Wymogi NIS 2 - zarządzanie ciągłością działania oraz łańcuchem dostaw w praktyce

Jak krok po kroku poradzić sobie z implementacją nowych wymagań i zbudować mechanizmy pozwalające na skuteczne zarządzanie ciągłością działania oraz cyberbezpieczeństwem.

Publikacja: 08.07.2025 13:21

Wymogi NIS 2 - zarządzanie ciągłością działania oraz łańcuchem dostaw w praktyce

Foto: Adobe Stock

Tomasz Kamiński, DANIEL NIWIŃSKI

Dyrektywa (UE) 2022/2555 (NIS 2), przyjęta w celu ustanowienia środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, wprowadza szereg restrykcyjnych wymagań z zakresu bezpieczeństwa informacji i cyberodporności podmiotów kluczowych oraz ważnych. Podmioty te będą zobowiązane do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, co będzie również obejmowało zarządzanie ciągłością działania (dalej również BCM – Business Continuity Management).

BCM to zestaw procesów i procedur mających na celu zapewnienie zdolności organizacji do kontynuowania kluczowych działań w przypadku wystąpienia zakłóceń, awarii lub incydentów związanych z bezpieczeństwem. Integralnym elementem podejścia związanego z zapewnieniem ciągłości działania organizacji jest również zarządzanie ciągłością łańcucha dostaw, które koncentruje się na zapewnieniu nieprzerwanego dostarczania kluczowych zasobów, towarów lub usług przez zewnętrznych dostawców.

Głównym celem wdrożenia zasad związanych z zarządzaniem ciągłością działania w organizacji jest ograniczenie skutków potencjalnych przerw w działalności poprzez przygotowanie organizacji do reagowania na incydenty związane z bezpieczeństwem i sprawne przywracanie funkcjonowania kluczowych obszarów organizacji w przypadku wystąpienia przerw.

Zarządzanie łańcuchem dostaw wymaga z kolei identyfikacji zależności od podmiotów zewnętrznych, w tym przeprowadzenia oceny ryzyka związanego z zewnętrznymi dostawcami i wdrożenie odpowiednich środków technicznych lub organizacyjnych w celu zapobiegania wystąpieniu potencjalnych ryzyk. W dobie cyfrowej transformacji i globalizacji dostaw, zaniedbanie tego obszaru może prowadzić do znacznych strat finansowych lub wizerunkowych.

Jak uregulowano BCM w NIS2?

Dyrektywa NIS 2 zaostrzyła podejście do zapewnienia ciągłości działania oraz zarządzania ryzykiem w łańcuchu dostaw. Zgodnie z art. 21 ust. 2 lit. c) i d), podmioty kluczowe i ważne mają obowiązek wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem, bazując na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, w szczególności w zakresie ciągłości działania, np. poprzez zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe, a także bezpieczeństwo łańcucha dostaw, w tym poprzez aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.

Podmioty kluczowe i ważne zobligowane są do monitorowania ryzyka wynikającego z korzystania z usług podmiotów trzecich, a także do zapewnienia, że dostawcy spełniają odpowiednie standardy bezpieczeństwa. W praktyce oznacza to zwykle konieczność wdrożenia zintegrowanego systemu zarządzania ryzykiem i ciągłością działania obejmującego również zarządzanie bezpieczeństwem łańcucha dostaw.

BCM w praktyce

Aby skutecznie zarządzić ciągłością działania w praktyce, należy rozpocząć od inwentaryzacji procesów oraz zasobów wykorzystywanych w tych procesach. Kiedy podmiot odpowie na pytanie czym dysponuje, będzie mógł rozpocząć ocenę tzw. BIA (Business Impact Assessment), czyli analizę wpływu utraty ciągłości działania na podmiot i świadczone przez niego usługi. Wykonując BIA podmiot powinien poznać:

· które procesy są krytyczne dla organizacji;

· jakie skutki niesie za sobą przerwa w funkcjonowaniu tych procesów;

· w jakim czasie należy przywrócić sprawność funkcjonowania procesów (tzw. RTO – Recovery Time Objective);

· jakiego poziomu danych nie można utracić w wyniku awarii / incydentu (tzw. RPO – Recovery Point Objective).

Na podstawie wyników oceny BIA podmiot jest w stanie dalej opracować:

· plany ciągłości działania (BCP – Business Continuity Plan) – które opisują, w jaki sposób należy kontynuować krytyczne działania podczas wystąpienia incydentu;

· plany reagowania na incydenty (IRP - Incident Response Plans) – które koncentrują się na szybkim wykrywaniu, ocenie i neutralizacji zagrożeń;

· plany odzyskiwania danych i systemów (DRP – Disaster Recovery Plan) – opisujące proces przywracania normalnego funkcjonowania systemów IT po wystąpieniu incydentu.

Wdrożenie i sprawne funkcjonowanie powyższych planów wymaga przeprowadzania regularnych testów, przeglądów, a także przypisania ról i odpowiedzialności w strukturze organizacyjnej danego podmiotu.

Zarządzanie łańcuchem dostaw w praktyce

Zarządzanie łańcuchem dostaw, jak wspomnieliśmy powyżej, jest istotne z punktu widzenia zapewnienia ciągłości działania organizacji, ale również z punktu widzenia mitygacji ryzyk związanych z bezpieczeństwem informacji i odpornością cyfrową podmiotu kluczowego lub ważnego. Podobnie jak w przypadku BIA, aby skutecznie zarządzić łańcuchem dostaw, podmiot powinien w pierwszej kolejności przeprowadzić inwentaryzację swoich procesów oraz zasobów, a także przypisać do tych procesów i zasobów zewnętrznych dostawców, którzy wspierają te procesy i zasoby.

Dopiero po przeprowadzeniu inwentaryzacji i przypisaniu procesów i zasobów do dostawców, podmiot kluczowy lub ważny jest w stanie:

· przeprowadzić identyfikację dostawców krytycznych, poprzez analizę zależności operacyjnych i technicznych pomiędzy procesami i zasobami podmiotu i jego dostawców;

· przeprowadzić ocenę ryzyka – do tego celu można posłużyć się ankietami samooceny dostawców, wynikami audytów dostawców, analizą informacji o incydentach występujących po stronie tych dostawców, certyfikatami pozyskanymi przez dostawców (np. ISO 27001), czy też ocenami dojrzałości procesów;

· określić wymagania kontraktowe – na bazie wymagań bezpieczeństwa podmiotu kluczowego lub ważnego, w zależności od tego jakie procesy wspiera zewnętrzny dostawca, podmiot powinien uwzględnić w umowach z tymi dostawcami odpowiednie postanowienia dotyczące obowiązków w zakresie bezpieczeństwa, dostępie do wyników audytów wewnętrznych, możliwości przeprowadzania audytów dostawców, terminach przywracania sprawności świadczonych usług lub dostaw, czy też obowiązku informowania o incydentach;

· monitorować i doskonalić – podmiot kluczowy lub ważny powinien regularnie weryfikować zewnętrznych dostawców, w tym zapewnić sobie dostęp do informacji pozwalających na ocenę jakości świadczonych usług, jak również okresowo przeprowadzać audyty dostawców, a także przeglądać i aktualizować plany i procedury dotyczące współpracy z zewnętrznymi dostawcami.

W praktyce warto jest wdrożyć i regularnie prowadzić centralny rejestr umów, w którym odnotowane zostaną również powiązania pomiędzy dostawcami a procesami, które wspierają. Dodatkowo warto jest prowadzić katalog wymaganych środków ochrony oraz oceny poziomu ich spełnienia.

Zarządzanie ciągłością działania i łańcuchem dostaw jako podstawa prawidłowego funkcjonowania podmiotów kluczowych lub ważnych.

Wymagania wprowadzone przez Dyrektywę (UE) 2022/2554 (NIS 2) znacząco podnoszą poprzeczkę w zakresie zapewnienia niezawodności i odporności organizacji podmiotów kluczowych lub ważnych. Zarządzanie ciągłością działania oraz bezpieczeństwem łańcucha dostaw przestało być fakultatywnym elementem strategii danego podmiotu, a stało się obowiązkiem regulacyjnym. Skuteczna i efektywna implementacja wymaga zintegrowanego podejścia, zaangażowania najwyższego kierownictwa oraz współpracy z zewnętrznymi dostawcami. Dużą rolę w obszarze zarządzania bezpieczeństwem łańcucha dostaw oraz ciągłością działania mają do odegrania również osoby w organizacji, które zajmują się procesami zakupowymi, relacjami z podmiotami zewnętrznymi, a także analizą i zawieraniem umów z podmiotami zewnętrznymi. Ciężar odpowiedzialności za bezpieczeństwo organizacji od lat przestaje być już tylko zmartwieniem działów IT, a staje się zajęciem interdyscyplinarnym, angażującym wiele osób i procesów wewnątrz podmiotu.

Przygotowanie odpowiednich analiz, planów i procedur to inwestycja w stabilność i wiarygodność instytucji. W obliczu rosnących zagrożeń cyfrowych oraz coraz większej złożoności łańcuchów dostaw, zarządzanie ciągłością działania oraz cyberbezpieczeństwem staje się fundamentem odporności organizacyjnej i zaufania klientów.

Adw. Tomasz Kamiński – Wspólnik w Kancelarii Krzysztof Rożko i Wspólnicy,

Daniel Niwiński – Prawnik, Ekspert ds. cyberbezpieczeństwa w Kancelarii Krzysztof Rożko i Wspólnicy

cyberbezpieczeństwo

Pozostało jeszcze 94% artykułu

Nawigator prawny Poradnik

Deregulacja na rynku kapitałowym. Mniej barier, lepsze prawo?

Polska mierzy się dziś z nadmiarem regulacji, które hamują rozwój rynku. Nadchodzi czas trudnych, ale koniecznyc...

Materiał Promocyjny

25 lat działań na rzecz zrównoważonego rozwoju

Odpowiedzialny biznes przechodzi kolejną ewolucję związaną z nowymi wymaganiami regulacyjnymi. Tym razem celem jest strategiczna transformacja pozwalająca na skuteczną ochronę środowiska i praw człowieka. Jak odpowiedzieć na te wyzwania?