Łańcuch dostaw NIS 2: podstawy
Artykuł 21 ust. 2 lit. d) NIS 2 wymaga od firm regulowanych zabezpieczenia całego łańcucha dostaw. Ta strona obejmuje podstawy: co mówi przepis, kogo dosięga, o co poproszą Twoi klienci i jak dostawcy dowodzą cyberbezpieczeństwa, nie stając się sami podmiotem regulowanym.
Dlaczego mali dostawcy są objęci NIS2
NIS2 (art. 21 ust. 2 lit. d) NIS-2, transponowany w §30 ust. 2 pkt 4 BSIG) wyraźnie wymaga od firm regulowanych zabezpieczenia całego łańcucha dostaw. Oznacza to, że każdy podmiot kluczowy i ważny (szacunki BSI plasują niemiecką grupę w przedziale około 29 500) musi umownie wymagać standardów cyberbezpieczeństwa od swoich dostawców.
Jeśli Twoja firma ma mniej niż 50 pracowników lub jest poniżej progów przychodowych, nie jesteś bezpośrednio regulowany przez NIS2. Ale jeśli świadczysz usługi IT, oprogramowanie, komponenty, logistykę lub jakąkolwiek inną usługę dla firmy, która jest regulowana, napotkasz wymagania NIS2 poprzez swoje umowy.
To nie jest teoria. Duże firmy już aktualizują swoje warunki zakupowe, dodają klauzule cyberbezpieczeństwa i żądają od dostawców dowodów zgodności. Firmy, które nie potrafią wykazać odpowiednich środków bezpieczeństwa, ryzykują utratę kontraktów na rzecz konkurentów, którzy potrafią.
§30 ust. 2 pkt 4 BSIG: bezpieczeństwo łańcucha dostaw
Podmioty regulowane muszą zapewnić "bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji z bezpośrednimi dostawcami" (§30 ust. 2 pkt 4 BSIG, transponujący art. 21 ust. 2 lit. d) NIS-2). Obowiązek ten spływa umownie na każdego dostawcę w łańcuchu.
Wymagania umowne
Firmy regulowane przez NIS2 muszą zawrzeć wymagania cyberbezpieczeństwa w umowach z dostawcami. Spodziewaj się nowych klauzul obejmujących zarządzanie ryzykiem, zgłaszanie incydentów i kontrole dostępu. Istniejące umowy będą renegocjowane.
Audyty i kwestionariusze dostawców
Twoi klienci będą wysyłać kwestionariusze bezpieczeństwa i mogą przeprowadzać audyty. Firmy korzystające z nisd2.eu mogą wygenerować dowód zgodności natychmiast: te bez systemu walczą o niego tygodniami.
Obowiązki zgłaszania incydentów
Jeśli incydent bezpieczeństwa w Twojej firmie dotknie klienta regulowanego przez NIS2, musi on wysłać wczesne ostrzeżenie do BSI w ciągu 24 godzin (z pełnym zgłoszeniem w ciągu 72 godzin i sprawozdaniem końcowym w ciągu jednego miesiąca, §32 BSIG). Potrzebują, abyś miał wdrożone działające procesy wykrywania i zgłaszania incydentów.
Przewaga konkurencyjna
Gdy firma regulowana wybiera między dwoma dostawcami i jeden potrafi wykazać bezpieczeństwo zgodne z NIS2, a drugi nie: wybór jest oczywisty. Zgodność staje się wyróżnikiem sprzedażowym.
Wymagania ubezpieczenia cybernetycznego
Ubezpieczyciele cybernetyczni coraz częściej wymagają dowodu bezpieczeństwa łańcucha dostaw. Polisy ubezpieczeniowe Twoich klientów mogą nakazywać, aby ich dostawcy spełniali minimalne standardy cyberbezpieczeństwa.
Ocena ryzyka
Zidentyfikuj i udokumentuj ryzyka dla systemów, których używasz do pracy dla klientów. Nie musi być skomplikowana: wystarczy ustrukturyzowana lista z planami postępowania.
Kontrola dostępu
Kto może uzyskać dostęp do danych i systemów klienta? Dostęp oparty na rolach, MFA dla dostępu zdalnego oraz udokumentowane zarządzanie użytkownikami.
Obsługa incydentów
Udokumentowany proces wykrywania, reagowania i zgłaszania incydentów bezpieczeństwa. Twój klient musi dowiedzieć się w ciągu godzin, a nie tygodni.
Ciągłość działania
Co się dzieje, gdy Twoje systemy padną? Strategia kopii zapasowych, procedury przywracania i przetestowane plany dalszego świadczenia usług klientom.
Polityki i dowody
Pisemne polityki bezpieczeństwa, zapisy szkoleń oraz ścieżka audytu dowodząca, że stosujesz własne zasady. To właśnie sprawdzają audytorzy.
Sprawdź swoje narażenie
Skorzystaj z naszej bezpłatnej kontroli stosowalności, aby potwierdzić swój status NIS2. Nawet jeśli nie jesteś bezpośrednio w zakresie, zidentyfikuj, którzy z Twoich klientów są regulowani przez NIS2: te umowy przyjdą z nowymi wymaganiami.
Przeprowadź ocenę luk
Porównaj swoje obecne praktyki bezpieczeństwa z 10 środkami z §30 BSIG. Większość małych firm już część tego robi nieformalnie: luka dotyczy zwykle dokumentacji, a nie praktyki.
Wdróż podstawy
Zacznij od elementów o największym wpływie: kontrola dostępu, strategia kopii zapasowych, proces reagowania na incydenty. Platforma nisd2.eu prowadzi Cię przez każde wymaganie z gotowymi wzorami.
Zbuduj pakiet dowodowy
Gdy Twój klient wyśle kwestionariusz bezpieczeństwa, potrzebujesz gotowych odpowiedzi. Polityki, zapisy szkoleń, oceny ryzyka i środki techniczne: wszystko udokumentowane i możliwe do wyeksportowania.
Przeglądaj corocznie
Zgodność z NIS2 nie jest projektem jednorazowym. Zaplanuj coroczny przegląd swoich ryzyk, aktualizuj polityki i odświeżaj szkolenia pracowników. Platforma śledzi terminy automatycznie.
Najczęściej zadawane pytania
Czy jako mały dostawca jestem prawnie zobowiązany do zgodności z NIS2?▾
Nie bezpośrednio: NIS2 ma zastosowanie do firm powyżej unijnego progu średniego przedsiębiorstwa (50+ pracowników LUB (ponad 10 mln EUR obrotu ORAZ ponad 10 mln EUR sumy bilansowej), zgodnie z zaleceniem Komisji 2003/361/WE) w sektorze regulowanym. Twoi klienci regulowani przez NIS2 są jednak prawnie zobowiązani do zabezpieczenia swojego łańcucha dostaw (§30 ust. 2 pkt 4 BSIG, transponujący art. 21 ust. 2 lit. d) NIS-2). Tworzy to obowiązek umowny, który spływa na Ciebie. BSI nie ukarze Cię grzywną, ale możesz stracić kontrakty.
Co się stanie, jeśli nie zapewnię zgodności?▾
Twoi klienci regulowani przez NIS2 są narażeni na grzywny do 10 mln EUR / 2% globalnego rocznego obrotu (podmioty kluczowe) lub 7 mln EUR / 1,4% (podmioty ważne), jeśli nie spełnią swoich obowiązków bezpieczeństwa łańcucha dostaw (§65 BSIG). Albo zażądają od Ciebie zgodności, albo zastąpią Cię dostawcą, który ją zapewnia. Praktyczną konsekwencją jest utracony biznes, a nie grzywna BSI.
Ile kosztuje zgodność dostawcy?▾
Platforma nisd2.eu jest bezpłatna. Dla małej firmy (10-50 pracowników) głównym kosztem jest czas: zazwyczaj 2-4 tygodnie pracy w niepełnym wymiarze, aby ustanowić początkowe polityki, oceny ryzyka i procesy. Bieżące utrzymanie to kilka godzin na kwartał.
Czy mogę wykorzystać zgodność z NIS2 jako argument sprzedażowy?▾
Jak najbardziej. Gdy potrafisz wykazać praktyki bezpieczeństwa zgodne z NIS2 z udokumentowanym dowodem, stajesz się preferowanym dostawcą. Niektóre firmy już reklamują zgodność łańcucha dostaw z NIS2 jako wyróżnik konkurencyjny w zapytaniach ofertowych i ofertach.
Co, jeśli mój klient jeszcze nie zapytał?▾
Zapyta. Termin rejestracji w BSI upłynął w marcu 2026 r. i wiele tysięcy firm wciąż nadrabia zaległości we wdrożeniu. W miarę jak wdrażają NIS2, bezpieczeństwo łańcucha dostaw jest jednym z 10 obowiązkowych środków (§30 ust. 2 pkt 4 BSIG). Wyprzedzenie zapytania ustawia Cię jako proaktywnego, zaufanego partnera.
Rozpocznij zgodność łańcucha dostaw: bezpłatnie
Platforma nisd2.eu prowadzi Cię przez każde wymaganie, generuje Twój pakiet dowodowy i utrzymuje Cię w gotowości do audytu. Bez kosztów, bez karty kredytowej.