Jednym z ważniejszych, a często niedocenianych elementów NIS2 jest wymaganie zarządzania ryzykiem łańcucha dostaw. Podmioty objęte dyrektywą muszą oceniać i zarządzać ryzykiem stwarzanym przez swoich dostawców — co w praktyce oznacza, że wymagania cyberbezpieczeństwa przepływają w dół przez całą sieć dostawczą.
Mechanizm przepływu wymagań
NIS2 nakłada na podmioty kluczowe i ważne obowiązek uwzględnienia bezpieczeństwa łańcucha dostaw w swojej analizie ryzyka. Aby to zrealizować, organizacje te muszą:
- zinwentaryzować kluczowych dostawców usług IT i ICT
- ocenić ich poziom bezpieczeństwa
- uwzględnić ryzyko dostawcze w swoim zarządzaniu ryzykiem
- zawrzeć odpowiednie klauzule bezpieczeństwa w umowach
To ostatnie jest kluczowym mechanizmem przepływu: firma objęta NIS2 zaczyna wymagać od swoich dostawców spełnienia określonych standardów bezpieczeństwa — i robi to przez umowę, nie przez przepis. Dostawca, który chce utrzymać kontrakt, musi się dostosować.
Jakie wymagania mogą płynąć z umów?
Forma i treść są zróżnicowane, ale najczęściej pojawiają się:
- Kwestionariusze bezpieczeństwa — odbiorca prosi o wypełnienie ankiety dotyczącej polityk, procedur i kontroli technicznych
- Wymagania dotyczące certyfikacji — ISO 27001, SOC 2, TISAX (automotive), IEC 62443 (OT) — zależnie od branży
- Klauzule umowne — prawo do audytu, obowiązek zgłaszania incydentów, wymagania dotyczące szyfrowania i kontroli dostępu
- Prawo do odstąpienia od umowy — w przypadku incydentu bezpieczeństwa lub stwierdzenia braku zgodności
Kto jest szczególnie narażony?
Ryzyko dotyczy przede wszystkim firm, które:
- świadczą usługi IT lub zarządzane usługi bezpieczeństwa (MSP, MSSP)
- dostarczają oprogramowanie używane przez podmioty kluczowe lub ważne
- mają zdalny dostęp do infrastruktury klienta
- przetwarzają dane klientów objętych NIS2
- są dostawcami komponentów dla sektorów kluczowych (energetyka, automotive, ochrona zdrowia)
Dla tych firm pytanie „czy NIS2 nas dotyczy?” ma mniejsze znaczenie niż pytanie „czy nasi klienci zaczną wymagać zgodności?”. Odpowiedź w wielu przypadkach brzmi: już zaczynają.
Dostawca usług IT — najwyższe ryzyko
Firmy IT i MSP są w szczególnej sytuacji: mają zdalny dostęp do systemów klientów, często do wielu jednocześnie. Z perspektywy klienta objętego NIS2, taki dostawca jest punktem ryzyka o potencjalnie szerokim promieniu rażenia. Kilka głośnych ataków ransomware wykorzystało właśnie podatności w narzędziach do zdalnego zarządzania używanych przez MSP.
Dlatego klienci z sektorów objętych NIS2 coraz częściej wymagają od dostawców IT wykazania: własnej polityki bezpieczeństwa, zarządzania dostępem uprzywilejowanym, szyfrowania danych, procedur reagowania na incydenty i często — możliwości audytu lub certyfikacji.
Jak się przygotować jako dostawca?
Niezależnie od tego, czy firma formalnie podlega NIS2, przygotowanie ma sens jako inwestycja w utrzymanie i pozyskiwanie klientów z regulowanych sektorów. Praktyczny punkt startu:
Zrób przegląd kontraktów. Czy istniejące umowy zawierają już klauzule bezpieczeństwa? Jakie są wymagania? To określa, z czym możesz się spotkać na odnowieniu lub nowym przetargu.
Przygotuj „security baseline”. Zestaw podstawowych polityk i procedur, który możesz przedstawić klientowi: polityka bezpieczeństwa, zarządzanie dostępem, procedura incydentów, zarządzanie podatnościami. Nie musi to być od razu ISO 27001 — ale musi być realne.
Bądź gotowy na kwestionariusz. Wiele dużych organizacji stosuje standardowe kwestionariusze (np. CAIQ od CSA dla usług chmurowych, lub własne formularze). Odpowiedź „nie mamy polityki bezpieczeństwa” jest dyskwalifikująca w przetargu.
NIS2 jako argument handlowy
Firmy, które przygotują się wcześniej, zyskują przewagę: mogą powiedzieć potencjalnemu klientowi z sektora regulowanego, że są gotowe spełnić jego wymagania — i udowodnić to dokumentacją. To konkretny wyróżnik, szczególnie w segmencie B2B, gdzie decyzje zakupowe coraz częściej mają komponent oceny ryzyka cyberbezpieczeństwa dostawcy.