalnie w ciągu jednego dnia: ransomware, naruszenie bezpieczeństwa, krytyczna podatność. Coroczna ocena raczej tego nie wykryje na czas.

4

Udokumentowane dowody do audytu

Organ nadzoru może zażądać dowodów na to, jak zarządzałeś ryzykami dostawców. «Monitorowaliśmy sytuację» nie wystarczy — potrzebna jest opatrzona znacznikiem czasu dokumentacja wyników, podjętych działań i zaakceptowanych ryzyk.

Dlaczego coroczne oceny same w sobie są niewystarczające

Tradycyjny audyt dostawcy — kwestionariusz raz w roku, może certyfikat — spełnia podstawową intencję NIS2, ale nie realizuje obowiązku ciągłego monitorowania. Rozważ te rzeczywiste scenariusze:

!

Twój dostawca pada ofiarą ransomware w styczniu. Coroczny przegląd ukończono w marcu. Dowiadujesz się o tym w czerwcu, gdy projekt ulega opóźnieniu.

!

Dane uwierzytelniające pracowników Twojego dostawcy wyciekają na rynki dark web. Nie wiesz o tym nic, dopóki atakujący nie użyje ich do uzyskania dostępu do systemów, do których dostawca ma dostęp.

!

Certyfikat TLS Twojego dostawcy wygasa i jego usługa przestaje działać. Dowiadujesz się o tym z reklamacji klientów.

Wszystkie trzy to rozpoznawalne scenariusze — typowe sposoby, w jakie materializuje się ryzyko dostawcy. Ciągłe monitorowanie oznacza wykrywanie tych zmian w ciągu dni, nie miesięcy.

Poziomowanie dostawców: jak ustalać priorytety

Nie wszyscy dostawcy muszą być monitorowani z tą samą intensywnością. Poziomowanie oparte na ryzyku jest zarówno praktyczne, jak i zgodne z duchem dyrektywy:

Poziom 1 — Dostawcy krytyczni

Bezpośredni dostęp do Twoich systemów, danych lub środowisk produkcyjnych. Najwyższy poziom monitorowania, pełny SAQ, ciągłe monitorowanie techniczne. Przykłady: dostawcy chmury, dostawcy ERP, zarządzane usługi bezpieczeństwa.

Poziom 2 — Dostawcy ważni

Istotna rola w działalności operacyjnej, ale ograniczony bezpośredni dostęp do systemów krytycznych. Regularne monitorowanie techniczne, uproszczony SAQ. Przykłady: oprogramowanie HR, narzędzia marketingowe, partnerzy logistyczni.

Poziom 3 — Dostawcy niskiego ryzyka

Ograniczony lub żaden bezpośredni dostęp do krytycznych danych. Coroczny przegląd jest wystarczający. Przykłady: materiały biurowe, usługi sprzątania, catering.

Ryzyko czwartej strony — często pomijana warstwa

NIS2 nie ogranicza się do bezpośrednich dostawców. Własni dostawcy Twoich dostawców mogą stanowić dla Ciebie ryzyko. Jeśli Twój dostawca chmury korzysta z podwykonawcy do usług centrum danych, a ten podwykonawca padnie ofiarą ataku, skutki mogą kaskadowo rozprzestrzenić się na całą sieć.

Dlatego ocena dostawcy powinna obejmować pytanie: czy dostawca zna swoich własnych krytycznych podwykonawców i czy z kolei ich ocenia?

Art. 23: powiadamianie o incydentach dostawców

Jeśli incydent bezpieczeństwa u dostawcy powoduje znaczące zakłócenie Twoich własnych usług, masz obowiązek wstępnego powiadomienia krajowego organu nadzoru w ciągu 24 godzin, a następnie pełnego powiadomienia w ciągu 72 godzin i raportu końcowego w ciągu miesiąca.

Praktyczny problem: aby wiedzieć o incydencie dostawcy na czas, potrzebujesz wglądu w jego stan w czasie rzeczywistym. Dostawcy nie zawsze zgłaszają incydenty proaktywnie — lub robią to zbyt późno. Ciągłe monitorowanie wypełnia tę lukę.

Wytyczne ENISA: Zasoby wdrożeniowe NIS2 ENISA — wytyczne dotyczące zgłaszania incydentów i środków bezpieczeństwa.

Czego szukają organy nadzoru?

Krajowe organy nadzoru oceniają zgodność na podstawie praktycznych dowodów, a nie zapewnień. Przydatne dokumenty podczas audytu obejmują:

  • Rejestr dostawców z poziomowaniem i klasyfikacją ryzyka
  • Odpowiedzi SAQ z datami
  • Dzienniki monitorowania technicznego — co zostało sprawdzone, kiedy, co znaleziono
  • Dokumentacja zaakceptowanych ryzyk — pisemna decyzja dotycząca ryzyk, które zostały odnotowane i zaakceptowane
  • Historia reakcji — jak podjęto działania w związku z wynikami i do kiedy

Dokumenty te muszą być możliwe do przedstawienia na żądanie. Dokumentacja skompilowana retroaktywnie po zapytaniu rzadko jest wystarczająca w praktyce.

Jak pomaga norppa.io

norppa.io został zaprojektowany, aby sprostać dokładnie tym wyzwaniom. Każda monitorowana domena dostawcy jest sprawdzana w ponad 100 punktach kontrolnych dziennie, a krytyczne zdarzenia co sześć godzin — automatycznie, bez ręcznego wysiłku. Wyniki są automatycznie mapowane na artykuły NIS2, miesięczny raport PDF jest w formacie gotowym dla kierownictwa, a pełna historia może być wyeksportowana jako CSV dla audytorów.

Kwestionariusz samooceny (SAQ) jest wysyłany do dostawców bezpośrednio z norppa.io, a odpowiedzi łączą się z profilem ryzyka technicznego — ujednolicony widok zarówno warstwy technicznej, jak i procesowej.

Chcesz zobaczyć, jak wygląda raport w praktyce?

norppa.io automatyzuje monitorowanie techniczne i tworzy dowody audytu NIS2. Zobacz przykładowy raport — prawdziwy format, fikcyjne dane.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.