26.05.2026

CyberSec Update #21 – Usługi ICT po NIS2 i KSC 2.0

Zmiany umów z dostawcami usług ICT w świetle NIS2 i KSC 2.0

Transpozycja do krajowego porządku prawnego dyrektywy NIS2 oraz wejście w życie zmian w ustawie o krajowym systemie cyberbezpieczeństwa (KSC 2.0) sprawiły, że organizacje coraz uważniej przyglądają się relacjom z dostawcami usług ICT.

Nowe przepisy – bezpośredni i pośredni wpływ na rynek

Zmiany regulacyjne dotyczą nie tylko podmiotów kluczowych i ważnych, lecz również samych dostawców technologii. Coraz częściej otrzymują oni od klientów pytania o stosowane standardy bezpieczeństwa, procedury reagowania na incydenty czy możliwość przeprowadzania audytów.

Choć przepisy nie wprowadzają wprost obowiązku aneksowania wszystkich umów z dostawcami usług ICT, praktyka regulacyjna pokazuje, że bez odpowiednich zapisów kontraktowych spełnienie wymogów wynikających z NIS2 i KSC 2.0 może być bardzo trudne. Podobnie jak wcześniej RODO czy DORA, nowe regulacje opierają się na podejściu opartym na ryzyku (risk based approach) i wymagają realnego nadzoru nad outsourcingiem usług ICT.

Bezpieczeństwo łańcucha dostaw jako kluczowy obszar

Szczególne znaczenie zyskuje bezpieczeństwo łańcucha dostaw. KSC 2.0 wskazuje, że podmioty kluczowe i ważne powinny wdrażać odpowiednie środki techniczne i organizacyjne obejmujące także bezpieczeństwo oraz ciągłość dostaw produktów, procesów i usług ICT.

W praktyce oznacza to konieczność uporządkowania relacji z dostawcami oraz weryfikacji, czy obowiązujące umowy faktycznie umożliwiają skuteczne zarządzanie ryzykiem cyberbezpieczeństwa.

Od czego zacząć porządkowanie relacji z dostawcami?

Pierwszym krokiem powinno być zidentyfikowanie dostawców usług ICT oraz ocena stopnia krytyczności świadczonych przez nich usług dla organizacji. Następnie warto przeanalizować obowiązujące warunki umowne i przeprowadzić proces samooceny dostawców.

Taka samoocena może przyjąć formę ankiety obejmującej m.in. stosowane zabezpieczenia techniczne i organizacyjne, posiadane certyfikaty (np. ISO 27001 lub ISO 22301), procedury bezpieczeństwa, częstotliwość testów penetracyjnych czy posiadanie ubezpieczenia od cyberzagrożeń.

Co powinien obejmować aneks do umowy?

Szczególnie istotne są obszary, które powinny znaleźć odzwierciedlenie w aneksach lub odrębnych porozumieniach z dostawcami usług ICT. Wśród nich można wskazać w szczególności:

  • prawo audytu i kontroli dostawcy usług ICT,
  • obowiązki zgłaszania incydentów bezpieczeństwa,
  • zasady korzystania z podwykonawców,
  • obowiązki współpracy z podmiotem kluczowym lub ważnym w przypadku działań organów nadzoru,
  • wymagania dotyczące polis cyber oraz odpowiedzialności kontraktowej.

Coraz większe znaczenie mają również postanowienia dotyczące czasu zgłaszania incydentów. Organizacje oczekują dziś często obowiązku notyfikacji w ciągu 24 godzin od wykrycia zdarzenia oraz ustanowienia dedykowanych kanałów komunikacji kryzysowej.

Naruszenia bezpieczeństwa a ciągłość współpracy

Istotnym zagadnieniem pozostaje odpowiedzialność dostawców usług ICT. W praktyce negocjowane są mechanizmy umożliwiające rozwiązanie umowy w przypadku poważnych naruszeń bezpieczeństwa, przy jednoczesnym dopuszczeniu procedur naprawczych po stronie dostawcy.

Podmioty kluczowe i ważne coraz częściej oczekują również zabezpieczenia w postaci zobowiązania dostawcy usług ICT do pokrycia odpowiedzialności wynikającej z ewentualnych kar administracyjnych, które mogą zostać nałożone na organizację w wyniku naruszeń leżących po stronie dostawcy.

Nowa rzeczywistość kontraktowa

NIS2 i KSC 2.0 zmieniają sposób myślenia o relacjach z dostawcami technologii. Umowa z dostawcą usług ICT przestaje być wyłącznie dokumentem zakupowym lub operacyjnym – staje się jednym z kluczowych narzędzi zarządzania cyberbezpieczeństwem oraz ciągłością działania organizacji.

Podmioty, które odpowiednio wcześnie uporządkują ten obszar, nie tylko ograniczą ryzyko regulacyjne, lecz także zyskają przewagę konkurencyjną w nowej rzeczywistości compliance.

Autor

Jarosław Straś

 jaroslaw.stras@kwkr.pl

Eksperci KWKR

1 51 52 53 54

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera