Klasyfikator dostawców NIS2

Strukturalna ocena ryzyka dostawcy ICT zgodna z wymaganiem formalnej analizy z Art. 21 ust. 2 lit. d NIS2 i Art. 66a polskiej ustawy o KSC. Sześć wymiarów ryzyka, 31 reguł scoringowych z cytatami EUR-Lex / ISAP / ETSI / ENISA, rekomendacje per pasmo ryzyka, gotowy do druku jako notatka audytorska.

Wszystkie obliczenia odbywają się w przeglądarce — dane dostawcy nigdy nie opuszczają urządzenia. Link udostępnienia kodowany w hash URL (nie wysyłany na serwer).

6 wymiarów + 31 reguł

Certyfikacja (20%) — ISO 27001, ISO 27017/27018, SOC 2 Type II, certyfikaty sektorowe.

Jurysdykcja (15%) — siedziba + lokalizacja danych + opcja UE/EOG. Schrems-świadome.

Dojrzałość BCP (15%) — RTO/RPO publikowane, coroczne testy, SLA powiadomienia o incydencie.

Transparentność 4-th party (10%) — lista podwykonawców + notyfikacja zmian.

Vendor lock-in (5%) — klauzula exit-strategy + format zwrotu danych.

Integracja operacyjna (35%) — dostęp do produkcji, MFA, JIT, historia incydentów, zależność i horyzont wymiany.

Każda reguła z cytatem — EUR-Lex NIS2 / ISAP KSC / ETSI / ENISA / ISO. Wynik jest defensible w audycie.

Krytyczne ostrzeżenia — kandydat do Art. 67b/67c przy najwyższym paśmie ryzyka, brak MFA przy dostępie administracyjnym, powtarzające się incydenty.

Granice narzędzia

Formalny audyt dostawcy — klasyfikator to ramowa struktura, nie zastępuje pełnego audytu na próbie dowodowej (logi, polityki, kontrakty).

Baza dostawców — nie utrzymujemy historycznej listy ocenionych dostawców. Każda ocena należy do osoby ją tworzącej (privacy by design).

Integracje GRC — eksport do Markdown / CSV jest warstwą interop (ServiceNow, Jira, Confluence). Bezpośrednich integracji nie ma.

Threat intel — narzędzie nie pobiera danych o naruszeniach dostawcy z zewnętrznych źródeł. Historia incydentów to samodeklaracja użytkownika.

Klasyfikator dostawców NIS2

6 wymiarów + 31 reguł

Granice narzędzia

Dalsze lektury