ISO/SAE 21434 dla dostawców Tier 1
Baza wiedzy
ISO/SAE 21434 w praktyce. Narzędziownik wdrożenia dla dostawców motoryzacyjnych
Normy cyberbezpieczeństwa

ISO/SAE 21434 w praktyce. Narzędziownik wdrożenia dla dostawców motoryzacyjnych

Praktyczny przewodnik po ISO/SAE 21434 dla dostawców Tier 1: siedem elementów narzędziownika wdrożeniowego, od TARA po plan reagowania na incydenty. Harmonogram, szablony, pułapki.

www.sisoft.pl/baza-wiedzy/iso-21434-narzedziownik-wdrozenia
Grzegorz Surdyka
15.1.2026
18
min czytania

Spis treści

    Czym jest ISO/SAE 21434 i dlaczego dotyczy dostawców

    ISO/SAE 21434:2021 to międzynarodowa norma definiująca wymagania dla inżynierii cyberbezpieczeństwa pojazdów drogowych. Obejmuje cały cykl życia produktu: od koncepcji, przez rozwój i produkcję, aż po eksploatację i wycofanie z użytku.

    Norma formalnie jest dobrowolna. W praktyce - nie jest. Od lipca 2024 roku regulamin UNECE R155 wymaga, aby każdy nowy pojazd sprzedawany w Unii Europejskiej posiadał homologację typu w zakresie cyberbezpieczeństwa, co wymaga certyfikowanego systemu zarządzania cyberbezpieczeństwem (CSMS). Producenci pojazdów przenoszą te wymagania kaskadowo na swoich dostawców poprzez umowy interfejsowe, kwestionariusze cyberbezpieczeństwa i wymagania projektowe. Jeśli dostarczasz sterownik, moduł komunikacyjny, oprogramowanie czy jakikolwiek komponent z elektroniką - ISO/SAE 21434 definiuje oczekiwania, które musisz spełnić. Konsekwencje regulacyjne i ich wpływ na łańcuch dostaw analizujemy szczegółowo w artykule Rok p wejściu UNECE R155.

    Skala zmian jest realna. Porsche wycofało ze sprzedaży w Unii Europejskiej spalinowego Macana, 718 Boxstera i 718 Caymana. Rzecznik firmy wyjaśnił, że dostosowanie architektury elektronicznej tych pojazdów do wymagań R155 wymagałoby nie tylko zmian technicznych w sterownikach, ale fundamentalnej przebudowy procesów rozwojowych, co uznano za ekonomicznie nieopłacalne. Z tych samych przyczyn regulacyjnych Volkswagen zakończył sprzedaż modeli Up! i Transporter T6.1 na rynku europejskim.

    Dla polskiego dostawcy Tier 1 działającego w łańcuchu wartości niemieckich OEM-ów to nie jest odległa perspektywa. To bieżący warunek dostępu do rynku.

    Struktura normy: co organizuje narzędziownik

    ISO/SAE 21434 składa się z piętnastu rozdziałów, ale z perspektywy wdrożeniowej kluczowe jest zrozumienie trzech warstw:

    Warstwa organizacyjna (rozdział 5) definiuje fundament: politykę cyberbezpieczeństwa, strukturę ról i odpowiedzialności, zarządzanie kompetencjami, kulturę cyberbezpieczeństwa oraz systemy zarządzania (jakości, konfiguracji, dokumentacji, bezpieczeństwa informacji). To warstwa, która musi istnieć niezależnie od tego, ile projektów prowadzisz. Dlaczego sam dokument nie wystarczy - i czym różni się „papierowy" CSMS od działającego - opisujemy w artykule CSMS nie jest projektem zgodności.

    Warstwa projektowa (rozdziały 6, 7, 9-14) obejmuje to, co dzieje się w ramach konkretnego projektu rozwojowego: planowanie cyberbezpieczeństwa, analizę zagrożeń i ocenę ryzyka (TARA), definiowanie celów i koncepcji cyberbezpieczeństwa, specyfikację, weryfikację, walidację, produkcję, eksploatację i wycofanie. Rozdział 7 reguluje rozproszoną działalność, czyli relacje klient-dostawca.

    Warstwa ciągła (rozdział 8) działa niezależnie od projektów: monitorowanie cyberbezpieczeństwa, ocena zdarzeń, analiza podatności i zarządzanie podatnościami. To proces, który nigdy się nie kończy, bo krajobraz zagrożeń zmienia się nieustannie.

    Rozdział 15 to metoda: definiuje modularne podejście do TARA, które jest wywoływane z poziomu rozdziału 9 (faza koncepcyjna) i aktualizowane w trakcie całego cyklu życia.

    Zrozumienie tej architektury pozwala uniknąć najczęstszego błędu: traktowania wszystkich wymagań jako jednorodnej listy do odhaczenia, zamiast budowania spójnego systemu wzajemnie powiązanych procesów.

    ISO/SAE 21434, UNECE R155 i ASPICE for Cybersecurity - trzy ramy, jeden cel

    Dostawca Tier 1 musi orientować się w trzech nakładających się ramach wymagań. Ich wzajemne relacje bywają źródłem nieporozumień, warto więc je rozjaśnić.

    ISO/SAE 21434 to norma inżynieryjna: mówi jak projektować cyberbezpieczeństwo w produkcie i organizacji. Definiuje wymagania (oznaczone jako RQ) i rekomendacje (RC), które przekładają się na konkretne produkty pracy (od WP-05-01 po WP-15-08).

    UNECE R155 to regulamin homologacyjny: mówi, czego wymaga prawo, aby pojazd mógł zostać zarejestrowany. Wymaga certyfikowanego CSMS i homologacji typu pojazdu w zakresie cyberbezpieczeństwa. Nie definiuje szczegółowo, jak to osiągnąć i odwołuje się do ISO/SAE 21434 jako uznanej metody.

    ASPICE for Cybersecurity (wersja 2.0, marzec 2025) to model oceny procesów: mówi, jak dojrzale organizacja realizuje procesy cyberbezpieczeństwa. Dodaje do klasycznego ASPICE sześć procesów: SEC.1 (specyfikacja wymagań cyberbezpieczeństwa), SEC.2 (implementacja cyberbezpieczeństwa), SEC.3 (weryfikacja traktowania ryzyka), SEC.4 (walidacja traktowania ryzyka), MAN.7 (zarządzanie ryzykiem cyberbezpieczeństwa) oraz ACQ.2 (zapytanie i wybór dostawcy z uwzględnieniem kryteriów cyberbezpieczeństwa). Niemieckie OEM-y coraz częściej wymagają ocen ASPICE for Cybersecurity jako warunku akceptacji dostawcy.

    Te trzy ramy nie konkurują ze sobą, lecz wzajemnie się uzupełniają. Wdrożenie ISO/SAE 21434 buduje fundament, na którym można wykazać zgodność z R155 (przez certyfikację CSMS) i wykazać dojrzałość procesową (przez ocenę ASPICE). Narzędziownik, który tu opisuję, jest zaprojektowany tak, by obsługiwać wszystkie trzy perspektywy jednocześnie.

    Narzędziownik: siedem elementów, które muszą działać

    1. Polityka i ramy organizacyjne cyberbezpieczeństwa

    Norma wymaga jasno (RQ-05-01, RQ-05-02): organizacja definiuje politykę cyberbezpieczeństwa i ustanawia zasady oraz procesy umożliwiające realizację wymagań. To nie jest formalność: polityka musi zawierać uznanie ryzyk cyberbezpieczeństwa pojazdów drogowych oraz zobowiązanie kierownictwa najwyższego szczebla do zarządzania tymi ryzykami.

    W praktyce dostawcy Tier 1 polityka powinna adresować co najmniej: zakres stosowania (które produkty i procesy obejmuje), strukturę organizacyjną cyberbezpieczeństwa (kto odpowiada za co na poziomie organizacji i projektu), powiązania z innymi dyscyplinami (bezpieczeństwo funkcjonalne, ochrona danych, jakość), zasady dzielenia się informacjami oraz zobowiązanie do ciągłego doskonalenia.

    Pułapka
    Kopiowanie polityki bezpieczeństwa informacji (ISO 27001) i zmiana nagłówka. Polityka cyberbezpieczeństwa produktu dotyczy innego zakresu: chodzi o bezpieczeństwo systemów E/E pojazdu, nie infrastruktury IT firmy. Muszą współistnieć, ale nie są tym samym dokumentem.
    Minimalna wersja
    Dwu-trzystronicowy dokument podpisany przez zarząd, z jasną strukturą odpowiedzialności i odniesieniem do procesów opisanych w podręczniku cyberbezpieczeństwa organizacji.

    2. Proces i szablony TARA

    Analiza zagrożeń i ocena ryzyka to serce normy. Rozdział 15 definiuje modularne podejście składające się z siedmiu kroków odpowiadających podrozdziałom 15.3-15.9: identyfikacja zasobów i scenariuszy szkód (15.3), identyfikacja scenariuszy zagrożeń (15.4), ocena wpływu w kategoriach SFOP (bezpieczeństwo, finanse, operacyjność, prywatność) (15.5), analiza ścieżek ataku (15.6), ocena wykonalności ataku (15.7), wyznaczenie wartości ryzyka (15.8) i decyzja o traktowaniu ryzyka (unikanie, redukcja, dzielenie lub akceptacja) (15.9).

    Kluczowe jest to, że TARA nie jest dokumentem, lecz procesem. Norma określa ją jako „żywy dokument", który musi być aktualizowany w odpowiedzi na zmiany w architekturze systemu, nowo odkryte podatności czy zmianę kontekstu użytkowania.

    Narzędziownik TARA powinien obejmować: szablon dokumentu z predefiniowaną strukturą (informacje ogólne, identyfikacja zasobów, ocena wpływu, analiza wykonalności ataku, ocena ryzyka, decyzja o traktowaniu ryzyka), zdefiniowaną skalę oceny wpływu dla każdej z czterech kategorii SFOP (poważny, znaczący, umiarkowany, pomijalny), wybraną metodę oceny wykonalności ataku (norma dopuszcza trzy: podejście oparte na potencjale ataku, CVSS lub wektor ataku) oraz matrycę wyznaczania wartości ryzyka (skala 1-5).

    Pułapka
    Przeprowadzanie TARA dopiero po zakończeniu projektowania. Norma wymaga jej wykonania w fazie koncepcyjnej (rozdział 9), a jej wyniki zasilają koncepcję cyberbezpieczeństwa i definiują cele. Późna TARA oznacza kosztowne przeprojektowanie.
    Pułapka
    Wykonywanie TARA jako jednorazowego ćwiczenia. Wymaganie RQ-09-03 jednoznacznie wskazuje, że TARA prowadzi się zgodnie z rozdziałem 15 i że jej wyniki wpływają na cały dalszy rozwój produktu. Zmiana architektury, nowo odkryta podatność, inna konfiguracja pojazdu - każda z tych sytuacji wymaga rewizji TARA.

    3. Struktura uzasadnienia cyberbezpieczeństwa

    Uzasadnienie cyberbezpieczeństwa (WP-06-02) to argument, systematyczny wywód pokazujący, że przedmiot analizy osiąga wystarczający poziom cyberbezpieczeństwa. To nie podsumowanie projektu, lecz łańcuch dowodowy: od zidentyfikowanych ryzyk, przez zdefiniowane cele cyberbezpieczeństwa, specyfikację i implementację zabezpieczeń, wyniki weryfikacji i walidacji, aż po zarządzanie ryzykiem resztowym.

    W praktyce dostawcy komponentów uzasadnienie jest zwykle prostsze niż u producenta pojazdu, ale nadal musi wykazywać pełną identyfikowalność: od scenariuszy zagrożeń, przez cele, wymagania, mechanizmy zabezpieczeń, aż po dowody testowe.

    Pułapka
    Budowanie uzasadnienia na końcu projektu „z tego, co jest". Uzasadnienie musi powstawać iteracyjnie. Już plan cyberbezpieczeństwa definiuje jego oczekiwaną strukturę.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Przeanalizujmy luki, priorytety oraz realny harmonogram wdrożenia – tak, by narzędziownik działał w projektach, a nie tylko w dokumentach.

    Umów konsultację

    4. Szablon i proces uzgodnienia interfejsu cyberbezpieczeństwa (CIA)

    Uzgodnienie interfejsu cyberbezpieczeństwa (WP-07-01) to jeden z najważniejszych produktów pracy w relacji klient-dostawca. Wymaganie RQ-07-04 precyzuje, co musi zawierać: wyznaczenie punktów kontaktowych obu stron, identyfikację działań do wykonania przez klienta i dostawcę, listę produktów pracy do wymiany, kamienie milowe oraz definicję końca wsparcia cyberbezpieczeństwa.

    CIA nie jest dokumentem jednostronnym, lecz umową między dwoma stronami. Powinna być ustalona przed rozpoczęciem działań rozproszonych (RC-07-05), choć jest to rekomendacja, nie wymóg. W praktyce im wcześniej CIA zostanie uzgodniona, tym mniej nieporozumień na dalszych etapach.

    Dobrze zaprojektowany szablon CIA zawiera: arkusz informacji ogólnych (strony, kontakty, historia rewizji), arkusz planowania działań (lista produktów pracy z przypisaniem odpowiedzialności klient/dostawca, formatem dostawy, terminem i statusem) oraz referencję do pełnej listy produktów pracy z załącznika A normy.

    Pułapka
    Traktowanie CIA jako formalności. Jeśli OEM wymaga od dostawcy Tier 1 konkretnych produktów pracy, a dostawca nie uregulował tego samego w CIA ze swoim poddostawcą Tier 2, w momencie audytu brakuje ogniwa w łańcuchu dowodowym.

    5. Proces zarządzania podatnościami

    Rozdział 8 normy definiuje czteroetapowy proces ciągły: monitorowanie informacji o cyberbezpieczeństwie (RQ-08-01 do RQ-08-03), ocena zdarzeń (RQ-08-04), analiza podatności (RQ-08-05, RQ-08-06) i zarządzanie podatnościami (RQ-08-07). To wymóg, który obowiązuje przez cały cykl życia produktu: od wprowadzenia do wycofania z eksploatacji.

    Dla większości dostawców Tier 1 to zupełnie nowy obszar. Dotychczas komponent raz zaprojektowany i przetestowany nie wymagał ciągłej uwagi w zakresie bezpieczeństwa. Norma to zmienia i wymaga aktywnego śledzenia źródeł informacji o zagrożeniach, triaży zdarzeń, analizy, czy wykryte słabości stanowią podatności, oraz zarządzania tymi podatnościami aż do ich skutecznego wyeliminowania lub akceptacji ryzyka.

    Narzędziownik powinien obejmować: zdefiniowane źródła informacji (NVD, bazy CVE, informacje od dostawców komponentów, raporty branżowe Auto-ISAC), kryteria triażu (jakie zdarzenia eskalujemy, jakie odrzucamy), proces analizy podatności (kto ocenia, jak dokumentuje, w jakim czasie) i mechanizm zarządzania (śledzenie statusu, powiązanie z TARA, eskalacja do reagowania na incydenty).

    6. Plan reagowania na incydenty cyberbezpieczeństwa

    Jeśli analiza podatności wykaże ryzyko na poziomie nieakceptowalnym, uruchamia się reagowanie na incydenty (rozdział 13). Wymóg RQ-13-01 definiuje zawartość planu reagowania: działania naprawcze, plan komunikacji, przypisanie odpowiedzialności, procedurę rejestrowania nowych informacji, metodę mierzenia postępu, kryteria zamknięcia incydentu i działania finalizujące.

    Dla dostawcy Tier 1 kluczowe jest powiązanie tego procesu z procesem zarządzania podatnościami z rozdziału 8 oraz z procesem aktualizacji oprogramowania (jeśli komponent obsługuje OTA). Plan reagowania musi być również zsynchronizowany z analogicznym planem po stronie OEM-a, co reguluje uzgodnienie interfejsu cyberbezpieczeństwa.

    7. Plan cyberbezpieczeństwa projektu

    Plan cyberbezpieczeństwa (WP-06-01) to dokument integrujący, który łączy wszystkie powyższe elementy w kontekście konkretnego projektu rozwojowego. Wymaganie RQ-06-03 definiuje minimalną zawartość: cel każdego działania, zależności, osoby odpowiedzialne, wymagane zasoby, harmonogram i identyfikację produktów pracy.

    Plan musi być spójny z ogólnym planem projektu (RQ-06-05), co w praktyce oznacza integrację z istniejącymi procesami APQP/PPAP, jeśli organizacja je stosuje. Plan cyberbezpieczeństwa nie jest odrębnym światem, lecz częścią zarządzania projektem.

    Pułapka
    Tworzenie planu jako ogólnego dokumentu ramowego bez konkretnych dat, osób i produktów pracy. Audytor (wewnętrzny lub zewnętrzny) oceni plan na podstawie jego realizowalności i identyfikowalności, nie objętości.

    TISAX jako fundament: nie zaczynasz od zera

    Jeśli organizacja posiada certyfikat TISAX, ma już spory fragment fundamentu pod ISO/SAE 21434. TISAX bazuje na katalogu kontrolnym VDA ISA, który z kolei wywodzi się z ISO 27001/27002. To oznacza, że wiele elementów organizacyjnych już istnieje: zarządzanie bezpieczeństwem informacji, kontrola dostępu, zarządzanie incydentami IT, zarządzanie dostawcami, zarządzanie ciągłością działania.

    Elementy TISAX, które bezpośrednio wspierają wymagania rozdziału 5 normy ISO/SAE 21434: system zarządzania bezpieczeństwem informacji (wymaganie RQ-05-11 dotyczące systemów zarządzania), zarządzanie kompetencjami i świadomością (RQ-05-07), zarządzanie dokumentacją i konfiguracją (RQ-05-11), audyty wewnętrzne (RQ-05-17).

    Elementy, których TISAX nie pokrywa i które trzeba zbudować: cały proces TARA (rozdział 15 i 9), koncepcja cyberbezpieczeństwa produktu (WP-09-06), uzasadnienie cyberbezpieczeństwa (WP-06-02), ciągłe monitorowanie cyberbezpieczeństwa produktu (rozdział 8), uzgodnienie interfejsu cyberbezpieczeństwa (rozdział 7), specyfikacja i weryfikacja cyberbezpieczeństwa na poziomie produktu (rozdział 10).

    Świadome wykorzystanie istniejącego TISAX jako punktu wyjścia pozwala zaoszczędzić od trzech do sześciu miesięcy wdrożenia i uniknąć duplikowania procesów. Wymaga to jednak mapowania (dokument po dokumencie, proces po procesie), a nie założenia, że „TISAX wystarczy".

    Harmonogram wdrożenia: realistyczne oczekiwania

    Czas wdrożenia zależy od dojrzałości organizacji, liczby produktów i zasobów. Dla typowego polskiego dostawcy Tier 1 (100-500 pracowników, istniejący TISAX, dwa-trzy aktywne projekty z komponentami E/E) realistyczny harmonogram to dwanaście do osiemnastu miesięcy do osiągnięcia operacyjnej gotowości.

    Pierwsze trzy miesiące to diagnoza: mapowanie istniejących procesów na wymagania normy, identyfikacja luk, określenie zakresu i priorytetów, decyzja o strukturze organizacyjnej cyberbezpieczeństwa.

    Miesiące czwarty do dziewiątego to budowa fundamentu: opracowanie polityki i procesów organizacyjnych, stworzenie szablonów produktów pracy (TARA, plan cyberbezpieczeństwa, CIA, uzasadnienie cyberbezpieczeństwa), zdefiniowanie procesu ciągłego monitorowania, szkolenie kluczowych osób.

    Miesiące dziesiąty do piętnastego to wdrożenie projektowe: zastosowanie narzędziownika w pilotażowym projekcie, przeprowadzenie pierwszej pełnej TARA, opracowanie koncepcji cyberbezpieczeństwa, uzgodnienie CIA z klientem i dostawcami.

    Miesiące szesnasty do osiemnastego to doskonalenie: przegląd efektywności procesów, audyt wewnętrzny zgodnie z ISO/PAS 5112, przygotowanie do zewnętrznej oceny (ENX VCS lub audyt klienta).

    Ciągłe doskonalenie: norma tego wymaga, audytor to sprawdzi

    Wymaganie RQ-05-08 mówi wprost: organizacja ustanawia i utrzymuje proces ciągłego doskonalenia. To nie jest opcja, to wymóg normatywny.

    W praktyce oznacza to: regularne aktualizowanie TARA w odpowiedzi na zmiany (nowe podatności, zmiana architektury, informacje z monitorowania), przeglądy skuteczności procesów cyberbezpieczeństwa, wnioski z audytów wewnętrznych i zewnętrznych, śledzenie postępów w zarządzaniu podatnościami i reagowaniu na incydenty, dostosowywanie narzędziownika do nowych wymagań (ASPICE for Cybersecurity 2.0, ENX VCS, nowe wymagania OEM-ów).

    Organizacja, która wdrożyła ISO/SAE 21434 w 2024 roku i od tego czasu nic nie zmieniła, nie spełnia wymagań normy, niezależnie od jakości pierwotnego wdrożenia.

    Najczęściej zadawane pytania

    Formalnie norma jest dobrowolna. W praktyce stała się obowiązkowa przez dwa mechanizmy: regulamin UNECE R155 wymaga CSMS opartego na wymaganiach zbieżnych z normą, a producenci pojazdów przenoszą te wymagania na dostawców poprzez umowy projektowe, kwestionariusze i audyty. Dla dostawcy działającego w europejskim łańcuchu motoryzacyjnym spełnienie wymagań normy jest warunkiem kontynuowania współpracy.

    Ile trwa wdrożenie ISO/SAE 21434?

    Od dwunastu do osiemnastu miesięcy dla typowej organizacji Tier 1 z istniejącym systemem zarządzania (TISAX, ISO 27001). Organizacje bez takiego fundamentu powinny liczyć od osiemnastu do dwudziestu czterech miesięcy. Czas zależy od zakresu produktów, dojrzałości procesowej i dostępności kompetencji.

    Jaka jest różnica między ISO/SAE 21434 a UNECE R155?

    ISO/SAE 21434 to norma inżynieryjna - definiuje *jak* budować cyberbezpieczeństwo produktu i organizacji. UNECE R155 to regulamin homologacyjny - definiuje *czego wymaga prawo* do rejestracji pojazdu. Norma jest uznawana za metodę spełnienia wymagań regulaminu. Producent pojazdu potrzebuje certyfikatu zgodności CSMS i homologacji typu, a dostawca musi wykazać, że jego procesy i produkty pracy wspierają te wymagania.

    Czy TISAX wystarczy, żeby spełnić ISO/SAE 21434?

    Nie. TISAX dotyczy bezpieczeństwa informacji organizacji, a ISO/SAE 21434 dotyczy cyberbezpieczeństwa produktu. To różne zakresy. Jednak istniejący TISAX pokrywa znaczną część wymagań organizacyjnych normy (systemy zarządzania, kompetencje, audyty). Świadome mapowanie pozwala zaoszczędzić czas i uniknąć duplikacji.

    Co to jest TARA i dlaczego jest tak ważna?

    TARA (analiza zagrożeń i ocena ryzyka) to proces identyfikacji zasobów, scenariuszy zagrożeń, ścieżek ataku i oceny ryzyka cyberbezpieczeństwa produktu. To fundament całej inżynierii cyberbezpieczeństwa: wyniki TARA definiują cele cyberbezpieczeństwa, które z kolei kształtują koncepcję, specyfikację i weryfikację. Bez TARA nie ma uzasadnienia cyberbezpieczeństwa, a bez uzasadnienia nie ma podstawy do wykazania zgodności.

    Kto w organizacji odpowiada za cyberbezpieczeństwo?

    Norma wymaga przypisania odpowiedzialności na dwóch poziomach: organizacyjnym (kto odpowiada za politykę, procesy, kulturę, audyty, wymaganie RQ-05-03) i projektowym (kto odpowiada za plan, TARA, koncepcję, weryfikację w konkretnym projekcie, RQ-06-01). W mniejszych organizacjach te role mogą się łączyć, ale muszą być jasno zdefiniowane i zakomunikowane.

    Czym jest ENX VCS i czy zastąpi TISAX?

    ENX VCS (Vehicle Cyber Security) to nowy standard certyfikacji uruchomiony przez stowarzyszenie ENX w czerwcu 2024 roku. Certyfikuje system zarządzania cyberbezpieczeństwem pojazdu (V-CSMS) zgodnie z ISO/PAS 5112 i ISO/SAE 21434. Nie zastępuje TISAX. TISAX dotyczy bezpieczeństwa informacji, VCS dotyczy cyberbezpieczeństwa produktu. Dostawca może potrzebować obu certyfikatów.

    Od czego zacząć?

    Od diagnozy: zmapuj istniejące procesy na wymagania normy, zidentyfikuj luki i określ priorytety. Nie zaczynaj od tworzenia dokumentów. Zaczekaj, aż zrozumiesz, czego naprawdę brakuje. Najczęściej pierwszym krokiem operacyjnym jest przygotowanie pilotażowej TARA dla jednego produktu. To ćwiczenie ujawnia większość luk procesowych i kompetencyjnych.

    Sisoft wspiera dostawców motoryzacyjnych we wdrażaniu ISO/SAE 21434 - od diagnozy stanu obecnego, przez budowę narzędziownika, po przygotowanie do audytów OEM i certyfikacji ENX VCS. Cyberbezpieczeństwo ma metodę.

    Umów konsultację

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    ISO 27001 w 4 miesiące - pakiet wdrożeniowy SZBI z 44 szablonami dokumentów

    Norma mówi co wdrożyć - ale nie mówi jak. Tę lukę wypełnia pakiet wdrożeniowy, który przeprowadza organizację przez osiem faz budowy systemu zarządzania bezpieczeństwem informacji (SZBI / ISMS): od inicjacji projektu po uzyskanie certyfikatu. W środku: poradnik krok po kroku, 44 gotowe szablony dokumentów, arkusz wdrożenia, listy kontrolne i pełny przewodnik po 93 zabezpieczeniach Załącznika A.
    Grzegorz Surdyka
    2/17/2026
    15
    min czytania
    Bezpieczeństwo organizacji

    Plan reagowania na incydenty — jak go zbudować i przetestować, zanim będzie potrzebny

    Większość organizacji ma plan reagowania na incydenty. Niewiele z nich potrafi powiedzieć, kiedy był ostatnio testowany, kto zna w nim swoją rolę i czy numery telefonów są aktualne. To różnica między dokumentem a gotowością.
    Grzegorz Surdyka
    2/9/2026
    14
    min czytania
    Bezpieczeństwo organizacji

    NIS2 w Polsce 2026 — przewodnik dla firm

    Nowelizacja UKSC wdraża NIS2 w Polsce. Kogo dotyczy, jakie obowiązki nakłada i ile masz czasu? Praktyczny przewodnik bez straszenia karami.
    Grzegorz Surdyka
    2/2/2026
    12
    min czytania
    Zobacz więcej