CyberSec Update #18 – Łańcuch dostaw w NIS2 i UKSC
Dostawcy w roli głównej – czy scenariusz obejmuje łańcuch dostaw?
Wdrożenie NIS2/UKSC nie kończy się na procesach wewnętrznych. Organizacja powinna sprawdzić także tych, którzy działają „za kulisami” — dostawców, podwykonawców i partnerów technologicznych. To właśnie ich gotowość operacyjna może przesądzić o tym, czy w razie incydentu przygotowany scenariusz zadziała w praktyce.
Kontynuując wątki z poprzednich odsłon CyberSec Update – audytu luki, planu wdrożeniowego oraz budowy systemu zarządzania bezpieczeństwem informacji – organizacja powinna równolegle uporządkować relacje z dostawcami pod kątem właściwego zarządzania ryzykiem. Łańcuch dostaw nie jest już wyłącznie tematem logistycznym. W reżimie NIS2/UKSC staje się jednym z kluczowych obszarów zarządzania ryzykiem cyberbezpieczeństwa.
Od czego zacząć w praktyce?
Punktem wyjścia powinien być przegląd obowiązujących umów z dostawcami i ocena, czy zawierają one klauzule dotyczące bezpieczeństwa informacji, raportowania incydentów, prawa do audytu, zasad dostępu do systemów oraz minimalnych standardów ciągłości działania. Jeżeli takich postanowień brakuje, warto je uzupełnić – nie jako formalność, lecz jako realne narzędzie kontroli ryzyka.
Same zapisy umowne to jednak za mało. Dostawca mający dostęp do systemów krytycznych, danych wrażliwych albo procesów istotnych dla ciągłości działania powinien być traktowany jak uczestnik ekosystemu bezpieczeństwa — z jasno określonymi obowiązkami, testami, kanałami komunikacji oraz możliwością audytu.
Dokument bez wdrożenia to jak spektakl bez aktorów lub – jak ujął to jeden narodowy wieszcz, komentując twórczość drugiego – „jak kościół bez Boga”*. Teoretyczne postanowienia nie zastąpią wyćwiczonych ról, sprawdzonych kanałów komunikacji i wspólnego rozumienia odpowiedzialności. Dlatego symulacje incydentów z udziałem dostawców powinny stać się elementem przygotowania do zgodności z NIS2/UKSC, a nie jednorazowym ćwiczeniem „na potrzeby audytu”.
Weryfikacja dostawców – dokumenty i praktyka
Weryfikacja kontrahenta powinna obejmować nie tylko dokumentację, lecz także elementy operacyjne, takie jak polityki bezpieczeństwa, wyniki testów penetracyjnych, plany ciągłości działania czy potwierdzenie zdolności do reakcji na incydent. Same referencje i deklaracje nie wystarczą. Jeżeli dostawca nie przejdzie takiej selekcji, lepiej mieć przygotowaną alternatywę niż improwizować w środku kryzysu.
Rola zarządu i harmonogram działań
Rola zarządu nie kończy się na zatwierdzeniu projektu wdrożeniowego. Zarząd powinien otrzymywać regularne raporty o stanie łańcucha dostaw, zidentyfikowanych ryzykach, zależnościach krytycznych oraz postępach działań naprawczych — nie po to, aby analizować szczegóły techniczne, lecz aby podejmować decyzje strategiczne dotyczące bezpieczeństwa i ciągłości biznesu.
Terminy już biegną. Dlatego harmonogram działań powinien uwzględniać nie tylko wewnętrzne prace organizacji, lecz także czas potrzebny na przegląd umów, uzgodnienie aneksów, weryfikację kluczowych dostawców oraz przeprowadzenie wspólnych testów. W praktyce to właśnie dostawcy mogą okazać się najtrudniejszym elementem układanki – ponieważ ich gotowość nie zależy wyłącznie od Twojej organizacji.
Sprawdzeni partnerzy, rozpisane role i przećwiczone procedury to najlepsza gwarancja, że w razie incydentu organizacja zareaguje sprawnie i utrzyma bezpieczeństwo. Łańcuch dostaw warto traktować jak scenę teatralną: sukces zależy nie tylko od głównych aktorów, lecz także od tych, którzy pracują za kulisami. Jeżeli role są rozpisane, próby przeprowadzone, a komunikacja sprawdzona – nawet nieoczekiwany zwrot akcji nie musi zakończyć się katastrofą.
*Adam Mickiewicz o twórczości Juliusza Słowackiego
