Łańcuch dostaw9 min czytania

Zarządzanie bezpieczeństwem łańcucha dostaw według KSC

Wymogi ustawowe

Art. 8 ust. 2 znowelizowanej ustawy o KSC wskazuje, że system zarządzania bezpieczeństwem informacji musi uwzględniać bezpieczeństwo łańcucha dostaw produktów ICT, usług ICT i procesów ICT. Obowiązek ten odzwierciedla art. 21 dyrektywy NIS 2 i wynika z rosnącej liczby incydentów, których źródłem są podatności w oprogramowaniu lub sprzęcie dostarczanym przez podmioty trzecie.

Atak na łańcuch dostaw (supply chain attack) to jeden z najpoważniejszych wektorów zagrożeń. Incydent u jednego dostawcy może dotknąć setki organizacji jednocześnie — jak pokazał przypadek SolarWinds czy MOVEit.

Polityka bezpieczeństwa łańcucha dostaw

Każdy podmiot kluczowy i ważny powinien opracować i wdrożyć politykę bezpieczeństwa łańcucha dostaw. Dokument ten powinien określać zasady identyfikacji, oceny i zarządzania ryzykami związanymi z dostawcami produktów i usług ICT krytycznych dla działalności podmiotu.

  • Inwentaryzacja dostawców ICT z podziałem na krytycznych i niekrytycznych
  • Kryteria wyboru i oceny dostawców (certyfikacje, reputacja, lokalizacja)
  • Procedury due diligence przed zawarciem umowy
  • Okresowa ocena ryzyka dostawców (co najmniej raz w roku)
  • Plan działania w przypadku utraty dostawcy krytycznego
  • Uwzględnienie decyzji o dostawcy wysokiego ryzyka (art. 67b ustawy)

Wymagania umowne wobec dostawców

Umowy z dostawcami ICT powinny zawierać klauzule zapewniające odpowiedni poziom bezpieczeństwa. Ustawa i wytyczne ENISA wskazują na konieczność uwzględnienia w umowach konkretnych wymagań dotyczących ochrony informacji, reagowania na incydenty oraz prawa do audytu.

Klauzula umownaOpis
Poufność i ochrona danychZobowiązanie dostawcy do ochrony informacji podmiotu zgodnie z określonymi standardami
Zgłaszanie incydentówObowiązek niezwłocznego informowania o incydentach bezpieczeństwa dotyczących dostarczanych produktów/usług
Prawo do audytuUprawnienie podmiotu do przeprowadzenia audytu bezpieczeństwa u dostawcy
Weryfikacja personeluWymaganie sprawdzenia niekaralności pracowników dostawcy mających dostęp do systemów podmiotu
Zarządzanie podatnościamiZobowiązanie dostawcy do terminowego dostarczania poprawek bezpieczeństwa
PodwykonawcyObowiązek uzyskania zgody na powierzenie prac podwykonawcom oraz stosowanie analogicznych wymagań

Monitoring i przegląd dostawców

Wdrożenie polityki bezpieczeństwa łańcucha dostaw to dopiero początek. Podmiot musi prowadzić ciągły monitoring dostawców i okresowo weryfikować, czy spełniają oni wymagania bezpieczeństwa. Zaleca się przeprowadzanie przeglądu co najmniej raz w roku oraz po każdym istotnym incydencie bezpieczeństwa.

  1. Przeprowadź inwentaryzację wszystkich dostawców ICT i określ poziom krytyczności.
  2. Opracuj kryteria oceny bezpieczeństwa dostawców (ankieta, certyfikaty, wyniki audytów).
  3. Wprowadź wymagania bezpieczeństwa do wzorców umów z dostawcami.
  4. Monitoruj publicznie dostępne informacje o podatnościach w produktach dostawców.
  5. Reaguj na decyzje o uznaniu dostawcy za dostawcę wysokiego ryzyka.
Spis treści
Wymogi ustawowe
Polityka bezpieczeństwa łańcucha dostaw
Wymagania umowne wobec dostawców
Monitoring i przegląd dostawców
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46DostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.