Przejdź do treści
dyrektywanis2.com

Blog · 5 lutego 2026 · 7 min

Łańcuch dostaw w NIS2 — interpretacja Art. 21(2)(d)

Art. 21(2)(d) NIS2 wprowadza obowiązek zarządzania ryzykiem cyberbezpieczeństwa kluczowych dostawców. To zmiana operacyjna, która dotknie nie tylko same Podmioty Kluczowe i Ważne, lecz także tysiące mniejszych firm w pozycji dostawcy.

Treść obowiązku

Art. 21(2)(d) dyrektywy wymienia „bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem w relacjach z bezpośrednimi dostawcami lub usługodawcami" jako jeden z dziesięciu minimalnych środków, które muszą wdrożyć wszystkie Podmioty Kluczowe i Ważne. Doprecyzowanie ENISA z 2024 r. wskazuje, że obowiązek obejmuje trzy warstwy działań: identyfikacja kluczowych dostawców, ocena ryzyka w relacji z nimi oraz zarządzanie tym ryzykiem przez klauzule kontraktowe, audyty i monitoring.

Co istotne — dyrektywa wprost rozszerza zakres oceny ryzyka na tzw. „specific factors": pochodzenie geograficzne dostawcy, jego właściciela kapitałowego, podatność na ingerencję państwa trzeciego, ślad bezpieczeństwa technicznego oraz wynik wszelkich aktualnych ocen ryzyka KE wobec danego typu dostawcy. To otwiera drogę do wykluczania z łańcuchów dostaw firm pochodzących z państw uznanych za podwyższone ryzyko (de facto: z poza obszaru EOG i kilku państw o adekwatnej ochronie).

Kto jest „kluczowym dostawcą"

Dyrektywa nie podaje sztywnej definicji — pozostawia ją do oceny podmiotu objętego. Praktyka jest jednak ustabilizowana: kluczowym dostawcą jest podmiot, którego awaria lub naruszenie bezpieczeństwa istotnie wpłynie na ciągłość lub bezpieczeństwo usługi krytycznej Podmiotu Kluczowego lub Ważnego. W praktyce listy kluczowych dostawców obejmują 10–40 firm:

  • Dostawcy MSSP/SOC — bez ich dyżuru detekcja incydentów nie działa.
  • Dostawcy chmury — IaaS, SaaS o znaczeniu systemowym (poczta, ERP, CRM, magazyny danych klienckich).
  • Dostawcy MSP IT — outsource'owy dział IT, wsparcie poziomu 1 i 2, dostęp z uprawnieniami administracyjnymi.
  • Dostawcy ERP i systemów operacyjnych biznesu — kompromitacja SAP, Microsoft Dynamics albo Sage powoduje zatrzymanie podstawowych procesów.
  • Dostawcy telekomunikacji i łączy — w szczególności firmy z dostępem do brzegowych elementów sieci klienta.
  • Dostawcy systemów SCADA i automatyki — dla firm z infrastrukturą OT.
  • Dostawcy usług płatniczych — bramki płatnicze, terminale POS, dostawcy procesowania kart.

Klauzule kontraktowe NIS2 — minimalna lista

Praktyka pierwszych wdrożeń (2024–2025 r. w Niemczech, Holandii, Belgii) wypracowała katalog klauzul kontraktowych, który powinien znaleźć się w umowach z kluczowymi dostawcami. Polskie prawo nie narzuca dokładnego brzmienia — dyrektywa zostawia to do uregulowania kontraktowego.

  1. Klauzula incydentów. Obowiązek zgłoszenia klientowi (czyli Podmiotowi Kluczowemu lub Ważnemu) każdego istotnego incydentu bezpieczeństwa w terminie 24 godzin od jego wykrycia u dostawcy. Format zgłoszenia, kanał (e-mail dedykowany, telefon dyżurny), zakres minimalnej informacji. Klauzula kluczowa: bez niej klient nie zdąży z 72-godzinnym zgłoszeniem do CSIRT, jeśli incydent zacznie się u dostawcy.
  2. Klauzula audytu. Prawo klienta do audytu bezpieczeństwa dostawcy raz w roku — albo akceptacji raportu niezależnego audytora (SOC 2 Type II, ISO 27001, sektorowe). Z możliwością ad hoc audytu w przypadku istotnego incydentu.
  3. Klauzula minimalnych środków bezpieczeństwa. Załącznik techniczny wymieniający wymagania — najczęściej: MFA dla kont uprzywilejowanych, szyfrowanie danych w spoczynku i tranzycie, certyfikat ISO 27001 lub równoważny, regularne testy penetracyjne, procedura zarządzania podatnościami, kopie zapasowe z testami odtworzeniowymi, dokumentowane szkolenia pracowników.
  4. Klauzula podwykonawców (sub-processors). Obowiązek informowania klienta o zmianach podwykonawców mających dostęp do jego danych, lista aktualnych podwykonawców na żądanie, prawo zgłoszenia sprzeciwu.
  5. Klauzula klasyfikacji danych. Jasna definicja, jakie dane klienta są przetwarzane przez dostawcę i w jakim zakresie. Zakaz przetwarzania poza zakresem umowy.
  6. Klauzula plan exit. Plan zakończenia umowy obejmujący przekazanie albo zniszczenie danych klienta, poświadczenie wykonania zniszczenia. Krytyczna w razie potrzeby szybkiej zmiany dostawcy.
  7. Klauzula odpowiedzialności. Mapowanie odpowiedzialności kontraktowej na potencjalne kary administracyjne nałożone na klienta. To zwykle najtrudniejsza negocjacja — dostawcy bronią się przed nielimitowaną odpowiedzialnością.

Scoring ryzyka dostawców — praktyczny model

Lista 30 dostawców bez oceny ryzyka jest niewystarczająca dla organu właściwego. ENISA rekomenduje prosty model scoringu z 5–10 czynnikami, każdy w skali 1–5, z wagą określoną przez firmę. Praktyczna lista czynników:

  • Krytyczność dla biznesu (1–5): co stanie się, gdy dostawca przestanie świadczyć usługę przez 24 godziny.
  • Dostęp do danych wrażliwych (1–5): czy dostawca ma dostęp do danych klientów, danych finansowych, własności intelektualnej.
  • Dostęp do systemów produkcyjnych (1–5): czy dostawca ma uprawnienia administracyjne lub dostęp do środowiska OT.
  • Pochodzenie geograficzne (1–5): EOG, USA, UK, inne kraje OECD vs państwa wysokiego ryzyka.
  • Posiadane certyfikaty (1–5): ISO 27001, SOC 2, specyficzne dla sektora (TISAX, PCI DSS).
  • Historia incydentów (1–5): czy dostawca w ciągu ostatnich 3 lat zgłaszał istotne incydenty.

Wynik scoringu (najczęściej w skali 1–25 lub 1–30) klasyfikuje dostawcę w jednej z trzech grup ryzyka: niskie, średnie, wysokie. Dla grupy wysokiego ryzyka praktyka rekomenduje pełny audyt on-site co najmniej raz na 2 lata; dla średniego — raport SOC 2 Type II albo równoważny; dla niskiego — kwestionariusz raz w roku.

Praktyczny harmonogram dla polskich firm na 2026 r.

  1. Styczeń–luty 2026: identyfikacja listy kluczowych dostawców, formalne przypisanie właścicieli relacji, opracowanie scoringu ryzyka.
  2. Marzec–maj 2026: aneksy do dotychczasowych umów z klauzulami NIS2. Praca prawników — wymaga negocjacji. Dostawcy będą się opierać, dlatego rozłożenie na kilka miesięcy jest sensowne.
  3. Czerwiec–wrzesień 2026: pierwsza tura kwestionariuszy bezpieczeństwa do dostawców niskiego ryzyka, planowanie audytów dla wysokiego ryzyka.
  4. Październik–grudzień 2026: pierwsze audyty dostawców o wysokim profilu ryzyka. Raport zarządczy z zarządzania łańcuchem dostaw — to dokument, który pokazuje organowi właściwemu, że obowiązek jest faktycznie wykonywany.

Co to znaczy dla dostawców polskich Podmiotów Kluczowych

Drugi skutek Art. 21(2)(d) — czasem najważniejszy — dotyczy firm, które same nie są w żadnym z 18 sektorów, ale są dostawcami firm, które są. W 2026 r. takie firmy zaczną dostawać:

  • aneksy do umów z klauzulami zgłaszania incydentów,
  • kwestionariusze bezpieczeństwa do wypełnienia,
  • żądania o przedstawienie certyfikatów (ISO 27001, SOC 2),
  • propozycje audytów on-site albo wymóg poddania się audytowi niezależnego audytora.

Firma, która nie spełni tych wymagań, traci kontrakt z dużym klientem. To pośredni efekt NIS2: wdrożenie dyrektywy „spływa w dół" do dostawców, którzy formalnie nie są jej adresatami. Wynika z tego praktyczna rekomendacja: jeśli głównym klientem Państwa firmy jest Podmiot Kluczowy lub Ważny, warto przygotować się tak, jakby były Państwo objęci dyrektywą bezpośrednio.

Co dalej

Dla Podmiotów Kluczowych i Ważnych — kolejny krok to rozpoczęcie pracy nad pełnym wdrożeniem dziesięciu środków Art. 21 (Obowiązki techniczne NIS2) oraz mocnym dostosowaniem procedury raportowania (Raportowanie do CSIRT). Dla dostawców — zacząć od przygotowania własnej polityki bezpieczeństwa i kwestionariusza, który można pokazać klientom regulowanym.

Marka Alterity Solutions pomaga zarówno Podmiotom Kluczowym w budowaniu programu zarządzania dostawcami, jak i mniejszym firmom, dla których głównym klientem są firmy regulowane — w przygotowaniu dokumentacji wystarczającej do przejścia audytu dostawcy.

Umów konsultację