Vendor Risk Management - Audyt Łańcucha Dostaw
Artykuł 21 NIS2 nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw. Duże organizacje muszą zweryfikować setki dostawców ICT. Przejmujemy ten proces - wysyłamy ankiety, weryfikujemy odpowiedzi, przeprowadzamy wywiady i dostarczamy scorecard dla każdego dostawcy.
Musisz zaudytować 200 dostawców - nie masz na to ludzi
Przejmujemy proces weryfikacji dostawców - od ankiety do scorecard
Ankiety i wywiady
Wysyłamy, zbieramy, weryfikujemy odpowiedzi
Due diligence
OSINT, weryfikacja certyfikatów, analiza ryzyka
Scorecard
Jasna ocena każdego dostawcy z rekomendacjami
Czym jest Vendor Risk Management (VRM)?
Vendor Risk Management (VRM) to usługa zarządzania ryzykiem dostawców ICT obejmująca ocenę bezpieczeństwa vendorów, due diligence, monitorowanie SLA i zgodności z wymaganiami NIS2/DORA dotyczącymi łańcucha dostaw.
| Atrybut | Wartość |
|---|---|
| Zakres | Ocena, onboarding, monitoring dostawców |
| Zgodność | NIS2, DORA, ISO 27001 A.15 |
| Metodologia | Risk-based assessment, kwestionariusze |
| Czas oceny | 5-10 dni na dostawcę |
| Cena | od 8 000 PLN/dostawca (stan na 2026) |
nFlo oferuje vendor risk management (vrm) dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.
200 dostawców do zaudytowania - 0 ludzi do tego
Firma produkcyjna podlegająca pod NIS2 miała 247 dostawców ICT - od chmury Azure, przez systemy ERP, po małą firmę od drukarek. Regulator wymaga oceny ryzyka każdego z nich. Zespół IT (5 osób) nie miał czasu nawet na wysłanie ankiet, nie mówiąc o weryfikacji odpowiedzi. Efekt: compliance odkładany “na później”, a audyt regulatora coraz bliżej.
Bez zarządzania ryzykiem dostawców:
- Nie spełniasz wymogów NIS2 art. 21 pkt 4 (bezpieczeństwo łańcucha dostaw)
- Nie wiesz, którzy dostawcy mają dostęp do Twoich krytycznych danych
- Incydent u dostawcy = Twój incydent (ale nie masz nad nim kontroli)
- Regulator może nałożyć karę za brak procesu oceny dostawców
Przejmujemy cały proces - Ty dostajesz raport
Nie zostawiamy Cię z szablonem ankiety i życzeniem powodzenia. Działamy jako Twój zewnętrzny zespół do oceny dostawców. Wysyłamy ankiety w Twoim imieniu, weryfikujemy odpowiedzi (również przez OSINT i biały wywiad), przeprowadzamy wywiady z kluczowymi dostawcami i dostarczamy jasny scorecard z rekomendacjami.
Co dostajesz:
- Inwentaryzację wszystkich dostawców ICT z kategoryzacją krytyczności
- Mapowanie zależności - który dostawca ma dostęp do jakich danych/systemów
- Ankiety bezpieczeństwa dostosowane do kategorii dostawcy (critical vs standard)
- Weryfikację odpowiedzi - nie tylko “ufamy co napisali”, ale sprawdzamy
- OSINT i biały wywiad - publiczne informacje o bezpieczeństwie dostawcy
- Wywiady z kluczowymi dostawcami (dla kategorii critical)
- Scorecard dla każdego dostawcy (skala 1-5, risk rating, gaps)
- Rekomendacje działań naprawczych dla dostawców wysokiego ryzyka
- Wzory klauzul bezpieczeństwa do umów z dostawcami
- Dokumentację dla audytora NIS2/DORA
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Podlegasz pod NIS2 jako podmiot kluczowy lub ważny
- Podlegasz pod DORA i musisz zarządzać ryzykiem dostawców ICT
- Masz dziesiątki lub setki dostawców IT/ICT do zweryfikowania
- Twoi klienci (np. banki, energetyka) wymagają od Ciebie audytu dostawców
- Nie masz zespołu do prowadzenia procesu vendor risk management
- Chcesz wiedzieć, którzy dostawcy stanowią realne ryzyko dla Twojej organizacji
Wymagania NIS2 dla łańcucha dostaw
Artykuł 21 pkt 4 Dyrektywy NIS2
NIS2 wymaga od podmiotów kluczowych i ważnych:
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.
Co to oznacza w praktyce:
- Musisz zidentyfikować wszystkich dostawców ICT
- Musisz ocenić ryzyko związane z każdym dostawcą
- Musisz mieć procedury wyboru i monitorowania dostawców
- Musisz wymagać od dostawców określonych standardów bezpieczeństwa
- Musisz być w stanie wykazać to audytorowi/regulatorowi
Wymagania DORA dla dostawców ICT
Dla sektora finansowego DORA idzie jeszcze dalej:
- Rejestr dostawców ICT - pełna inwentaryzacja z kategoryzacją
- Due diligence przed wyborem dostawcy
- Klauzule kontraktowe - wymagane elementy w umowach
- Exit strategy - plan wyjścia z relacji z dostawcą
- Audyt dostawców - prawo do kontroli krytycznych dostawców
- Raportowanie - informowanie regulatora o kluczowych dostawcach
Jak działa nasz proces?
Faza 1: Inwentaryzacja (tydzień 1-2)
Identyfikacja dostawców:
- Przegląd umów i faktur z działem zakupów
- Wywiady z IT, security, biznesem
- Skanowanie sieci pod kątem integracji zewnętrznych
- Mapowanie zależności i przepływu danych
Kategoryzacja:
- Critical - dostęp do danych krytycznych, single point of failure
- High - znaczący wpływ na operacje, dostęp do danych wrażliwych
- Medium - ograniczony wpływ, standardowe dane
- Low - minimalny wpływ, brak dostępu do danych
Faza 2: Assessment (tydzień 3-6)
Dla dostawców Critical i High:
- Rozbudowana ankieta bezpieczeństwa (100+ pytań)
- Wywiad z przedstawicielem dostawcy
- Weryfikacja certyfikatów (ISO 27001, SOC 2)
- OSINT - publiczne informacje o incydentach, wyciekach
- Przegląd klauzul bezpieczeństwa w umowie
Dla dostawców Medium i Low:
- Uproszczona ankieta (30 pytań)
- Weryfikacja automatyczna
- Scoring na podstawie odpowiedzi
Faza 3: Scoring i raportowanie (tydzień 7-8)
Scorecard dla każdego dostawcy:
- Ocena ogólna (1-5)
- Risk rating (Critical/High/Medium/Low/Acceptable)
- Zidentyfikowane luki (gaps)
- Rekomendowane działania naprawcze
- Termin przeglądu (re-assessment date)
Raport zbiorczy:
- Podsumowanie dla zarządu (executive summary)
- Mapa ryzyka dostawców (heatmap)
- Top 10 dostawców wysokiego ryzyka
- Plan działań priorytetyzowany
- Dokumentacja dla audytora NIS2
Faza 4: Remediation i monitoring (ongoing)
Działania naprawcze:
- Komunikacja z dostawcami wysokiego ryzyka
- Negocjacje poprawek do umów
- Wsparcie w exit strategy dla dostawców krytycznie ryzykownych
- Re-assessment po wdrożeniu poprawek
Continuous monitoring:
- Automatyczne alerty o incydentach u dostawców
- Kwartalny przegląd dostawców critical
- Roczny re-assessment wszystkich dostawców
- Aktualizacja rejestru przy nowych dostawcach
Model “Passport to Enterprise”
Dla firm MŚP - dostawców dużych korporacji
Jesteś małą firmą IT i Twój klient (bank, energetyka, produkcja) przysłał Ci 50-stronicową ankietę bezpieczeństwa? Nie wiesz jak odpowiedzieć, żeby nie stracić kontraktu?
Pomagamy Ci:
- Zrozumieć co klient naprawdę chce wiedzieć
- Wypełnić ankietę rzetelnie (nie “na odczep się”)
- Zidentyfikować gaps które musisz szybko uzupełnić
- Przygotować dokumentację (polityki, procedury)
- Przejść pozytywnie weryfikację klienta
Efekt: Nie tracisz kontraktu wartego setki tysięcy złotych przez brak 3 dokumentów.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Inwentaryzacja
Identyfikacja wszystkich dostawców ICT i ich krytyczności
Kategoryzacja
Przypisanie dostawców do kategorii ryzyka (critical/high/medium/low)
Assessment
Ankiety bezpieczeństwa, wywiady, weryfikacja dokumentacji
Scoring
Scorecard dla każdego dostawcy z oceną ryzyka
Remediation
Plan działań naprawczych i monitoring ciągły
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Zgodność z NIS2
Spełniasz wymóg art. 21 pkt 4 - bezpieczeństwo łańcucha dostaw
Oszczędność czasu
Nie angażujesz swojego zespołu w setki ankiet
Visibility ryzyka
Wiesz którzy dostawcy stanowią największe zagrożenie
Gotowość do audytu
Dokumentacja i dowody dla regulatora
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Dlaczego SOC jest praktycznie niezbędny dla zgodności z KSC/NIS2?
Przepisy KSC/NIS2 nie wymagają wprost posiadania SOC. Jednak 24-godzinny obowiązek zgłaszania incydentów poważnych sprawia, że bez dojrzałych mechanizmów monitorowania spełnienie wymogów staje się praktycznie niemożliwe.
Czytaj więcej →Vulnerability Disclosure - Jak odpowiedzialnie zgłaszać podatności
Kompletny przewodnik po odpowiedzialnym zgłaszaniu podatności. Responsible disclosure, CVE, security.txt, aspekty prawne w Polsce.
Czytaj więcej →Łańcuchowa eksploitacja n8n: jak RidgeBot wykrywa przejęcie workflow w praktyce
Seria krytycznych podatności w n8n pokazuje, jak łańcuchowa eksploitacja może prowadzić do całkowitego przejęcia infrastruktury automatyzacji. RidgeBot jako platforma do ciągłej walidacji bezpieczeństwa wykrywa takie scenariusze zanim zrobią to atakujący.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Vendor Risk Management - Audyt Łańcucha Dostaw.
Ile kosztuje audyt dostawców pod NIS2?
Assessment pojedynczego dostawcy: od 8 000 PLN. Pełna ocena do 50 dostawców: od 80 000 PLN (4-6 tygodni). Do 200 dostawców: od 150 000 PLN (10-14 tygodni). Ciągły monitoring (VRM as a Service): od 10 000 PLN/miesiąc.
Jak długo trwa pełny assessment dostawców?
50 dostawców: 6-8 tygodni. 200 dostawców: 10-14 tygodni. 500+ dostawców: 4-6 miesięcy. Priorytetyzujemy - dostawcy Critical są oceniani w pierwszej kolejności, pozostali równolegle.
Co jeśli dostawca odmówi wypełnienia ankiety?
To czerwona flaga wpływająca na ocenę. Dokumentujemy odmowę, przeprowadzamy assessment na podstawie OSINT i dostępnych informacji, oceniamy ryzyko i rekomendujemy działania - od dodatkowych klauzul w umowie po exit strategy.
Czy audyt dostawców spełnia wymogi NIS2?
Tak - nasza usługa VRM bezpośrednio adresuje wymóg art. 21 pkt 4 NIS2 dotyczący bezpieczeństwa łańcucha dostaw. Scorecard i dokumentacja stanowią dowód dla audytora i regulatora.
Jak często należy powtarzać assessment dostawców?
Rekomendujemy: dostawcy Critical - co 12 miesięcy + po incydencie, dostawcy High - co 18 miesięcy, Medium/Low - co 24 miesiące. Nowi dostawcy - przed podpisaniem umowy (due diligence).
Skontaktuj sie z opiekunem
Porozmawiaj o Vendor Risk Management - Audyt Łańcucha Dostaw z dedykowanym opiekunem handlowym.