Bezpieczeństwo łańcucha dostaw jest jednym z istotniejszych elementów Dyrektywy NIS2, której wdrożenie na początku 2026 roku wprowadza zmiany w zarządzaniu ryzykiem i ochronie przed cyberzagrożeniami. Przepisy wymuszają na podmiotach kluczowych i ważnych weryfikację swoich dostawców, poprzez przeprowadzanie audytów bezpieczeństwa oraz wprowadzenie podstawowych zabezpieczeń.

Jak NIS2 wpływa na podejście do łańcucha dostaw?

Łańcuch dostaw obejmuje firmy, które wykorzystują systemy informatyczne, których zakłócenia mogą wpływać na usługi świadczone przez podmiot kluczowy lub ważny. Są to firmy, które nie działają bezpośrednio w sektorze wymienionym w Dyrektywie NIS2, ale cyberatak na nie może wstrzymać świadczenie usług bądź produkcję materiałów niezbędnych dla funkcjonowania podmiotu kluczowego/ważnego.

Według artykułu 21 pkt.3.d do Dyrektywy NIS2 państwa członkowskie mają obowiązek zapewnienia, aby przy wyborze odpowiednich środków technicznych, procesowych i organizacyjnych zwiększających odporność organizacji na incydenty bezpieczeństwa, uwzględniały one podatności charakterystyczne dla bezpośrednich dostawców i usługodawców oraz ich ogólną jakość produktów i praktyk cyberbezpieczeństwa.

Nowe przepisy wymuszają na podmiotach kluczowych/ważnych weryfikację swoich dostawców poprzez przeprowadzanie audytów bezpieczeństwa oraz posiadanie podstawowych zabezpieczeń, takich jak firewall, klucze kryptograficzne, czy rozwiązania NDR i EDR.

Dlaczego bezpieczeństwo łańcucha dostaw jest tak istotne?

Weźmy na przykład firmę transportową, która dostarcza niezbędne surowce dla dużego przedsiębiorstwa przemysłowego, mającego status kluczowego w myśl Dyrektywy. Dostawca ten nie jest objęty NIS2 z powodu niewielkiej liczby pracowników i ograniczonego zakresu działalności, ale jest istotny dla funkcjonowania przedsiębiorstwa. Naruszenie integralności, poufności i dostępności zasobów firmy transportowej może negatywnie wpłynąć na system produkcyjny podmiotu kluczowego.

Innymi słowy, bezpieczeństwo łańcucha dostaw polega na tym, aby podmioty kluczowe i ważne, które są zależne od wielu dostawców, mogły działać nieprzerwanie i bez zakłóceń. Jeśli w przypadku cyberataku doszłoby do przerwania dostawy czy usługi, wpłynęłoby to na ciągłość działania biznesu.

Dlatego analiza ryzyka w postaci audytu bezpieczeństwa powinna być priorytetem zarówno dla przedsiębiorcy, który musi nieprzerwanie świadczyć swoje usługi i spełnić wymogi NIS2, jak i dla dostawcy, jeśli pragnie utrzymać współpracę z kluczowym odbiorcą.

Jak zapewnić bezpieczeństwo łańcucha dostaw

Aby podmiot kluczowy lub ważny mógł prowadzić swój biznes w bezpieczny sposób, oprócz zobowiązania dostawcy do przeprowadzenia audytu bezpieczeństwa, niezbędne jest stworzenie i wdrożenie odpowiednich polityk i procedur mających na celu bezpieczeństwo informacji. Dzięki temu, gdy pojawi się potrzeba szybkiej reakcji, osoba zajmująca się zarządzaniem kryzysowym w firmie będzie mogła sięgnąć do przygotowanych dokumentów (roadmapy) i skutecznie przywrócić funkcjonowanie organizacji.

Niestety stworzenie i utrzymanie aktualnych polityk bezpieczeństwa wymaga dużo czasu i zaangażowania. Potrzebna jest osoba lub zespół dedykowany do ciągłego opisywania, analizowania i aktualizowania dokumentów. Można w tym przypadku skorzystać z zewnętrznych firm do obsługi IT i OT. Z drugiej strony, wiąże się to zawsze z pewnym ryzykiem – jeśli technicy zewnętrzni zdalnie konfigurują nasze systemy, mogą stworzyć potencjalne luki w bezpieczeństwie wynikające z niedopatrzeń.

Aby zminimalizować ryzyko, warto współpracować z zaufanymi i doświadczonymi specjalistami cyberbezpieczeństwa.

Przygotuj firmę na NIS2 z 4Prime IT Security

4Prime IT Security wzmacnia linie obronne organizacji poprzez wykrywanie istniejących podatności oraz rekomendacje w zakresie działań naprawczych. Ponadto, pomagamy klientom dostosować się do wymogów formalnych (m.in. NIS2) oraz ocenić poziom dojrzałości organizacji w kontekście współczesnych zagrożeń.

Jeśli chcesz skutecznie przygotować firmę do wymagań Dyrektywy NIS2 umów się na spotkanie z naszym ekspertem. Wykonamy audyt bezpieczeństwa oraz dostarczymy odpowiednie rozwiązania (m.in. SOC, firewall, NDR i EDR).

FAQs

Jak zweryfikować, czy moja firma jest objęta NIS2?

Analiza kryteriów:

• Sprawdzenie, czy przedsiębiorstwo świadczy usługi kluczowe w jednym z sektorów wymienionych w załączników do Dyrektywy NIS 2 bądź projektu nowelizacji UoKSC.
• Ustalenie liczby zatrudnionych (250+) i obrotu (50+ mln EUR) podmiot kluczowy. Dla podmiotu ważnego zatrudnienie 50+ i 10 mln EUR obrotu.

Zasięg działalności:

• Ocena wpływu działalności na sektor krytyczny w kraju lub Unii Europejskiej (czy jest się częścią łańcucha dostaw)

Dokumentacja:

• Przeanalizowanie dokumentów wewnętrznych (procesy ICT, relacje z klientami) pod kątem wytycznych NIS2

Jeśli firma nie jest podmiotem ani kluczowym ani ważnym, to czy i tak musi stosować się do wymogów nowej ustawy o KSC?

Projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa kładzie szczególny nacisk na bezpieczeństwo łańcucha dostaw, co w praktyce oznacza, że każda firma współpracująca z podmiotami objętymi ustawą powinna spełniać określone normy bezpieczeństwa. Nie chodzi tu tylko o unikanie kar, ale o budowanie przewagi konkurencyjnej i zaufania wśród partnerów biznesowych. Podmioty kluczowe i ważne, których działanie będzie odtąd obwarowane dodatkowymi obostrzeniami, z pewnością będą poszukiwać takich partnerów, co do których bezpieczeństwa będą mieć pewność.

Dostarczasz usługi dla kluczowych lub ważnych podmiotów? Dobrym pomysłem jest zapoznanie się z normą ISO 28000, która wskazuje dobre praktyki w tym zakresie. Jednak pamiętajmy, że dobre praktyki nie gwarantują bezpieczeństwa i nie zastąpią odpowiednio dobranych technologii i świadomych pracowników.

Czym jest bezpieczeństwo łańcucha dostaw w myśl nowej ustawy o KSC?

Bezpieczeństwo łańcucha dostaw to jeden z kluczowych obszarów, na które kładzie nacisk nowy projekt ustawy o KSC, nakładając na podmioty uznane za kluczowe i ważne szereg nowych obowiązków. Podmioty te, po wejściu w życie ustawy, będą m.in. zobowiązane do:

• regularnego monitorowania swoich dostawców i wymagania od nich zgodności z normami bezpieczeństwa;
• wdrożenia polityk zarządzania ryzykiem w łańcuchu dostaw, co obejmuje m.in. kontrolę dostępu do danych oraz zasobów przez dostawców;
• przygotowania planów awaryjnych i procedur odzyskiwania danych, które zapewnią ciągłość działania na wypadek incydentów związanych z dostawcami.

W jaki sposób odnieść się do łańcucha dostaw i relacji z dostawcami? Czy podejście NIS2 jest zbieżne w tym aspekcie z ISO 28000? Jak proceduralnie określić wymagania, tak by wypełniały założenia NIS2 oraz ISO27001:2022?

Tak, podejście w NIS2 jest zbieżne z ISO 28000, warto skorzystać z tej normy jako dobrych praktyk. Zgodności z normami ISO:

• Wymóg oceny ryzyka łańcucha dostaw (ISO 28000).
• Wdrożenie kontroli zabezpieczeń w kontraktach z dostawcami (ISO 27001:2022).

Zgodność z NIS2:

• Monitorowanie bezpieczeństwa u dostawców, szczególnie pod kątem podatności na incydenty.

Podejście praktyczne: Aby zapewnić zgodność z NIS2 należy:

• Regularnie przeprowadzać audyty dostawców
• Określić SLA i wymagane zabezpieczenia

Artykuł napisany we współpracy z firmą SkySec – partnerem strategicznym 4Prime IT Security specjalizującym się w audytach bezpieczeństwa.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.