BlogPoradnik

Bezpieczeństwo łańcucha dostaw NIS2 — ocena i monitoring dostawców

Jak ocenić i zabezpieczyć łańcuch dostaw zgodnie z NIS2: klasyfikacja Tier 1/2/3, kwestionariusze bezpieczeństwa, klauzule umowne. Sprawdź, jak to zorganizować.

SecIQ Team11 min czytania

Kluczowe wnioski

  • NIS2 Art. 21 wymaga oceny i monitoringu dostawców — to nie opcja, lecz obowiązek
  • Klasyfikacja: Tier 1 (krytyczni), Tier 2 (ważni), Tier 3 (pozostali) — proporcjonalne podejście
  • Kwestionariusze bezpieczeństwa + klauzule umowne + ciągły monitoring = minimum
  • 62% wzrost ataków przez łańcuch dostaw r/r — to dziś #1 wektor w B2B

Łańcuch dostaw przestał być tematem zakupowym. W 2026 to pierwszy wektor ataku na średnie i duże organizacje w Polsce. Atakujący nauczyli się, że łatwiej złamać jednego dostawcę IT niż dziesięć firm produkcyjnych. NIS2 i KSC 2.0 wprost to uznają — Art. 21 ust. 2 lit. d wymienia bezpieczeństwo łańcucha dostaw jako jeden z obowiązkowych środków zarządzania ryzykiem.

Ten przewodnik pokazuje, jak zbudować proces oceny i monitoringu dostawców zgodny z NIS2 — bez przesady, bez teatru, ale na tyle solidnie, żeby przejść audyt i realnie ograniczyć ryzyko.

Dlaczego łańcuch dostaw to #1 wektor ataku w 2026

Liczby nie pozostawiają złudzeń. Według raportu ENISA Threat Landscape 2025, incydenty z udziałem strony trzeciej wzrosły rok do roku o 62%. Verizon DBIR 2025 raportuje, że 15% wszystkich naruszeń wynikało z kompromitacji dostawcy — trzykrotnie więcej niż w 2023.

Powód jest prosty: ekonomia ataku. Atakujący inwestuje raz, trafia w dostawcę, a następnie wchodzi do setek lub tysięcy organizacji klienckich przez zaufane kanały: aktualizacje oprogramowania, integracje API, dostęp VPN serwisanta.

Najgłośniejsze przypadki ostatnich lat pokazują skalę:

  • SolarWinds (2020) — zainfekowana aktualizacja Orion dotknęła 18 tys. organizacji, w tym amerykańskie agencje federalne.
  • Kaseya VSA (2021) — ransomware REvil rozszedł się przez platformę MSP na ~1500 firm jednocześnie.
  • MOVEit Transfer (2023) — exploit CVE-2023-34362 wykorzystany przez Cl0p, ponad 2600 organizacji dotkniętych, w tym banki i instytucje publiczne.
  • XZ Utils backdoor (2024) — wieloletnia infiltracja popularnego projektu open source, wykryta przypadkiem przez inżyniera Microsoftu.

W Polsce CERT Polska odnotowuje rosnącą liczbę ataków przez MSP i integratorów — często mniejszych, lokalnych dostawców, którzy obsługują kilkanaście lub kilkadziesiąt podmiotów objętych NIS2.

Wniosek: nie wystarczy zabezpieczyć własną infrastrukturę. Dostawca z uprzywilejowanym dostępem do Twoich systemów jest częścią Twojej powierzchni ataku.

Czego wymaga NIS2 Art. 21 w zakresie łańcucha dostaw

Art. 21 ust. 2 lit. d Dyrektywy NIS2 brzmi wprost:

„Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami."

Trzy praktyczne implikacje:

  1. Ocena bezpieczeństwa dostawców bezpośrednich. Musisz znać profil ryzyka firm, od których kupujesz IT, usługi chmurowe, integratorów, MSP, SaaS. Nie chodzi o wszystkich — chodzi o tych, którzy mają dostęp do Twoich systemów lub danych.

  2. Proporcjonalność. Art. 21 ust. 1 wymaga środków „odpowiednich i proporcjonalnych". Nie musisz audytować dostawcy papieru. Musisz ocenić dostawcę platformy do monitoringu sieci.

  3. Kaskadowa odpowiedzialność. Podmiot objęty NIS2 odpowiada za wybór dostawcy — nie może się tłumaczyć, że „to wina podwykonawcy". Sankcje (do 10 mln EUR lub 2% obrotu) obejmują naruszenia wynikające z zaniedbań w łańcuchu dostaw.

Sektory szczególnie narażone to zdrowie, energetyka, finanse i administracja publiczna — to tam regulator będzie patrzył najdokładniej na procesy Third Party Risk Management.

Szerszy kontekst regulacyjny znajdziesz w artykule KSC 2.0 — ustawa, co musisz wiedzieć, a praktyczne wdrożenie w NIS2 wdrożenie krok po kroku.

Klasyfikacja dostawców — Tier 1 / Tier 2 / Tier 3

Pierwszy krok każdego programu Third Party Risk Management to inwentaryzacja i klasyfikacja. Typowa średnia firma ma 200–500 dostawców w systemach zakupowych — audyt każdego to utopia. Stąd model trzypoziomowy.

Tier 1 — Krytyczni

Dostawcy, których kompromitacja zatrzyma Twoją działalność lub wyprowadzi dane krytyczne. Cechy:

  • Dostęp uprzywilejowany do systemów produkcyjnych (administratorzy zewnętrzni, MSP)
  • Przechowują lub przetwarzają dane objęte tajemnicą przedsiębiorstwa, medyczną, bankową
  • Dostarczają usługi bez których firma nie działa (ERP, główny hosting, platforma produkcyjna)

Tier 2 — Ważni

Dostawcy z dostępem do danych wrażliwych, ale bez uprawnień krytycznych:

  • SaaS przetwarzający dane pracowników/klientów (HR, CRM, marketing)
  • Integratorzy realizujący projekty z dostępem czasowym
  • Dostawcy wsparcia sprzętowego z dostępem serwisowym

Tier 3 — Pozostali

Dostawcy bez dostępu do wrażliwych zasobów — dostawcy biurowi, cateringowi, transport. Nie ignorujemy ich całkowicie (ryzyko fizyczne), ale proces jest minimalny.

Tabela wymagań per tier

Wymaganie Tier 1 Tier 2 Tier 3
Kwestionariusz bezpieczeństwa Pełny (30+ pytań) Skrócony (10–15) Podstawowy (5)
Certyfikaty (ISO 27001, SOC 2) Wymagane Preferowane Brak wymogu
Audyt on-site / zdalny Co 12 miesięcy Ad hoc Nie
Klauzule bezpieczeństwa w umowie Rozszerzone Standardowe Minimalne
Ciągły monitoring (scoring) Tak Tak Nie
Raportowanie incydentów 24h 72h Umowne
Przegląd ryzyka Kwartalny Półroczny Roczny

Przykład klasyfikacji dla średniej firmy (250 os., sektor zdrowie)

  • Tier 1 (5–10 dostawców): dostawca HIS/EHR, provider chmury, MSP SOC, dostawca PACS, operator teleinformatyczny.
  • Tier 2 (20–40): SaaS HR, CRM, dostawca poczty, firma sprzątająca z dostępem do gabinetów.
  • Tier 3 (reszta): dostawcy materiałów, transport, catering.

Kwestionariusz bezpieczeństwa dostawcy

Kwestionariusz (Vendor Security Assessment Questionnaire) to podstawowe narzędzie oceny. Dla Tier 1 powinien obejmować pięć obszarów:

1. Governance i zgodność

  • Czy posiadają politykę bezpieczeństwa informacji? Kiedy ostatnio aktualizowaną?
  • Czy mają wdrożony system zarządzania (ISO 27001, SOC 2 Type II)?
  • Czy mają wyznaczoną osobę odpowiedzialną za bezpieczeństwo (CISO/ISO)?
  • Zgodność z RODO, NIS2, sektorowymi regulacjami?

2. Zarządzanie dostępem i tożsamością

  • MFA dla wszystkich kont administracyjnych?
  • Proces offboardingu pracowników (czas odebrania dostępów)?
  • Privileged Access Management — jak zarządzają kontami uprzywilejowanymi mającymi dostęp do Twoich systemów?
  • Czy stosują zasadę najmniejszych uprawnień?

3. Bezpieczeństwo operacyjne

  • Czy posiadają SOC (wewnętrzny lub outsourcowany)? 24/7?
  • Jak często robią testy penetracyjne? Przez kogo?
  • Patch management — SLA na krytyczne łatki?
  • Backup i DR — RPO/RTO?

4. Zarządzanie incydentami

  • Procedura zgłaszania incydentów do klientów (czas, kanały)?
  • Historia incydentów w ostatnich 24 miesiącach?
  • Czy przeprowadzają tabletop exercises?

5. Ciągłość działania

  • BCP/DRP testowane w ostatnich 12 miesiącach?
  • Geograficzna redundancja infrastruktury?
  • Plan kryzysowy na ransomware?

Scoring model

Każda odpowiedź punktowana 0–3 (brak / częściowo / tak z dowodem / tak z certyfikatem). Suma daje ocenę:

  • 80–100% — akceptacja
  • 60–79% — akceptacja warunkowa + plan naprawczy w 90 dni
  • <60% — brak akceptacji, negocjacje lub zmiana dostawcy

Czerwone flagi wymagające natychmiastowego follow-up: brak MFA, brak procesu zgłaszania incydentów, odmowa audytu, brak aktualizowanych polityk od ponad 2 lat.

Klauzule umowne — co musi być w kontraktach

Kwestionariusz to deklaracja. Umowa to egzekucja. Minimum dla Tier 1 i Tier 2:

1. Zobowiązanie do standardu bezpieczeństwa

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs

Odwołanie do konkretnego standardu (ISO 27001, SOC 2, NIST CSF) z obowiązkiem utrzymywania certyfikatu przez cały okres współpracy. Dla Tier 1 — obowiązek przekazywania raportu audytu certyfikacyjnego raz w roku.

2. Raportowanie incydentów w 24 godziny

To kluczowa klauzula z perspektywy NIS2. Musisz dostać informację o incydencie u dostawcy szybciej, niż sam masz obowiązek zgłosić do CSIRT. 24 godziny to minimum — dla krytycznych Tier 1 warto wynegocjować 6 godzin.

3. Prawo do audytu

Klauzula dająca prawo przeprowadzenia audytu (samodzielnie lub przez wskazaną firmę) z uprzedzeniem 30 dni. Dla dostawców chmurowych — akceptacja SOC 2 / ISO 27001 zamiast audytu bezpośredniego, ale z prawem żądania raportu.

4. Secure offboarding

Procedura zakończenia współpracy: zwrot lub udokumentowane zniszczenie danych, odebranie dostępów, certyfikat usunięcia. Bez tego dostawca może przez lata trzymać Twoje dane „na wszelki wypadek".

5. Odpowiedzialność i ubezpieczenie

Limity odpowiedzialności za naruszenie bezpieczeństwa — nigdy nie akceptuj standardowego limitu 100% wartości umowy dla dostawców Tier 1. Dodatkowo: obowiązek posiadania polisy cyber o określonej sumie ubezpieczenia.

6. Kaskadowe wymagania

Klauzula zobowiązująca dostawcę do nakładania tych samych wymagań na swoich podwykonawców (o tym szerzej poniżej).

Ciągły monitoring dostawców

Ocena raz do roku nie wystarczy. Dostawca może spełnić kwestionariusz w styczniu i zostać skompromitowany w marcu. Potrzebujesz ciągłego sygnału.

Platformy scoringu zewnętrznego

  • BitSight Security Ratings — ocena 250–900 na podstawie sygnałów z internetu (port scan, botnet, reputacja domeny).
  • SecurityScorecard — skala A–F, 10 kategorii (network security, application security, patching cadence, endpoint security, itd.).
  • UpGuard BreachSight — monitoring ekspozycji danych, wycieków haseł, misconfiguracji chmury.

Te platformy nie zastąpią audytu, ale dają obiektywny, niezależny sygnał — i są uznawane przez regulatorów jako dowód due diligence.

Monitoring open source

  • Shodan / Censys — czy dostawca ma eksponowane usługi (RDP, SMB, bazy danych) w internecie?
  • HaveIBeenPwned — czy konta z domeny dostawcy pojawiły się w wyciekach?
  • Threat Intel feeds — czy dostawca nie pojawił się na liście ofiar ransomware (LockBit, BlackCat, Akira tablice wycieków)?

Proces operacyjny

  • Kwartalny przegląd wszystkich Tier 1 — zmiana oceny, nowe incydenty, zmiany organizacyjne.
  • Trigger-based alerts — spadek scoringu o więcej niż 50 punktów, pojawienie się w threat intel, publiczny incydent u dostawcy.
  • Annual reassessment — pełna powtórka kwestionariusza dla Tier 1 i Tier 2.

Część tych sygnałów wpada naturalnie do SOC — jeżeli masz zewnętrzny zespół monitorujący, powinien korelować alerty z listą Twoich dostawców. Więcej o tym w opisie usługi SOC.

Kaskadowe wymagania — Tier 4 i dalej

Twój dostawca SaaS korzysta z dostawcy chmury. Dostawca chmury korzysta z dostawców sprzętu i sieci. Każdy poziom to nowy wektor ryzyka — przypadek XZ Utils pokazał, że kompromitacja biblioteki open source głęboko w stosie technologicznym potrafi uderzyć we wszystkich wyżej.

Klauzule kaskadowe (flow-down clauses)

NIS2 nie wymaga wprost audytowania dostawców Twoich dostawców, ale wymaga, żebyś miał to pod kontrolą przez umowę. Standardowa praktyka:

  • Tier 1 ma obowiązek utrzymywać własny program oceny dostawców z minimum standardów równoważnych Twoim.
  • Tier 1 ma obowiązek poinformować Cię o istotnych podwykonawcach (listę aktualizowaną co 6 miesięcy).
  • Prawo weta wobec konkretnych podwykonawców w krytycznych procesach.

Wyjątki i limity rozsądku

Nie da się zaudytować całego łańcucha. Limity praktyczne:

  • Dla Tier 1 — sprawdzasz ich Tier 1 (Twój Tier 2 pośredni).
  • Dla dostawców hyperscale (Microsoft, AWS, Google) — akceptujesz ich publiczne certyfikacje i nie próbujesz zaglądać głębiej.
  • Dla open source — wymagasz od dostawców komercyjnych SBOM (Software Bill of Materials) i procesu reagowania na CVE.

Jak SecIQ pomaga w supply chain security

Budowa programu Third Party Risk Management wymaga kompetencji, których nie ma większość organizacji — i nie ma sensu ich budować wewnętrznie.

vCISO prowadzi proces oceny

Nasz vCISO projektuje program TPRM dopasowany do sektora i profilu ryzyka: klasyfikacja, kwestionariusze, ścieżki eskalacji, integracja z zakupami. Przygotowuje dokumenty do audytu NIS2/KSC 2.0.

Dostajesz gotowe template'y:

  • Kwestionariusz Tier 1 / Tier 2 / Tier 3 (dostosowany do sektora)
  • Wzorzec klauzul bezpieczeństwa do umów
  • Procedurę onboardingu i offboardingu dostawcy
  • Rejestr dostawców zgodny z wymogami regulatora

SOC monitoruje dostępy dostawców

Zewnętrzni administratorzy, integratorzy, serwisanci — to konta najczęściej wykorzystywane w atakach. Nasz SOC:

  • Wykrywa logowania poza standardowym oknem (serwisant loguje się o 3 w nocy — alarm)
  • Koreluje aktywność dostawcy z listą zgłoszonych prac (brak ticketa → alert)
  • Monitoruje użycie kont serwisowych i wykrywa nadużycia
  • Blokuje dostęp w momencie wykrycia kompromitacji dostawcy

Operatorzy znają Twoją firmę, znają listę Twoich dostawców i znają normalne wzorce ich aktywności. To nie generyczne reguły SIEM — to kontekstowe wykrywanie.

Chcesz zobaczyć, jak to działa w praktyce? Umów rozmowę z naszym zespołem — pokażemy przykładowy raport oceny dostawcy i demo monitoringu dostępów.

Checklist — ocena dojrzałości supply chain security

Przejdź przez 12 pytań. Każde „tak" = 1 punkt.

  1. Mamy aktualny, kompletny rejestr dostawców z dostępem do systemów lub danych?
  2. Dostawcy są sklasyfikowani według poziomu krytyczności (Tier 1/2/3)?
  3. Dla Tier 1 zebraliśmy wypełnione kwestionariusze bezpieczeństwa w ostatnich 12 miesiącach?
  4. Umowy z Tier 1 zawierają klauzulę raportowania incydentów w maksymalnie 24 godziny?
  5. Umowy zawierają prawo do audytu (lub akceptację ISO 27001 / SOC 2 jako ekwiwalentu)?
  6. Mamy zdefiniowaną procedurę offboardingu dostawcy (zwrot danych, odebranie dostępów)?
  7. Prowadzimy ciągły monitoring dostawców (scoring, threat intel, alerty)?
  8. Dostawcy z dostępem uprzywilejowanym mają wymuszone MFA i konta imienne?
  9. Logujemy i przeglądamy aktywność kont dostawców w naszych systemach?
  10. Mamy plan reagowania na incydent u dostawcy (komunikacja, izolacja, komunikacja z regulatorem)?
  11. Umowy zawierają klauzule kaskadowe dla kluczowych podwykonawców Tier 1?
  12. Przegląd ryzyk dostawców jest formalnym procesem (min. raz w roku dla Tier 1)?

Interpretacja:

  • 10–12 — dojrzały program TPRM, gotowość do audytu NIS2.
  • 7–9 — podstawy są, brakuje spójności i ciągłego monitoringu.
  • 4–6 — punktowe działania, ryzyko negatywnej oceny audytora.
  • 0–3 — brak programu, pilna potrzeba zbudowania procesu od podstaw.

Jeżeli wyszedł Ci wynik poniżej 7, porozmawiajmy. Przygotujemy plan doprowadzenia do zgodności w realnym czasie — nie w tydzień, ale w 3–6 miesięcy bez paraliżu operacyjnego. Więcej kontekstu: ataki supply chain w Encyklopedii oraz pełny pillar NIS2.

Źródła

FAQ

Czy NIS2 wymaga audytowania każdego dostawcy?
Nie każdego. NIS2 wymaga proporcjonalnego podejścia — intensywność oceny zależy od kategorii dostawcy. Tier 1 (krytyczni) — pełny audyt + ciągły monitoring. Tier 2 — kwestionariusz + weryfikacja. Tier 3 — podstawowa weryfikacja.
Co powinno być w klauzulach bezpieczeństwa w umowach z dostawcami?
Minimum: zobowiązanie do standardu bezpieczeństwa (np. ISO 27001), obowiązek raportowania incydentów w 24h, prawo do audytu, procedura zakończenia współpracy, klauzula o przetwarzaniu danych.
Jak długo trzymać dokumentację oceny dostawców?
NIS2 nie precyzuje. Dobre praktyki: całe życie umowy + 5 lat. Dla dostawców przetwarzających dane osobowe — zgodnie z RODO (zwykle 5 lat po zakończeniu umowy).
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Analiza ryzyka NIS2 — jak zrobić to zgodnie z ustawą

14 min czytania

Poradnik

Kryptografia, MFA i Zero Trust — wymagania NIS2 w praktyce

13 min czytania

Poradnik

Plan ciągłości działania (BCP) zgodny z NIS2 — RTO, RPO, backup

15 min czytania
Wróć do bloga