NIS2 i łańcuch dostaw: 5 klauzul, których musisz wymagać od dostawców
Sophie Martin
Analityczka prawna — Europejskie prawo cyfrowe
Na początku 2024 roku europejskie przedsiębiorstwo produkcyjne padło ofiarą poważnego naruszenia bezpieczeństwa. Atakujący nie celował bezpośrednio w firmę — wykorzystał dane dostępowe VPN zewnętrznego serwisanta. Firma była zgodna z NIS2 w zakresie własnych systemów. Dostawca nie był. Wynik: 18 dni przestoju produkcji, 3,5 miliona euro strat i formalne dochodzenie organu właściwego.
To dokładnie ten scenariusz, któremu artykuł 21(2)(d) dyrektywy 2022/2555 ma zapobiegać.
Czego NIS2 wymaga w zakresie bezpieczeństwa łańcucha dostaw
Artykuł 21 dyrektywy 2022/2555 nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków zarządzania ryzykiem, które wyraźnie obejmują bezpieczeństwo łańcucha dostaw. Dotyczy to bezpośrednich dostawców i usługodawców — nie tylko systemów wewnętrznych.
Z tego artykułu wynikają cztery konkretne obowiązki. Po pierwsze: ocena ryzyk od bezpośrednich dostawców i usługodawców, ze szczególnym uwzględnieniem dostawców usług ICT (MSP, chmura, SaaS). Po drugie: włączanie klauzul cyberbezpieczeństwa do umów z dostawcami. Po trzecie: ciągłe monitorowanie poziomu bezpieczeństwa krytycznych dostawców. Po czwarte: prowadzenie udokumentowanych dowodów tych ocen na potrzeby inspekcji (artykuł 21, dyrektywa 2022/2555).
NASK wskazuje w swoich wytycznych, że podmioty powinny prowadzić rejestr ryzyk stron trzecich i być w stanie przedstawić go podczas kontroli.
Dlaczego dostawcy są Twoją największą powierzchnią ataku
Według ENISA, 62% znaczących incydentów bezpieczeństwa w 2023 roku wiązało się z dostępem osób trzecich. MSP i dostawcy usług chmurowych stanowią większość tych wektorów ataku. Dostawca bez obowiązkowego uwierzytelniania wieloskładnikowego (MFA) na wspólnych dostępach to otwarte drzwi. Podwykonawca przechowujący Twoje dane poza UE bez gwarancji umownych tworzy jednocześnie ryzyko naruszenia NIS2 i RODO.
Ryzyko regulacyjne jest znaczne: naruszenie pochodzące od niezabezpieczonego dostawcy zostanie potraktowane jako Twój błąd w zakresie zgodności.
5 konkretnych klauzul umownych
Klauzula 1: Prawo do audytu bezpieczeństwa
Umowa musi przyznawać Twojej organizacji (lub wyznaczonemu zewnętrznemu audytorowi) prawo do przeprowadzania audytów bezpieczeństwa u dostawcy, z maksymalnym wyprzedzeniem 30 dni. Dostawca musi w pełni współpracować i zapewnić dostęp do odpowiednich systemów, dokumentacji i dzienników zdarzeń. Bez tej klauzuli nie możesz weryfikować, czy umowne zobowiązania w zakresie bezpieczeństwa są przestrzegane.
Klauzula 2: Obowiązek powiadamiania o incydentach — 24 godziny
Dostawca musi powiadomić Cię o każdym incydencie bezpieczeństwa, który może wpłynąć na Twoje systemy lub dane, w ciągu 24 godzin od wykrycia. Bezpośrednio odzwierciedla to artykuł 23 dyrektywy 2022/2555. Sam masz 24 godziny na powiadomienie NASK — tego terminu nie można dotrzymać, jeśli dostawca czeka 72 godziny, zanim Cię poinformuje.
Klauzula 3: Minimalne standardy bezpieczeństwa
Zdefiniuj precyzyjne wymagania techniczne: MFA obowiązkowe dla wszystkich dostępów do Twoich systemów, szyfrowanie danych w tranzycie (minimum TLS 1.2) i w spoczynku (AES-256), krytyczne łatki bezpieczeństwa stosowane w ciągu 72 godzin od ich wydania, oraz udokumentowana polityka zarządzania dostępem uprzywilejowanym. Standardy te muszą być weryfikowalne — dostawca powinien móc przedstawić dowody, takie jak certyfikacja ISO 27001, raporty SOC 2 Typ II lub wyniki niezależnych skanów podatności.
Klauzula 4: Lokalizacja danych i suwerenność
Określ umownie, gdzie Twoje dane są przechowywane i przetwarzane. Przekazywanie danych poza UE musi być zgodne z mechanizmami transferu RODO (standardowe klauzule umowne, decyzje o adekwatności). Wyraźnie zabroń dalszego podzlecania przetwarzania Twoich danych bez wcześniejszej pisemnej zgody. W przypadku sektorów wrażliwych (zdrowie, finanse, infrastruktura krytyczna) rozważ wymóg przechowywania danych wyłącznie w UE.
Klauzula 5: Odpowiedzialność i kary umowne
Określ kary umowne za naruszenie zobowiązań w zakresie bezpieczeństwa: ryczałtową karę za każdy incydent niezgłoszony w wymaganym terminie, odszkodowanie za bezpośrednie szkody wynikające z nieprawidłowości bezpieczeństwa dostawcy oraz prawo do rozwiązania umowy bez kary w przypadku poważnego naruszenia zobowiązań bezpieczeństwa. Kary te muszą być proporcjonalne — wystarczające, aby zachęcać do przestrzegania przepisów, ale nie na tyle wysokie, aby dostawcy nie mogli zaakceptować umowy.
Jak NASK zweryfikuje zarządzanie dostawcami
Podczas audytu lub dochodzenia inspektorzy NASK mogą zażądać Twoich umów z dostawcami, rejestru ryzyk stron trzecich oraz dowodów okresowych ocen dostawców. Oczekuje się, że podmioty kluczowe będą dysponować sformalizowanym procesem oceny — co najmniej corocznie dla krytycznych dostawców ICT.
Twój rejestr ryzyk stron trzecich musi dokumentować każdego dostawcę z dostępem do systemów: powiązaną klasyfikację ryzyka, aktywne środki łagodzące i datę ostatniej formalnej oceny.
Od czego zacząć
Zidentyfikuj 10 najbardziej krytycznych dostawców — tych z dostępem do Twoich systemów informacyjnych, przetwarzających wrażliwe dane lub których niedostępność wstrzymałaby Twoją działalność. Dla każdego oceń, czy aktualna umowa zawiera 5 opisanych powyżej klauzul.
Włącz te klauzule przy najbliższym odnowieniu umowy. Dla umów z ponad 12-miesięcznym pozostałym okresem obowiązywania rozważ zawarcie aneksu.
Dyrektywa NIS2 (artykuł 21, dyrektywa 2022/2555) nie wymaga certyfikowania wszystkich dostawców z dnia na dzień. Wymaga wykazania aktywnego zarządzania ryzykiem — poprzez umowy, udokumentowane oceny i prowadzony rejestr.
*Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W przypadku pytań dotyczących Twojej konkretnej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.*