Łańcuch dostaw9 min czytaniaOpublikowano: 15 marca 2026Zaktualizowano NaN miesiące temu

Bezpieczeństwo łańcucha dostaw KSC / NIS 2

Wymogi ustawowe

Art. 8 ust. 2 znowelizowanej ustawy o KSC wskazuje, że system zarządzania bezpieczeństwem informacji musi uwzględniać bezpieczeństwo łańcucha dostaw produktów ICT, usług ICT i procesów ICT. Obowiązek ten odzwierciedla art. 21 dyrektywy NIS 2 i wynika z rosnącej liczby incydentów, których źródłem są podatności w oprogramowaniu lub sprzęcie dostarczanym przez podmioty trzecie. Szczególną uwagę należy zwrócić na niezależność systemów informacyjnych od pojedynczych dostawców oraz na klauzule KSC w kontraktach B2B z dostawcami.

Atak na łańcuch dostaw (supply chain attack) to jeden z najpoważniejszych wektorów zagrożeń. Incydent u jednego dostawcy może dotknąć setki organizacji jednocześnie — jak pokazał przypadek SolarWinds czy MOVEit.

Polityka bezpieczeństwa łańcucha dostaw

Każdy podmiot kluczowy i ważny powinien opracować i wdrożyć politykę bezpieczeństwa łańcucha dostaw. Dokument ten powinien określać zasady identyfikacji, oceny i zarządzania ryzykami związanymi z dostawcami produktów i usług ICT krytycznych dla działalności podmiotu, w tym dostawcami usług chmurowych.

Inwentaryzacja dostawców ICT z podziałem na krytycznych i niekrytycznych
Kryteria wyboru i oceny dostawców (certyfikacje, reputacja, lokalizacja)
Procedury due diligence przed zawarciem umowy
Okresowa ocena ryzyka dostawców (co najmniej raz w roku)
Plan działania w przypadku utraty dostawcy krytycznego
Uwzględnienie decyzji o dostawcy wysokiego ryzyka (art. 67b ustawy)

Wymagania umowne wobec dostawców

Umowy z dostawcami ICT powinny zawierać klauzule zapewniające odpowiedni poziom bezpieczeństwa. Ustawa i wytyczne ENISA wskazują na konieczność uwzględnienia w umowach konkretnych wymagań dotyczących ochrony informacji, reagowania na incydenty oraz prawa do audytu.

Klauzula umowna	Opis
Poufność i ochrona danych	Zobowiązanie dostawcy do ochrony informacji podmiotu zgodnie z określonymi standardami
Zgłaszanie incydentów	Obowiązek niezwłocznego informowania o incydentach bezpieczeństwa dotyczących dostarczanych produktów/usług
Prawo do audytu	Uprawnienie podmiotu do przeprowadzenia audytu bezpieczeństwa u dostawcy
Weryfikacja personelu	Wymaganie sprawdzenia niekaralności pracowników dostawcy mających dostęp do systemów podmiotu
Zarządzanie podatnościami	Zobowiązanie dostawcy do terminowego dostarczania poprawek bezpieczeństwa
Podwykonawcy	Obowiązek uzyskania zgody na powierzenie prac podwykonawcom oraz stosowanie analogicznych wymagań

Monitoring i przegląd dostawców

Wdrożenie polityki bezpieczeństwa łańcucha dostaw to dopiero początek. Podmiot musi prowadzić ciągły monitoring dostawców i okresowo weryfikować, czy spełniają oni wymagania bezpieczeństwa. Zaleca się przeprowadzanie przeglądu co najmniej raz w roku oraz po każdym istotnym incydencie bezpieczeństwa.

Przeprowadź inwentaryzację wszystkich dostawców ICT i określ poziom krytyczności.
Opracuj kryteria oceny bezpieczeństwa dostawców (ankieta, certyfikaty, wyniki audytów).
Wprowadź wymagania bezpieczeństwa do wzorców umów z dostawcami.
Monitoruj publicznie dostępne informacje o podatnościach w produktach dostawców.
Reaguj na decyzje o uznaniu dostawcy za dostawcę wysokiego ryzyka.

Spis treści

Wymogi ustawowe Polityka bezpieczeństwa łańcucha dostaw Wymagania umowne wobec dostawców Monitoring i przegląd dostawców

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

Łańcuch dostawKSC w kontraktach B2B — klauzule i due diligence dostawcy KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc

FAQ4 pytania

Najczęstsze pytania

Co ustawa o KSC mówi o łańcuchu dostaw?

Art. 8 ust. 1 pkt 2 lit. e i ust. 2 KSC nakładają obowiązek oceny ryzyka pochodzącego od dostawców produktów ICT, usług ICT i procesów ICT oraz uwzględnienia go w SZBI. Ocena obejmuje praktyki bezpieczeństwa dostawców, jakość ich produktów i zarządzanie podatnościami. Dotyczy bezpośrednich dostawców oraz — w uzasadnionych przypadkach — podwykonawców.

Jak ocenić dostawcę ICT pod kątem KSC?

Standardowe elementy oceny: (1) kwestionariusz bezpieczeństwa (np. SIG-lite, CAIQ), (2) audyt dostawcy — własny lub certyfikat ISO 27001 / SOC 2 / C5, (3) klauzule umowne (DPA, SLA, prawo audytu, obowiązek raportowania incydentów), (4) ocena geografii (lokalizacja przetwarzania, jurysdykcja), (5) analiza finansowa i reputacyjna. Wyniki aktualizuje się okresowo.

Czy dostawca ICT musi być zarejestrowany w wykazie KSC?

Nie — wpis do wykazu S46 dotyczy podmiotów objętych obowiązkami KSC (PK/PW). Dostawca usług ICT nieświadczący usługi kwalifikowanej nie musi być wpisany, ale musi spełniać wymogi umowne i pozostawać w gotowości do audytu. Dostawcy usług zarządzanych cyberbezpieczeństwa (MSSP) są podmiotami kluczowymi z mocy ustawy (art. 5 ust. 1 pkt 3).

Co zrobić z dostawcą nieakceptowalnym pod kątem ryzyka?

Trzy ścieżki: (1) wdrożyć kontrole kompensacyjne (dodatkowa segmentacja, szyfrowanie, monitoring, ograniczenie dostępu), (2) renegocjować umowę ze wzmocnionymi klauzulami i prawem wycofania, (3) rozwiązać relację i wymienić dostawcę. Decyzja powinna być udokumentowana w SZBI wraz z analizą ryzyka i planem migracji.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.