KSC/NIS2 a zakupy IT: Jak procurement musi weryfikować dostawców?

Jak KSC NIS2 rewolucjonizuje procesy zakupowe? Przewodnik dla Head of Procurement

Napisz do nas

Dla szefa działu zakupów (Head of Procurement) świat był do tej pory uporządkowany. Kluczowe wskaźniki dotyczyły optymalizacji kosztów, transparentności procesów i zgodności kontraktowej. Proces wyboru dostawcy IT opierał się na jasnych kryteriach: funkcjonalności, warunkach gwarancji, wsparciu (SLA) i, przede wszystkim, cenie. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, fundamentalnie wywraca ten porządek.

Nowe przepisy wprowadzają twardy wymóg zarządzania ryzykiem łańcucha dostaw (SCRM). W praktyce oznacza to, że Twoja organizacja staje się prawnie odpowiedzialna za poziom bezpieczeństwa swoich dostawców ICT. Dział zakupów, jako „brama” do organizacji, przez którą wchodzą wszyscy zewnętrzni partnerzy, nagle staje się jednym z kluczowych punktów kontroli w strategii cyberbezpieczeństwa firmy. Twoja rola ewoluuje – z menedżera kosztów stajesz się menedżerem ryzyka.

Dlaczego KSC/NIS2 stawia dział zakupów na pierwszej linii frontu cyberbezpieczeństwa?

Odpowiedź jest prosta: atak na łańcuch dostaw stał się jednym z najbardziej niszczycielskich i skutecznych wektorów ataku. Cyberprzestępcy zrozumieli, że łatwiej jest zaatakować małego, słabo zabezpieczonego dostawcę oprogramowania, niż duży, dobrze chroniony podmiot. Kompromitując dostawcę, zyskują zaufany dostęp do systemów wszystkich jego klientów. KSC/NIS2 ma ukrócić ten proceder.

Ustawa wprost zobowiązuje podmioty kluczowe i ważne do oceny bezpieczeństwa swoich dostawców technologii. Ponieważ to dział zakupów formalnie tych dostawców wybiera, negocjuje z nimi umowy i wprowadza ich do ekosystemu firmy, to właśnie Twoje decyzje mają bezpośredni wpływ na poziom ryzyka.

Wybranie dostawcy tylko na podstawie najniższej ceny, bez weryfikacji jego standardów bezpieczeństwa, jest teraz nie tylko złą praktyką biznesową. Jest to jawne niedopełnienie obowiązku regulacyjnego, które może narazić zarząd Twojej firmy na osobiste sankcje finansowe. Twoja rola przestaje być czysto operacyjna; staje się elementem strategicznego zarządzania ryzykiem.

Czym dokładnie jest zarządzanie ryzykiem łańcucha dostaw (SCRM) z perspektywy procurementu?

Dla CISO, SCRM to skomplikowany proces techniczny. Dla Ciebie, jako szefa procurementu, SCRM to nowa forma kwalifikacji i weryfikacji dostawcy (supplier due diligence). To już nie jest tylko sprawdzenie, czy dostawca ma stabilną sytuację finansową i dobre referencje. To sformalizowany proces, który musisz wdrożyć w swoje procedury zakupowe.

Proces ten składa się z trzech głównych etapów. Pierwszy to Identyfikacja i Kwalifikacja Ryzyka – musisz wiedzieć, których dostawców w ogóle audytować. Dostawca tonerów do drukarek ma inne ryzyko niż dostawca systemu chmurowego, który przechowuje Wasze dane finansowe.

Drugi etap to Ocena (Assessment) – czyli jak w praktyce sprawdzisz, czy dostawca jest bezpieczny. Wymaga to nowych narzędzi: od kwestionariuszy samooceny po formalne audyty. Trzeci etap to Zarządzanie (Mitigation & Monitoring) – czyli co zrobisz z wynikiem oceny. Jakie zapisy umowne wprowadzisz, aby zmusić dostawcę do utrzymania standardów, i jak będziesz go monitorować przez cały cykl życia umowy?

Jakie ryzyko biznesowe i prawne ponosi firma, ignorując bezpieczeństwo dostawców ICT?

Ryzyko jest dwojakie i dla zarządu oba są równie bolesne: operacyjne i prawne. Ryzyko operacyjne to scenariusz, w którym wybrany przez Ciebie (bo był najtańszy) dostawca oprogramowania pada ofiarą ataku ransomware. W rezultacie jego usługa przestaje działać, blokując krytyczny proces biznesowy w Twojej firmie. Albo, co gorsza, atakujący wykorzystuje dostęp serwisowy dostawcy, aby zaszyfrować Twoje własne systemy. Koszty przestoju, utraty reputacji i odtwarzania danych idą w miliony.

Ryzyko prawne jest nowe i bezpośrednio związane z KSC/NIS2. W razie takiego incydentu, regulator nie będzie ścigał tylko atakującego. Przyjdzie do Twojej firmy i zapyta: „Jakie kroki podjęliście, aby zweryfikować bezpieczeństwo tego dostawcy przed podpisaniem umowy?”. Jeśli jedyną odpowiedzią będzie „dał najlepszą cenę”, regulator uzna to za rażące zaniedbanie.

Efektem będą nie tylko kary finansowe dla firmy, ale potencjalnie także osobiste sankcje dla kierownictwa za brak nadzoru nad łańcuchem dostaw. Twój proces zakupowy staje się dowodem w sprawie o zachowanie należytej staranności.

Jak powinna wyglądać współpraca działu zakupów z CISO i działem prawnym w nowym modelu?

Dział zakupów nie może i nie powinien stać się ekspertem od cyberbezpieczeństwa. KSC/NIS2 wymusza stworzenie trójstronnego sojuszu, który musi działać jak jeden organizm przy każdym procesie zakupowym ICT.

  1. CISO (Dyrektor Bezpieczeństwa): Definiuje CO. CISO jest odpowiedzialny za stworzenie polityki SCRM i minimalnych wymogów bezpieczeństwa (np. „każdy dostawca chmurowy musi mieć ISO 27001 i oferować MFA”). Dostarcza Ci kwestionariusze oceny i wspiera Cię w technicznej interpretacji odpowiedzi.
  2. Head of Procurement (Ty): Zarządza JAK. Jesteś właścicielem procesu zakupowego. Twoim zadaniem jest wdrożenie wymogów CISO w Twoje procedury (RFP, ocena), zarządzanie relacją komercyjną z dostawcą i dopilnowanie, aby proces był transparentny i efektywny.
  3. Dział Prawny: Gwarantuje MOC PRAWNĄ. Prawnicy są odpowiedzialni za przełożenie polityki bezpieczeństwa CISO na twarde, egzekwowalne klauzule w umowie.

Bez tej ścisłej współpracy proces się nie uda. CISO bez Ciebie nie zablokuje zakupu ryzykownego dostawcy, a Ty bez CISO nie będziesz wiedział, o co pytać.

Jak zmienić proces RFP (zapytania ofertowego), aby uwzględniał wymogi KSC/NIS2?

Twoje dotychczasowe zapytania ofertowe (RFP) prawdopodobnie miały sekcje: Wymagania Funkcjonalne, Wymagania Techniczne (Wydajność), Warunki Gwarancji, Kryteria Cenowe. Teraz musisz dodać nową, obowiązkową sekcję: Wymagania Bezpieczeństwa i Zgodności Regulacyjnej.

Ta sekcja nie może być opcjonalna. Powinna być traktowana jako kryterium formalne (Go/No-Go). Jeśli dostawca nie jest w stanie spełnić tych wymogów, jego oferta (nawet jeśli najtańsza) powinna zostać odrzucona z przyczyn formalnych, zanim w ogóle dojdzie do oceny merytorycznej.

Co musi zawierać ta sekcja? Po pierwsze, kwestionariusz oceny bezpieczeństwa (dostarczony przez CISO), który dostawca musi wypełnić. Po drugie, listę wymogów minimalnych (np. „Oferent musi posiadać certyfikat ISO 27001”, „Rozwiązanie musi wspierać MFA”, „Oferent musi akceptować nasze klauzule bezpieczeństwa w umowie”). W ten sposób filtrujesz ryzykownych dostawców na najwcześniejszym możliwym etapie, oszczędzając czas na analizie ofert, które i tak nie przeszłyby audytu.

Jakie klauzule bezpieczeństwa muszą stać się standardem w każdej umowie z dostawcą ICT?

Umowa to Twój podstawowy instrument egzekwowania wymogów KSC/NIS2. Dział Prawny musi opracować standardowy Załącznik Bezpieczeństwa (Security Annex), który będzie dołączany do każdej umowy z dostawcą ICT. Musi on zawierać co najmniej:

  • Prawo do Audytu: Klauzula dająca Wam prawo do weryfikacji zgodności dostawcy (poprzez kwestionariusze, inspekcje lub nawet testy techniczne).
  • Obowiązek Raportowania Incydentów: Dostawca musi być umownie zobowiązany do natychmiastowego (np. w ciągu 24h) poinformowania Was o każdym incydencie bezpieczeństwa, który dotyczy Waszych danych lub usług.
  • Wymóg Stosowania Konkretnych Kontroli: Zobowiązanie do przestrzegania Waszych polityk, stosowania MFA przez personel dostawcy, szyfrowania danych, regularnego zarządzania podatnościami itp.
  • Bezpieczeństwo Poddostawców: Klauzula „przepływu w dół” (flow-down), która zobowiązuje Waszego dostawcę do stosowania tych samych standardów bezpieczeństwa wobec swoich poddostawców.
  • Odpowiedzialność i Kary Umowne: Jasne określenie odpowiedzialności finansowej dostawcy za naruszenie wymogów bezpieczeństwa, które doprowadzi do szkody po Waszej stronie.

Posiadanie takich zapisów w umowach to dla regulatora twardy dowód, że aktywnie zarządzacie ryzykiem łańcucha dostaw.

Jak ocenić dostawcę pod kątem bezpieczeństwa, a nie tylko ceny i funkcjonalności?

To zmiana Twojej „karty wyników” (scorecard) dostawcy. Dotychczasowa ocena mogła wyglądać np. tak: 70% Cena, 30% Funkcjonalność. Ten model jest już nieaktualny. Nowa matryca oceny musi zawierać bezpieczeństwo jako trzeci, równoważny filar.

Przykładowa nowa matryca mogłaby wyglądać tak: 40% Cena, 30% Funkcjonalność, 30% Ocena Bezpieczeństwa. Ocena bezpieczeństwa musi być obiektywna – oparta na wynikach kwestionariusza, posiadanych certyfikatach (ISO 27001, TISAX, DORA itp.) oraz wynikach audytu.

Co najważniejsze, musicie ustalić minimalny próg akceptacji. Jeśli dostawca w ocenie bezpieczeństwa uzyska wynik poniżej np. 70%, powinien zostać zdyskwalifikowany, niezależnie od tego, jak atrakcyjną zaoferował cenę. To daje Ci, jako szefowi procurementu, twarde podstawy do odrzucenia oferty, która jest tania, ale ryzykowna.

Czy dział zakupów musi teraz aktywnie audytować dostawców?

Tak, choć forma audytu zależy od poziomu ryzyka. KSC/NIS2 wymaga „oceny” bezpieczeństwa, a Ty musisz być w stanie udowodnić, że ta ocena była rzetelna. Nie możesz polegać wyłącznie na deklaracjach marketingowych dostawcy.

Twój proces zakupowy musi przewidywać trzy poziomy weryfikacji:

  1. Niskie Ryzyko (np. dostawca oprogramowania COTS): Wypełniony kwestionariusz samooceny (SAQ) oraz dostarczenie dowodów (np. certyfikat ISO).
  2. Średnie Ryzyko (np. software house tworzący aplikację): Wypełniony SAQ oraz audyt dokumentacji (weryfikacja ich polityk, procedur BCP, ostatnich raportów z pentestów).
  3. Wysokie Ryzyko (np. dostawca usług zarządzanych IT, kluczowy dostawca chmurowy): Pełny audyt, potencjalnie obejmujący audyt techniczny lub test penetracyjny przeprowadzony przez Wasz zespół lub (co bardziej prawdopodobne) przez wynajętego, zewnętrznego partnera.

Dla działu zakupów oznacza to konieczność zarządzania tym procesem – wysyłania kwestionariuszy, śledzenia odpowiedzi, zbierania dowodów i archiwizowania ich na potrzeby ewentualnej kontroli.

Co zrobić z istniejącymi umowami, które nie zawierają zapisów o bezpieczeństwie?

To jedno z największych wyzwań. Twoja firma jest prawdopodobnie związana wieloletnimi umowami z kluczowymi dostawcami ICT, a umowy te zostały podpisane w „starym świecie” – bez klauzul bezpieczeństwa, prawa do audytu czy wymogów raportowania incydentów. Te umowy to tykające bomby zegarowe.

Jako szef procurementu, musisz natychmiast, we współpracy z CISO, dokonać inwentaryzacji i priorytetyzacji tych umów. Skupcie się na 20% dostawców, którzy generują 80% ryzyka (dostawcy krytyczni).

Następnie musisz rozpocząć proces renegocjacji tych umów. Nie możesz czekać 3 lata na ich wygaśnięcie. Wejście w życie KSC/NIS2 jest doskonałą i bardzo silną dźwignią prawną. Możesz zwrócić się do dostawcy z informacją: „W związku z wejściem w życie nowych regulacji (KSC/NIS2), jesteśmy prawnie zobowiązani do aneksowania naszej umowy o nowy Załącznik Bezpieczeństwa. Jest to warunek konieczny do kontynuowania naszej współpracy”.

Jak zewnętrzny partner GRC (jak nFlo) może pomóc działowi zakupów w weryfikacji dostawców?

Jako Head of Procurement, Twoim zadaniem jest zarządzanie procesem, negocjacje i zgodność formalna. Nie jesteś ani Ty, ani Twój zespół, audytorem cyberbezpieczeństwa. Próba samodzielnej, merytorycznej oceny technicznej odpowiedzi dostawcy w kwestionariuszu jest nierealna.

Tu właśnie pojawia się rola zewnętrznego partnera GRC, który działa jako Twoje „biuro audytu łańcucha dostaw”. Partner taki jak nFlo, w ramach usług wdrożeniowych (Pakiet CORE), oferuje aktywne wsparcie w SCRM.

Zamiast samemu analizować skomplikowaną dokumentację techniczną dostawcy, zlecasz to ekspertom nFlo. To oni przeprowadzają audyt proceduralny i techniczny u Twojego dostawcy  i wracają do Ciebie z prostą, biznesową rekomendacją: „Dostawca A spełnia wymogi, ryzyko akceptowalne. Dostawca B ma krytyczne luki, rekomendujemy odrzucenie oferty lub plan naprawczy”. To pozwala Ci zachować transparentność i efektywność procesu, jednocześnie opierając swoje decyzje zakupowe na twardej, eksperckiej analizie ryzyka.

Checklista Procurementu KSC/NIS2: Zmiana Procesu Zakupowego

Poniższa tabela podsumowuje kluczowe zmiany w procesie zakupowym ICT, wymuszone przez KSC/NIS2.

Etap ProcesuPodejście Tradycyjne (Fokus: Cena)Nowe Podejście KSC/NIS2 (Fokus: Ryzyko)
1. Kwalifikacja DostawcyWeryfikacja finansowa i referencje.Weryfikacja finansowa + Kategoryzacja Ryzyka Cybernetycznego (Krytyczny, Ważny, Niski).
2. Zapytanie Ofertowe (RFP)Wymagania funkcjonalne i cena.Wymagania funkcjonalne + Obligatoryjna sekcja Bezpieczeństwa (kwestionariusz, wymogi formalne).
3. Ocena OfertyGłównie kryterium cenowe. Dostawca najtańszy wygrywa.Matryca wielokryterialna: Cena + Funkcjonalność + Wynik Oceny Bezpieczeństwa. Ryzykowne oferty są odrzucane.
4. Negocjacje i UmowaNegocjacja ceny, terminów płatności i SLA.Negocjacja ceny + Implementacja obligatoryjnych klauzul bezpieczeństwa (Prawo do audytu, raportowanie incydentów).
5. Zarządzanie KontraktemMonitorowanie realizacji SLA (np. czasu reakcji serwisu).Monitorowanie SLA + Cykliczna re-ocena bezpieczeństwa dostawcy (np. coroczny audyt, weryfikacja certyfikatów).

Masz pytania do artykułu? Skontaktuj się z ekspertem

Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.

?
?
Zapoznałem/łam się i akceptuję  politykę prywatności.

O autorze:
Grzegorz Gnych

Grzegorz to doświadczony profesjonalista z ponad 20-letnim stażem w branży IT i telekomunikacji. Specjalizuje się w zarządzaniu sprzedażą, budowaniu strategicznych relacji z klientami oraz rozwijaniu innowacyjnych strategii sprzedażowych i marketingowych. Jego wszechstronne kompetencje potwierdza szereg certyfikatów branżowych, w tym z zakresu zarządzania usługami IT oraz technologii wiodących producentów.

W swojej pracy Grzegorz kieruje się zasadami przywództwa, ciągłego rozwoju wiedzy i proaktywnego działania. Jego podejście do sprzedaży opiera się na głębokim zrozumieniu potrzeb klientów i dostarczaniu rozwiązań, które realnie zwiększają ich konkurencyjność na rynku. Jest znany z umiejętności budowania długotrwałych relacji biznesowych i pozycjonowania się jako zaufany doradca.

Grzegorz szczególnie interesuje się integracją zaawansowanych technologii w strategiach sprzedażowych. Skupia się na wykorzystaniu sztucznej inteligencji i automatyzacji w procesach sprzedażowych, a także na rozwoju kompleksowych rozwiązań IT wspierających transformację cyfrową klientów.

Aktywnie dzieli się swoją wiedzą i doświadczeniem poprzez mentoring, wystąpienia na konferencjach branżowych i publikacje. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest łączenie głębokiej wiedzy technicznej z umiejętnościami biznesowymi i nieustanne dostosowywanie się do zmieniających się potrzeb rynku.

Pozostałe artykuly autora