Coraz więcej organizacji zdaje sobie sprawę, że ich bezpieczeństwo cyfrowe zależy nie tylko od własnych zabezpieczeń, ale również od poziomu ochrony ich partnerów. Głośne incydenty ostatnich lat pokazały, że cyberprzestępcy coraz częściej atakują przez łańcuch dostaw, wykorzystując słabsze ogniwa u dostawców lub podwykonawców, by dostać się do właściwego celu. Według danych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) między 39% a 62% firm doświadczyło incydentu wywołanego przez stronę trzecią, a w 2021 roku aż 17% naruszeń bezpieczeństwa rozpoczęło się od kompromitacji dostawcy, wobec mniej niż 1% rok wcześniej.
Jednocześnie rośnie świadomość, że zaufanie do partnerów biznesowych bywa nadużywane, gdyż niemal 40% organizacji odnotowało realne konsekwencje takich incydentów, a 58% prezesów ocenia bezpieczeństwo swoich partnerów jako słabsze niż własne. W konsekwencji bezpieczeństwo łańcucha dostaw stało się jednym z kluczowych priorytetów zarówno dla firm, jak i regulatorów. Unijna Dyrektywa NIS2 wprost podkreśla znaczenie tego obszaru, wprowadzając konkretne, rygorystyczne wymagania w zakresie zarządzania cyberbezpieczeństwem w relacjach z dostawcami i podwykonawcami.
Dlaczego bezpieczeństwo łańcucha dostaw stało się priorytetem?
Łańcuch dostaw to dziś często skomplikowana sieć powiązań – od dostawców technologii i usług IT, przez firmy outsourcingowe, po otwarte projekty typu open-source. Każdy element tej układanki może wpłynąć na bezpieczeństwo całej organizacji. Atak na dostawcę oprogramowania lub usług może przełożyć się na masowe naruszenia u jego klientów. Dobitnym tego przykładem był globalny incydent SolarWinds, w którym złośliwy kod w aktualizacji oprogramowania rozprzestrzenił się na tysiące organizacji. Również w Polsce odnotowano przypadki ataków typu supply chain, np. przez infekowanie popularnych bibliotek programistycznych wykorzystywanych w wielu systemach. Statystyki są alarmujące, gdyż jak wspomniano, w ciągu zaledwie roku udział włamań poprzez łańcuch dostaw wzrósł kilkunastokrotnie. Raporty ENISA wskazują też, że 2/3 ataków na łańcuch dostaw wykorzystuje zaufanie klienta do dostawcy, zaś ofiary często nie zdają sobie sprawy, że ich bezpieczeństwo zostało naruszone właśnie za pośrednictwem partnera. Przestępcy biorą na celownik zwłaszcza dostawców usług zarządzanych (tzw. Managed Service Providers) oraz powszechnie używane komponenty (np. repozytoria open-source), licząc na efekt domina.
Konsekwencje takich incydentów wykraczają poza kwestie techniczne i stanowi to realne ryzyko biznesowe. Utrata ciągłości działania, wyciek danych klientów czy spadek reputacji mogą dotknąć firmę równie dotkliwie, jak bezpośredni atak. Dlatego zarządy firm coraz częściej dostrzegają, że ich cyberodporność zależy od odporności dostawców. W cytowanym badaniu 58% prezesów przyznało, że niższa cyberodporność partnerów biznesowych wpłynie na zmianę ich podejścia do bezpieczeństwa. Innymi słowy organizacje muszą patrzeć poza własne mury i aktywnie zarządzać ryzykiem w całym swoim ekosystemie. Regulacje prawne, w tym NIS2, jedynie przyspieszają tę zmianę podejścia, wymagając od firm konkretnych działań w zakresie bezpieczeństwa łańcucha dostaw.
Nowe wymogi dla łańcucha dostaw i podwykonawców według NIS2
Dyrektywa NIS2 to przełomowe unijne prawo przesuwające ciężar odpowiedzialności za cyberbezpieczeństwo na relacje z dostawcami i podmiotami trzecimi. Organizacje objęte regulacją muszą aktywnie zarządzać ryzykiem w całym łańcuchu dostaw, traktując to jako obowiązkowy komponent systemu bezpieczeństwa, a nie tylko jako dobrą praktykę. Zgodnie z podejście NIS2 outsourcing nie zwalnia z odpowiedzialności.
Przepisy nakładają obowiązek wdrożenia polityki bezpieczeństwa łańcucha dostaw, obejmującej zarówno ocenę ryzyka usługodawców, jak i dostosowanie wymagań bezpieczeństwa do roli dostawcy w infrastrukturze organizacji. Kluczowe jest ustalenie jasnych kryteriów selekcji i oceny partnerów, tj. uwzględniających ich praktyki bezpieczeństwa, zgodność produktów/usług z naszymi standardami, możliwość zastąpienia ich w razie zagrożenia oraz stopień potencjalnego uzależnienia (vendor lock-in).
Równie ważny jest ciągły nadzór, gdyż organizacje muszą prowadzić ewidencję kluczowych dostawców i regularnie aktualizować oceny ryzyka, zwłaszcza w świetle nowych zagrożeń czy informacji o podatnościach. Jednocześnie przegląd polityki łańcucha dostaw powinien być prowadzony przynajmniej raz w roku i reagować na zmiany w poziomie zabezpieczeń partnerów.
Na poziomie unijnym NIS2 przewiduje mechanizmy koordynowanych ocen ryzyka, szczególnie dla krytycznych technologii ICT, co może prowadzić do ograniczenia stosowania konkretnych produktów lub dostawców. To pokazuje, jak istotny stał się temat bezpieczeństwa łańcucha dostaw w wymiarze strategicznym.
Podsumowując, NIS2 nakłada na organizacje obowiązek nie tylko oceny, ale i aktywnego zarządzania bezpieczeństwem swoich dostawców. To oznacza formalne polityki, rygorystyczną selekcję, ciągły monitoring, weryfikację zgodności oraz jasne zapisy w umowach, a wszystko pod nadzorem kierownictwa.
Odpowiedzialność zarządu i nadzór nad podwykonawcami według NIS2
Jedno z najważniejszych założeń NIS2 brzmi, że cyberbezpieczeństwo to kwestia strategiczna i odpowiedzialność zarządu. Członkowie kierownictwa nie tylko odpowiadają za zatwierdzanie i nadzorowanie wdrożenia środków bezpieczeństwa. W zakresie dostawców muszą również wykazać się wiedzą, pozwalającą oceniać ryzyka cyber. Outsourcing nie zwalnia z obowiązków, nawet jeśli usługi realizuje zewnętrzny partner, to organizacja odpowiada przed regulatorem za ich bezpieczeństwo.
Naruszenia mogą skutkować dotkliwymi sankcjami, zarówno finansowymi i osobistymi. Państwa członkowskie wprowadzają przepisy przewidujące kary dla menedżerów za rażące zaniedbania, w tym zakaz pełnienia funkcji, grzywny lub odpowiedzialność administracyjną. Dla zarządów oznacza to konieczność realnego nadzoru nad ryzykiem łańcucha dostaw, a nie tylko formalnego.
Kluczowe są regularne raporty nt. stanu bezpieczeństwa dostawców, postępów we wdrażaniu polityk oraz wykrytych luk. Warto też wyznaczyć osoby lub komitety odpowiedzialne za nadzór (np. CISO, komisje ds. ryzyka). Szczególną rolę odgrywają umowy, gdyż muszą one zawierać klauzule o wymaganiach bezpieczeństwa, obowiązku zgłaszania incydentów, prawie audytu, zarządzaniu podatnościami, zasadach dalszego podwykonawstwa (zasada „flow-down”) oraz regułach zakończenia współpracy (np. zwrot/usunięcie danych).
Zarząd powinien więc zadbać, by kwestie cyberbezpieczeństwa były integralną częścią relacji z partnerami, począwszy od strategii po zapisy kontraktowe. To wymaga współpracy między działami (w tym zakupy, prawny, IT, bezpieczeństwo) i ustanowienia trwałego mechanizmu nadzoru. W świetle NIS2 zarządzanie ryzykiem stron trzecich nie jest już wyborem, a prawnym obowiązkiem i istotnym elementem ładu korporacyjnego.
Rekomendacje oraz praktyczne wskazówki dla organizacji w celu zapewnienia zgodności z NIS2
W świetle nowych wymagań regulacyjnych zarządy i kadra kierownicza powinni wdrożyć konkretne działania zabezpieczające organizację przed ryzykiem i zapewniające zgodność z NIS2, zwłaszcza w zakresie bezpieczeństwa łańcucha dostaw i nadzoru nad podwykonawcami. Oto kluczowe kroki:
1. Opracuj formalną politykę bezpieczeństwa łańcucha dostaw
Stwórz formalny dokument określający zasady klasyfikacji dostawców, ocenę ryzyka, wymagania bezpieczeństwa, komunikację i reakcję na incydenty. Polityka musi być zatwierdzona przez zarząd i znana wszystkim zaangażowanym stronom.
2. Zidentyfikuj i skataloguj swoich dostawców
Zidentyfikuj kluczowych partnerów, szczególnie mających dostęp do systemów lub danych. Przypisz poziomy ryzyka (wysoki/średni/niski) w zależności od wpływu na działalność.
3. Przeprowadź ocenę bezpieczeństwa dostawców
Dla obecnych i nowych dostawców o krytycznym znaczeniu wprowadź formalny proces oceny ich cyberbezpieczeństwa (tzw. cyber due dilligence). Obejmuje to zbieranie informacji o praktykach bezpieczeństwa, weryfikację posiadanych certyfikatów oraz analizę raportów lub wyników audytów. W przypadku kluczowych partnerów rozważ zlecenie audytu bezpieczeństwa u dostawcy lub wymaganie niezależnych testów penetracyjnych ich systemów.
4. Wprowadź wymagania cyberbezpieczeństwa do umów z dostawcami
Upewnij się, że każda umowa z istotnym dostawcą zawiera dedykowane klauzule dotyczące bezpieczeństwa. W świetle NIS2 kluczowe wymagania obejmują m.in. minimalne wymagania bezpieczeństwa, jakie dostawca musi spełniać, wymóg szkolenia personelu dostawcy w zakresie bezpieczeństwa i posiadania przez niego odpowiednich kwalifikacji, obowiązek przeprowadzania weryfikacji kluczowych pracowników dostawcy, obowiązek informowania o incydentach bezpieczeństwa bez zbędnej zwłoki, prawo do audytu bezpieczeństwa u dostawcy lub otrzymywania regularnych raportów z niezależnych audytów, obowiązek dostawcy w zakresie zarządzania podatnościami (np. niezwłocznego instalowania krytycznych poprawek bezpieczeństwa w swoich produktach/usługach), ograniczenia dotyczące podwykonawców dostawcy, jeżeli dopuszczamy dalsze podwykonawstwo, dostawca ma wymagać od podwykonawców spełniania tych samych standardów bezpieczeństwa, co on sam, oraz ustalenia na wypadek zakończenia współpracy.
5. Monitoruj bezpieczeństwo dostawców na bieżąco
Ustanów proces ciągłego monitorowania kluczowych dostawców w czasie trwania umowy. Praktyką staje się korzystanie z dedykowanych narzędzi informatycznych dostarczających informacji o stanie bezpieczeństwa partnerów (np. platformy scoringowe, które śledzą publicznie dostępne wskaźniki bezpieczeństwa dostawcy, takie jak podatności w ich infrastrukturze, wycieki danych, certyfikaty itp.). Przeprowadzaj również regularne przeglądy, np. kwartalne spotkania z kluczowymi dostawcami, podczas których omawiane są kwestie bezpieczeństwa, raportowane incydenty i plany usprawnień. Reaguj na sygnały ostrzegawcze, np. wzrost liczby incydentów czy brak reakcji na podatności.
6. Przygotuj się na incydent z udziałem dostawcy
Upewnij się, że plan reagowania na incydenty obejmuje również incydenty po stronie dostawców. Określ kanały komunikacji, procedury wspólnego działania i obowiązki raportowania. Przećwicz scenariusze awaryjne z udziałem dostawców.
7. Unikaj uzależnienia od jednego dostawcy/technologii
Oceń poziom uzależnienia od pojedynczych dostawców czy technologii. W miarę możliwości wprowadź alternatywy, korzystaj z otwartych standardów (np. standardy interoperacyjne, otwarte formaty danych), a także planuj scenariusze awaryjne.
8. Buduj kulturę bezpieczeństwa wspólnie z dostawcami
Traktuj bezpieczeństwo jako wspólną wartość. Wspieraj szkolenia, dzielenie się wiedzą i rozwój standardów u kluczowych partnerów. Komunikuj jasno, że bezpieczeństwo to kluczowe kryterium oceny i warunek współpracy. Upewnij się również, że wewnętrzne zespoły (w tym IT, zakupy, prawny) rozumieją wagę kwestii cyberbezpieczeństwa.
Te działania składają się na praktyczne wdrożenie zarządzania ryzykiem stron trzecich w zgodzie z NIS2. Choć wymagają zaangażowania, to zaniechanie ich może wiązać się z realnym ryzykiem regulacyjnym i operacyjnym. Pierwszym krokiem powinna być ocena obecnej sytuacji, a następnie wdrożenie planu naprawczego dopasowanego do struktury i dojrzałości organizacji.
Podsumowanie
Bezpieczeństwo łańcucha dostaw i podwykonawców przestało być jedynie modnym hasłem, a stało się twardym wymogiem prawnym i kluczowym elementem odporności biznesowej. NIS2 wyraźnie wskazuje, że każda firma objęta dyrektywą musi aktywnie zarządzać ryzykami w łańcuchu dostaw, od formalnych polityk i procedur, przez zapisy w umowach, po aktywny nadzór ze strony najwyższej kadry kierowniczej. Zaniedbanie tych kwestii może skutkować poważnymi sankcjami, ale przede wszystkim zwiększa prawdopodobieństwo poważnego incydentu, który zakłóci działalność firmy.
Dla zarządów oznacza to konieczność spojrzenia na bezpieczeństwo łańcucha dostaw nie jako na dodatkowy obowiązek, lecz jako na strategiczny element zarządzania firmą. Organizacje, które potrafią skutecznie monitorować i kontrolować swoich partnerów, są lepiej przygotowane na zakłócenia, zarówno te technologiczne, jak i operacyjne. Co więcej, zgodność z NIS2 może być postrzegana przez klientów i kontrahentów jako dowód wiarygodności i przewaga konkurencyjna.
Wdrożenie zasad bezpieczeństwa w łańcuchu dostaw wymaga współpracy między działami i zmiany podejścia, ale korzyści są długofalowe. Jak mówi stare powiedzenie „jesteśmy tak bezpieczni, jak nasz najsłabszy partner” i dlatego właśnie warto zadbać, by takich słabych ogniw w naszym ekosystemie po prostu nie było.
Czytaj więcej: https://ttsw.com.pl/blog/