Baker Tilly Poland Legal
Zamknij
Adobe Stock 1144857924
Aktualności

Bezpieczeństwo i ciągłość łańcucha dostaw jako najważniejsza zmiana w postrzeganiu cyberbezpieczeństwa w świetle Dyrektywy NIS 2

Grzegorz Antonowicz 10 kwi 2026
Prawo

Jedną z najważniejszych, a zarazem chyba najtrudniejszych do wdrożenia zmian będzie konieczność uwzględnienia w Systemie Zarządzania Bezpieczeństwem Informacji (SZBI) działań mających na celu zapewnienie bezpieczeństwa i ciągłości łańcucha dostaw. Nowe przepisy wymagają bowiem podejścia systemowego, obejmującego bezpieczeństwo procesów, produktów i usług występujących w ramach łańcucha dostaw ICT.  

Na kogo wpływają obowiązki wynikające z Dyrektywy NIS 2? 

Czym jest NIS 2, których przedsiębiorców obejmie oraz jakie są podstawowe założenia nowego reżimu prawnego w zakresie cyberbezpieczeństwa, omawialiśmy w poprzednim wpisie: Nowe obowiązki przedsiębiorców w świetle implementacji Dyrektywy NIS 2 do polskiego porządku prawnego.

Z punktu widzenia dostawców i podwykonawców istotne jest jednak również to, że przepisy ustawy o Krajowym systemie cyberbezpieczeństwa obejmą ponadto tysiące podmiotów publicznych zakwalifikowanych jako podmioty kluczowe lub podmioty ważne. Szczególnie, że wpływ Dyrektywy NIS 2 wykracza poza krąg firm zakwalifikowanych jako podmioty kluczowe lub podmioty ważne.  

Wdrożenie obowiązków regulacyjnych przez te podmioty będzie w naturalny sposób oddziaływać również na ich kontrahentów, dostawców oraz podwykonawców, przenosząc wymogi dotyczące cyberbezpieczeństwa na kolejne ogniwa łańcucha dostaw, zarówno w drodze wymagań organizacyjnych, jak i zapisów umownych, procedur zakupowych, audytów czy okresowych ocen bezpieczeństwa. Bezpieczeństwo całości powiązanych procesów ICT podmiotu objętego NIS2 i łańcucha jego dostawców sięga bowiem tylko tak daleko, jak daleko sięga bezpieczeństwo najsłabszego ogniwa w łańcuchu. A cała struktura jest tak bezpieczna jak jej najsłabszy element. 

Wdrożenie NIS2 przez podmioty kluczowe i podmioty ważne, w tym tysiące podmiotów publicznych, będzie więc miało bezpośredni wpływ na ich dostawców związanych z procesami ICT i to nie tylko na tradycyjnie rozumianych wykonawców usług IT, ale na ogół wykonawców związanych z procesami przepływu informacji, w tym również na takie podmioty jak kancelarie prawne, czy agencje ochrony fizycznej

Kogo obejmie bezpieczeństwo łańcuch dostaw? 

Obowiązek zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw produktów ICT, usług ICT oraz procesów ICT należy rozumieć szeroko, gdyż ujmowany funkcjonalnie nie dotyczy wyłącznie klasycznych dostawców technologii, takich jak dostawcy oprogramowania, sprzętu, usług chmurowych czy usług zarządzanych, lecz odnosi się do ogółu podwykonawców, którzy uczestniczą w realizacji procesów operacyjnych, organizacyjnych lub technicznych mających znaczenie dla funkcjonowania systemów informacyjnych podmiotu objętego regulacją NIS 2. Wynika to z podstawowej zasady analizy ryzyka, zgodnie z którą bezpieczeństwo organizacji nie może być oceniane wyłącznie przez pryzmat własnych zasobów technicznych. 

Z perspektywy obowiązków NIS 2 w zakresie cyberbezpieczeństwa istotni są więc nie tylko dostawcy stricte związani z branżą IT, lecz również wszystkie inne podmioty świadczące usługi logistyczne, analityczne, operatorskie, doradcze i podobne, których działalność może mieć wpływ na poufność, integralność, dostępność lub odporność systemów i procesów wykorzystywanych przez podmiot kluczowy lub podmiot ważny. 

Dwie kategorie obowiązków w obszarze łańcucha dostaw 

W obszarze bezpieczeństwa dostawców i podwykonawców na pierwszy plan wysuwają się dwa zasadnicze obszary obowiązków. 

Ocena ryzyka

Podmioty kluczowe i podmioty ważne zobowiązane są zidentyfikować, poddać analizie i ocenić ryzyko związane z korzystaniem z produktów, usług i procesów dostarczanych przez podmioty trzecie. Ocena ryzyka nie może mieć charakteru wyłącznie formalnego, a powinna obejmować rzeczywistą analizę zależności technologicznych i organizacyjnych, identyfikację krytycznych dostawców, ocenę wpływu potencjalnych incydentów po stronie kontrahenta na ciągłość działania organizacji, a także weryfikację poziomu zabezpieczeń stosowanych przez dostawcę lub podwykonawcę.  

Innymi słowy, przedsiębiorcy objęci NIS 2 zobowiązani są zbadać i udokumentować jakie ryzyko w zakresie cyberbezpieczeństwa niesie współpraca z danym dostawcą (czy współpraca ta jest bezpieczna), a w ślad za tym określić, w jaki sposób zidentyfikowane ryzyka zostaną zabezpieczone, tj. jakie rozwiązania zostaną w tym celu wdrożone. 

W powyższym zakresie mieścić się może w szczególności analiza i ocena: 

  • rodzaju i znaczenia świadczonych usług lub dostarczanych rozwiązań dla działalności podmiotu objętego NIS 2, 

  • sposobu dostępu dostawcy do systemów, danych lub infrastruktury organizacji, 

  • poziomu organizacyjnych i technicznych środków bezpieczeństwa stosowanych przez kontrahenta, 

  • dojrzałości procedur reagowania na incydenty, zarządzania podatnościami i ciągłości działania, w tym historii incydentów, naruszeń oraz sposobu ich obsługi. 

  • miejsca świadczenia usług i struktury łańcucha poddostawców. 

Ta ocena będzie musiała być następnie okresowo aktualizowana. Dodatkowo w całym łańcuchu dostaw powinny być przeprowadzane monitoring i testy bezpieczeństwa. 

Aktualizacja oceny ryzyka oraz monitoring i testy bezpieczeństwa 

Ocena ryzyka w zakresie bezpieczeństwa i ciągłości dostaw musi być postrzegana jako proces ciągły i podlegać okresowej aktualizacji, m. in. w związku z zmianami dotyczącymi danego dostawcy (rozwój współpracy, zmiana organizacyjna, zmiana modelu świadczenia usług, zmiana technologii, incydenty bezpieczeństwa, zmiany właścicielskie). Dlatego podmioty objęte NIS 2 zobowiązane są do wdrożenia – w ramach Systemu Zarządzania Bezpieczeństwem Informacji – mechanizmów pozwalających na cykliczną weryfikację dostawców i podwykonawców oraz odpowiednie aktualizowanie wymagań kontraktowych, procedur nadzorczych i środków bezpieczeństwa. 

Wdrożone mechanizmy powinny przy tym przewidywać nie tylko okresową aktualizację oceny ryzyka, ale również procedury przeprowadzania testów i audytów bezpieczeństwa u dostawców i podwykonawców, nawet łącznie z kontrolą bezpieczeństwa procesu tworzenia oprogramowania przez dostawców ICT. 

Największe wyzwania praktyczne 

Jednym z największych wyzwań związanych z wdrożeniem wymogów NIS 2 w zakresie bezpieczeństwa i ciągłości łańcucha dostaw jest ustalenie rzeczywistego kręgu podmiotów, które powinny zostać objęte oceną ryzyka. Relacje outsourcingowe mają często charakter wielopoziomowy, co oznacza, że mapa rzeczywistych zależności technologicznych i operacyjnych jest wielowarstwowa i mocno złożona. 

Kolejnym wyzwaniem jest odpowiednie ukształtowanie relacji kontraktowych z dostawcami. W zależności od przeprowadzonej oceny ryzyka konieczne może być wprowadzenie do poszczególnych umów dedykowanych postanowień dotyczących wymogów bezpieczeństwa, obowiązków informacyjnych, prawa audytu, zasad zgłaszania incydentów, współpracy w ramach testów bezpieczeństwa oraz obowiązków dotyczących poddostawców. Przy czym będzie to wyzwaniem nie tylko dla przedsiębiorców objętych obowiązkami NIS 2, ale również dla ich kontrahentów, którzy będą musieli określone rozwiązania zaakceptować lub w inny sposób uzgodnić zabezpieczeniem zidentyfikowanego ryzyka. 

Nie bez znaczenia jest również zapewnienie adekwatnych zasobów organizacyjnych do przeprowadzenia oceny ryzyka oraz podejmowania późniejszych działań związanych z realizacją procesów opisanych w SZBI, co dotyczy zarówno zasobów osobowych, jak i niezbędnych kompetencji technicznych i prawnych. 

Co dostawcy i podwykonawcy ICT powinni zrobić już teraz? 

Na pewno warto działać już teraz, zwłaszcza w przypadku przedsiębiorców już będących dostawcami lub podwykonawcami dla podmiotów, które będą objęte przepisami ustawy o Krajowym systemie cyberbezpieczeństwa jako podmioty kluczowe lub podmioty ważne. 

Obowiązki w zakresie NIS 2 nie sprowadzą się bowiem do opracowania dokumentacji czy zakupu odpowiedniego narzędzia informatycznego. Będzie to bowiem kompleksowa zmiana sposobu myślenia o cyberbezpieczeństwie, poprzez położenie nacisku na zapewnienie faktycznej zdolności organizacji do reagowania na incydenty i do utrzymania ciągłości dostarczanych produktów lub usług. Dlatego docelowo i tak konieczne będzie każdorazowo dostosowanie się do wymogów bezpieczeństwa wynikających z oceny ryzyka przeprowadzanej przez podmioty objęte NIS 2.  

Może to oznaczać, w zależności od przypadku, konieczność uporządkowania dokumentacji bezpieczeństwa, przeglądu procedur reagowania na incydenty, weryfikacji stosowanych środków technicznych i organizacyjnych, przygotowania się do audytów klientów, czy też dostosowania całego modelu współpracy do nowych oczekiwań. Zwłaszcza, że poziom dojrzałości organizacji w zakresie cyberbezpieczeństwa może stać się istotnym kryterium oceny i wyboru dostawcy. 

Kontakt
Photo of Grzegorz Antonowicz
Grzegorz Antonowicz
Associate Partner | Radca prawny
Zobacz profil

Zobacz także

Prawo Aktualności
Istotne zmiany w kontroli umów B2B – nowelizacja ustawy o PIP
Joanna Jędrzejewska 2 kwi 2026
Chcesz skorzystać z naszych usług? Wypełnij formularz zapytań ofertowych – to najszybsza droga do kontaktu z właściwym ekspertem.
Zapytanie ofertowe