Cyberbezpieczeństwo dostawców ICT
Baza wiedzy
Ocena cyberbezpieczeństwa dostawców ICT: od rozproszonych ankiet do jednej metody
Bezpieczeństwo organizacji

Ocena cyberbezpieczeństwa dostawców ICT: od rozproszonych ankiet do jednej metody

Dyrektywa NIS2, rozporządzenie DORA i znowelizowana ustawa o KSC mają wspólny mianownik, o którym mówi się rzadziej niż o karach: odpowiedzialność za bezpieczeństwo łańcucha dostaw ICT. Zarząd odpowiada nie tylko za własne systemy, ale i za to, kogo wpuszcza do swojego środowiska. Tymczasem większość organizacji ocenia dostawców ankietami, które nie dają wyniku porównywalnego między dostawcami ani jasnej odpowiedzi „akceptuję / warunkowo / odrzucam".

www.sisoft.pl/baza-wiedzy/cyfrowa-europa
Grzegorz Surdyka
31.3.2026
9
min czytania

Spis treści

    Dlaczego ocena dostawców ICT trafiła na agendę zarządu

    Trzy regulacje, jeden obowiązek. Każda z nich — innym językiem — mówi to samo: za bezpieczeństwo dostawcy odpowiadasz Ty, nie dostawca.

    NIS2 (w Polsce: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa) wymaga ujęcia bezpieczeństwa łańcucha dostaw w środkach zarządzania ryzykiem — wprost wskazuje na to art. 21 ust. 2 lit. d dyrektywy. Bezpieczeństwo dostawcy staje się elementem Twojego obowiązku, a nie jego wewnętrzną sprawą.

    DORA (sektor finansowy) w artykułach 28–30 nakłada zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT, obowiązek prowadzenia rejestru informacji o umowach oraz obowiązkowe postanowienia umowne. Ocena dostawcy przestaje być dobrą praktyką — staje się wymogiem popartym rejestrem do okazania nadzorcy.

    Ustawa o KSC rozszerza krąg podmiotów objętych obowiązkami i wzmacnia wymagania wobec relacji z dostawcami.

    Wspólny efekt jest praktyczny: zarząd musi umieć wykazać, że ocenił dostawców według spójnego, powtarzalnego kryterium — i że tę ocenę potrafi uzasadnić przed audytorem. To poprzeczka, której zwykła ankieta nie przeskakuje.

    Dlaczego ankiety nie wystarczają

    Najczęstszy stan zastany w organizacjach to arkusz z setką pytań rozsyłany mailem. Problem nie leży w samych pytaniach, lecz w tym, czego taki arkusz nie daje.

    Ograniczenie Konsekwencja dla zarządu
    Brak porównywalności — każdy dostawca odpowiada inaczej Wyniki nie składają się w ranking; nie wiadomo, który dostawca jest „bezpieczniejszy"
    Jednorazowość — ankieta dezaktualizuje się i nie jest reużywalna Dostawca wypełnia wszystko od zera dla każdego klienta; ocena starzeje się w tygodnie
    Brak progu decyzyjnego Dostajesz 200 odpowiedzi, ale nie odpowiedź na pytanie „czy mogę podpisać umowę"

    Co znaczy ocena oparta na metodzie

    Alternatywą dla rozproszonych ankiet jest jedna metodyka i zasada „odpowiedz raz — wykorzystuj wielokrotnie". W praktyce oznacza to cztery rzeczy:

    • Spójny zestaw kryteriów powiązany z wymaganiami prawa i uznanymi normami (m.in. ISO/IEC 27001:2022 oraz ISO/IEC 27036 dotyczącą bezpieczeństwa w relacjach z dostawcami).
    • Jednolita skala oceny dla każdego kryterium i wagi przypisane domenom bezpieczeństwa — tak, by waga pytania odpowiadała jego znaczeniu dla ryzyka.
    • Wynik liczbowy osadzony w progach decyzyjnych (tiering ryzyka), dzięki czemu wynik jednego dostawcy jest porównywalny z wynikiem innego.
    • Prezentacja zrozumiała dla zarządu — wynik jako podstawa decyzji, a nie surowy zrzut odpowiedzi dla zespołu technicznego.

    Różnica jest taka, jak między stertą paragonów a sprawozdaniem finansowym: te same dane, ale dopiero metoda zamienia je w podstawę decyzji.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Sprawdź, czy proces oceny dostawców ICT w Twojej organizacji odpowiada wymaganiom NIS2, DORA i KSC.

    Umów konsultację

    Platforma Eurisq

    Eurisq to usługa w chmurze (SaaS) w modelu abonamentowym, która ujednolica i automatyzuje ocenę bezpieczeństwa dostawców ICT dla podmiotów objętych NIS2, DORA i ustawą o KSC. Zamiast rozsyłać ankiety i ręcznie je zestawiać, organizacja prowadzi ocenę w jednym, przewidywalnym procesie: dostawca odpowiada raz, a wynik jest porównywalny i powtarzalny — osadzony w jasnych progach decyzyjnych.

    O projekcie i źródle finansowania

    Platforma Eurisq powstaje w ramach projektu grantowego dofinansowanego z programu „Cyfrowa Europa" (Digital Europe Programme).

    Nazwa projektu

    „Platforma SaaS – ocena dostawców ICT pod kątem cyberryzyka" (Eurisq)

    Źródło finansowania

    Program „Cyfrowa Europa" (Digital Europe Programme), realizowany w ramach projektu National Coordination Centre – Poland (NCC-PL) / Program Wsparcia Finansowego Stron Trzecich, na podstawie umowy nr DEP.01.01/25/0047-00 z dnia 13 marca 2026 r. zawartej z Centrum Projektów Polska Cyfrowa.

    Wysokość grantu

    238 394,93 PLN (100% dofinansowania), w tym 50% z budżetu Unii Europejskiej (119 197,46 PLN) i 50% z budżetu państwa (119 197,47 PLN).

    Okres realizacji

    15.09.2025 – 30.06.2026

    Dofinansowane przez Unię Europejską — NCC-PL, Ministerstwo Cyfryzacji, ECCC

    Dofinansowane przez Unię Europejską. Projekt realizowany w ramach Krajowego Centrum Kompetencji Cyberbezpieczeństwa (NCC-PL), we współpracy z Centrum Projektów Polska Cyfrowa oraz Ministerstwem Cyfryzacji.

    Podsumowanie

    • Ocena dostawców ICT przestała być formalnością — to wymóg NIS2, DORA i KSC z bezpośrednią konsekwencją dla zarządu.
    • Ankiety nie dają porównywalnego wyniku ani progu decyzyjnego — dają poczucie kontroli bez kontroli.
    • Metoda — jedna metodyka, skala, wagi i progi — zamienia odpowiedzi w decyzję, którą da się uzasadnić przed audytorem.

    Najczęściej zadawane pytania

    Czego NIS2 wymaga wobec dostawców?

    NIS2 wymaga, by bezpieczeństwo łańcucha dostaw było częścią środków zarządzania ryzykiem podmiotu (art. 21 ust. 2 lit. d dyrektywy). Organizacja odpowiada za ocenę i nadzór nad bezpieczeństwem swoich dostawców ICT, a nie tylko własnych systemów.

    Co DORA mówi o dostawcach ICT?

    DORA w artykułach 28–30 reguluje zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT: zasady ogólne, ocenę ryzyka koncentracji oraz obowiązkowe postanowienia umowne. Podmioty finansowe prowadzą też rejestr informacji o umowach z dostawcami ICT.

    Czym jest TPRM (Third-Party Risk Management)?

    To zarządzanie ryzykiem wnoszonym przez strony trzecie — dostawców, podwykonawców, partnerów. W obszarze ICT obejmuje ocenę bezpieczeństwa dostawcy przed nawiązaniem współpracy i jej monitorowanie w czasie.

    Czym jest platforma Eurisq?

    To usługa SaaS do ujednoliconej i zautomatyzowanej oceny bezpieczeństwa dostawców ICT pod kątem wymagań NIS2, DORA i KSC, oparta na jednej metodyce i jasnych progach decyzyjnych.

    Z jakich środków finansowany jest projekt Eurisq?

    Projekt „Platforma SaaS – ocena dostawców ICT pod kątem cyberryzyka" jest dofinansowany z programu „Cyfrowa Europa" (Digital Europe Programme) w ramach projektu NCC-PL, na podstawie umowy nr DEP.01.01/25/0047-00. Wysokość grantu: 238 394,93 PLN (100% dofinansowania).

    Skontaktuj się z nami

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiadamy sprawnie i konkretnie.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    Pierwsze dziesięć dni po uznaniu za podmiot kluczowy: cztery decyzje, które zarząd powinien podjąć, zanim zadzwoni do prawnika

    Lista 131 pytań ministerstwa nie odpowiada na pytanie „co teraz". Decyzje pierwszych dziesięciu dni przesądzają, czy następne dwanaście miesięcy będzie uporządkowanym programem, czy reaktywnym chaosem.
    Grzegorz Surdyka
    4/14/2026
    10
    min czytania
    Bezpieczeństwo organizacji

    Bezpłatna diagnoza KSC2: trzy elementy, które oddzielają wartościową analizę od marketingowej ankiety

    Jak wybrać diagnozę, która da zarządowi podstawy do decyzji, a nie kolejny raport z kolorami świateł drogowych i zaproszeniem na rozmowę handlową.
    Grzegorz Surdyka
    4/6/2026
    10
    min czytania
    Bezpieczeństwo organizacji

    Ile kosztuje program cyberbezpieczeństwa

    Rzeczywisty koszt programu cyberbezpieczeństwa składa się z sześciu obszarów: ludzie, narzędzia, audyty, szkolenia, reakcja na incydenty i zgodność regulacyjna. Większość organizacji zna tylko część tych kosztów, bo reszta jest rozproszona po budżetach HR, działu prawnego i CFO. Według Gartner firmy przeznaczają na bezpieczeństwo 8-12% budżetu IT, a polskie badania (Xopero Software) pokazują, że 77% firm w Polsce wydaje poniżej 50 tys. PLN rocznie.
    Grzegorz Surdyka
    3/30/2026
    14
    min czytania
    Zobacz więcej