Vendor Risk Management - Audyt Łańcucha Dostaw
Artykuł 21 NIS2 nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw. Duże organizacje muszą zweryfikować setki dostawców ICT. Przejmujemy ten proces - wysyłamy ankiety, weryfikujemy odpowiedzi, przeprowadzamy wywiady i dostarczamy scorecard dla każdego dostawcy.
Czym jest Vendor Risk Management (zarządzanie ryzykiem dostawców)?
Vendor Risk Management to usługa przejmująca cały proces weryfikacji bezpieczeństwa dostawców ICT wymagany przez art. 21 NIS2 i DORA — od inwentaryzacji i kategoryzacji dostawców, przez ankiety bezpieczeństwa i due diligence (OSINT, wywiady, certyfikaty), po scorecard z oceną ryzyka i rekomendacjami dla każdego dostawcy. nFlo działa jako zewnętrzny zespół oceniający, dostarczając kompletną dokumentację gotową do przedstawienia regulatorowi i audytorom.
Musisz zaudytować 200 dostawców - nie masz na to ludzi
Przejmujemy proces weryfikacji dostawców - od ankiety do scorecard
Ankiety i wywiady
Wysyłamy, zbieramy, weryfikujemy odpowiedzi
Due diligence
OSINT, weryfikacja certyfikatów, analiza ryzyka
Scorecard
Jasna ocena każdego dostawcy z rekomendacjami
Czym jest Vendor Risk Management (VRM)?
Vendor Risk Management (VRM) to usługa zarządzania ryzykiem dostawców ICT obejmująca ocenę bezpieczeństwa vendorów, due diligence, monitorowanie SLA i zgodności z wymaganiami NIS2/DORA dotyczącymi łańcucha dostaw.
| Atrybut | Wartość |
|---|---|
| Zakres | Ocena, onboarding, monitoring dostawców |
| Zgodność | NIS2, DORA, ISO 27001 A.15 |
| Metodologia | Risk-based assessment, kwestionariusze |
| Czas oceny | 5-10 dni na dostawcę |
| Cena | od 8 000 PLN/dostawca (stan na 2026) |
200 dostawców do zaudytowania - 0 ludzi do tego
Firma produkcyjna podlegająca pod NIS2 miała 247 dostawców ICT - od chmury Azure, przez systemy ERP, po małą firmę od drukarek. Regulator wymaga oceny ryzyka każdego z nich. Zespół IT (5 osób) nie miał czasu nawet na wysłanie ankiet, nie mówiąc o weryfikacji odpowiedzi. Efekt: compliance odkładany “na później”, a audyt regulatora coraz bliżej.
Bez zarządzania ryzykiem dostawców:
- Nie spełniasz wymogów NIS2 art. 21 pkt 4 (bezpieczeństwo łańcucha dostaw)
- Nie wiesz, którzy dostawcy mają dostęp do Twoich krytycznych danych
- Incydent u dostawcy = Twój incydent (ale nie masz nad nim kontroli)
- Regulator może nałożyć karę za brak procesu oceny dostawców
Przejmujemy cały proces - Ty dostajesz raport
Nie zostawiamy Cię z szablonem ankiety i życzeniem powodzenia. Działamy jako Twój zewnętrzny zespół do oceny dostawców. Wysyłamy ankiety w Twoim imieniu, weryfikujemy odpowiedzi (również przez OSINT i biały wywiad), przeprowadzamy wywiady z kluczowymi dostawcami i dostarczamy jasny scorecard z rekomendacjami.
Co dostajesz:
- Inwentaryzację wszystkich dostawców ICT z kategoryzacją krytyczności
- Mapowanie zależności - który dostawca ma dostęp do jakich danych/systemów
- Ankiety bezpieczeństwa dostosowane do kategorii dostawcy (critical vs standard)
- Weryfikację odpowiedzi - nie tylko “ufamy co napisali”, ale sprawdzamy
- OSINT i biały wywiad - publiczne informacje o bezpieczeństwie dostawcy
- Wywiady z kluczowymi dostawcami (dla kategorii critical)
- Scorecard dla każdego dostawcy (skala 1-5, risk rating, gaps)
- Rekomendacje działań naprawczych dla dostawców wysokiego ryzyka
- Wzory klauzul bezpieczeństwa do umów z dostawcami
- Dokumentację dla audytora NIS2/DORA
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Podlegasz pod NIS2 jako podmiot kluczowy lub ważny
- Podlegasz pod DORA i musisz zarządzać ryzykiem dostawców ICT
- Masz dziesiątki lub setki dostawców IT/ICT do zweryfikowania
- Twoi klienci (np. banki, energetyka) wymagają od Ciebie audytu dostawców
- Nie masz zespołu do prowadzenia procesu vendor risk management
- Chcesz wiedzieć, którzy dostawcy stanowią realne ryzyko dla Twojej organizacji
Wymagania NIS2 dla łańcucha dostaw
Artykuł 21 pkt 4 Dyrektywy NIS2
NIS2 wymaga od podmiotów kluczowych i ważnych:
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.
Co to oznacza w praktyce:
- Musisz zidentyfikować wszystkich dostawców ICT
- Musisz ocenić ryzyko związane z każdym dostawcą
- Musisz mieć procedury wyboru i monitorowania dostawców
- Musisz wymagać od dostawców określonych standardów bezpieczeństwa
- Musisz być w stanie wykazać to audytorowi/regulatorowi
Wymagania DORA dla dostawców ICT
Dla sektora finansowego DORA idzie jeszcze dalej:
- Rejestr dostawców ICT - pełna inwentaryzacja z kategoryzacją
- Due diligence przed wyborem dostawcy
- Klauzule kontraktowe - wymagane elementy w umowach
- Exit strategy - plan wyjścia z relacji z dostawcą
- Audyt dostawców - prawo do kontroli krytycznych dostawców
- Raportowanie - informowanie regulatora o kluczowych dostawcach
Jak działa nasz proces?
Faza 1: Inwentaryzacja (tydzień 1-2)
Identyfikacja dostawców:
- Przegląd umów i faktur z działem zakupów
- Wywiady z IT, security, biznesem
- Skanowanie sieci pod kątem integracji zewnętrznych
- Mapowanie zależności i przepływu danych
Kategoryzacja:
- Critical - dostęp do danych krytycznych, single point of failure
- High - znaczący wpływ na operacje, dostęp do danych wrażliwych
- Medium - ograniczony wpływ, standardowe dane
- Low - minimalny wpływ, brak dostępu do danych
Faza 2: Assessment (tydzień 3-6)
Dla dostawców Critical i High:
- Rozbudowana ankieta bezpieczeństwa (100+ pytań)
- Wywiad z przedstawicielem dostawcy
- Weryfikacja certyfikatów (ISO 27001, SOC 2)
- OSINT - publiczne informacje o incydentach, wyciekach
- Przegląd klauzul bezpieczeństwa w umowie
Dla dostawców Medium i Low:
- Uproszczona ankieta (30 pytań)
- Weryfikacja automatyczna
- Scoring na podstawie odpowiedzi
Faza 3: Scoring i raportowanie (tydzień 7-8)
Scorecard dla każdego dostawcy:
- Ocena ogólna (1-5)
- Risk rating (Critical/High/Medium/Low/Acceptable)
- Zidentyfikowane luki (gaps)
- Rekomendowane działania naprawcze
- Termin przeglądu (re-assessment date)
Raport zbiorczy:
- Podsumowanie dla zarządu (executive summary)
- Mapa ryzyka dostawców (heatmap)
- Top 10 dostawców wysokiego ryzyka
- Plan działań priorytetyzowany
- Dokumentacja dla audytora NIS2
Faza 4: Remediation i monitoring (ongoing)
Działania naprawcze:
- Komunikacja z dostawcami wysokiego ryzyka
- Negocjacje poprawek do umów
- Wsparcie w exit strategy dla dostawców krytycznie ryzykownych
- Re-assessment po wdrożeniu poprawek
Continuous monitoring:
- Automatyczne alerty o incydentach u dostawców
- Kwartalny przegląd dostawców critical
- Roczny re-assessment wszystkich dostawców
- Aktualizacja rejestru przy nowych dostawcach
Model “Passport to Enterprise”
Dla firm MŚP - dostawców dużych korporacji
Jesteś małą firmą IT i Twój klient (bank, energetyka, produkcja) przysłał Ci 50-stronicową ankietę bezpieczeństwa? Nie wiesz jak odpowiedzieć, żeby nie stracić kontraktu?
Pomagamy Ci:
- Zrozumieć co klient naprawdę chce wiedzieć
- Wypełnić ankietę rzetelnie (nie “na odczep się”)
- Zidentyfikować gaps które musisz szybko uzupełnić
- Przygotować dokumentację (polityki, procedury)
- Przejść pozytywnie weryfikację klienta
Efekt: Nie tracisz kontraktu wartego setki tysięcy złotych przez brak 3 dokumentów.
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Vendor Risk Management - Audyt Łańcucha Dostaw z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Inwentaryzacja
Identyfikacja wszystkich dostawców ICT i ich krytyczności
Kategoryzacja
Przypisanie dostawców do kategorii ryzyka (critical/high/medium/low)
Assessment
Ankiety bezpieczeństwa, wywiady, weryfikacja dokumentacji
Scoring
Scorecard dla każdego dostawcy z oceną ryzyka
Remediation
Plan działań naprawczych i monitoring ciągły
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Zgodność z NIS2
Spełniasz wymóg art. 21 pkt 4 - bezpieczeństwo łańcucha dostaw
Oszczędność czasu
Nie angażujesz swojego zespołu w setki ankiet
Visibility ryzyka
Wiesz którzy dostawcy stanowią największe zagrożenie
Gotowość do audytu
Dokumentacja i dowody dla regulatora
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
CVE-2026-41089: Krytyczna podatność przepełnienia bufora w Microsoft Windows Netlogon - natychmiastowa aktualizacja wymagana
Przepełnienie buforu stosu w Windows Netlogon pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć, stwarzając krytyczne ryzyko przejęcia systemu...
Czytaj więcej →CVE-2026-41096: Krytyczna podatność przepełnienia bufora w Microsoft Windows DNS - natychmiastowa aktualizacja wymagana
Przepełnienie buforu sterty (heap-based buffer overflow) w Microsoft Windows DNS pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć, stwarzając krytyczne ryzyko przejęcia serwera DNS...
Czytaj więcej →CVE-2026-42369: Ekspozycja zdalnego interfejsu w GeoVision GV-VMS V20
GV-VMS V20 to oprogramowanie do monitoringu wideo. Włączenie funkcji "WebCam Server" eksponuje natywny serwer skompilowany bez ASLR, co znacząco ułatwia eksploatację podatności i wzmacnia ryzyko zdalnego ataku...
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Vendor Risk Management - Audyt Łańcucha Dostaw.
Ile kosztuje audyt dostawców pod NIS2?
Assessment pojedynczego dostawcy: od 8 000 PLN. Pełna ocena do 50 dostawców: od 80 000 PLN (4-6 tygodni). Do 200 dostawców: od 150 000 PLN (10-14 tygodni). Ciągły monitoring (VRM as a Service): od 10 000 PLN/miesiąc.
Jak długo trwa pełny assessment dostawców?
50 dostawców: 6-8 tygodni. 200 dostawców: 10-14 tygodni. 500+ dostawców: 4-6 miesięcy. Priorytetyzujemy - dostawcy Critical są oceniani w pierwszej kolejności, pozostali równolegle.
Co jeśli dostawca odmówi wypełnienia ankiety?
To czerwona flaga wpływająca na ocenę. Dokumentujemy odmowę, przeprowadzamy assessment na podstawie OSINT i dostępnych informacji, oceniamy ryzyko i rekomendujemy działania - od dodatkowych klauzul w umowie po exit strategy.
Czy audyt dostawców spełnia wymogi NIS2?
Tak - nasza usługa VRM bezpośrednio adresuje wymóg art. 21 pkt 4 NIS2 dotyczący bezpieczeństwa łańcucha dostaw. Scorecard i dokumentacja stanowią dowód dla audytora i regulatora.
Jak często należy powtarzać assessment dostawców?
Rekomendujemy: dostawcy Critical - co 12 miesięcy + po incydencie, dostawcy High - co 18 miesięcy, Medium/Low - co 24 miesiące. Nowi dostawcy - przed podpisaniem umowy (due diligence).