Cyberbezpieczeństwo w łańcuchu dostaw: co naprawdę zmienia wdrożenie NIS2 w Polsce

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, transponująca do polskiego porządku prawnego dyrektywę NIS2 („Ustawa KSC”). Dla wielu sektorów istotnych dla funkcjonowania państwa i gospodarki, np. energetyki, transportu, produkcji i sektora usług cyfrowych, to istotna zmiana w podejściu do cyberbezpieczeństwa. Regulacja wyraźnie przesuwa punkt ciężkości z samej organizacji na cały łańcuch dostaw, co w praktyce oznacza większe wymagania wobec dostawców i usługodawców oraz realne włączenie ich w system odpowiedzialności za bezpieczeństwo cyfrowe.

Nowe reguły – zmiana sposobu myślenia o łańcuchu dostaw

W praktyce zmiany sprowadzają się do zmian strukturalnych w organizacjach. Zarządzanie dostawcami, dotychczas traktowane jako kwestia operacyjna lub zakupowa, zostaje włączone do obszaru compliance. Podmioty zakwalifikowane w myśl nowych przepisów jako „kluczowe” lub „ważne” muszą nie tylko identyfikować swoich najważniejszych dostawców, ale też oceniać związane z nimi ryzyka i potrafić wykazać, że są one zarządzane w sposób uporządkowany.

Choć Ustawa KSC zawiera obszerny katalog wymaganych elementów systemu zarządzania bezpieczeństwem informacji, nie narzuca jednego modelu organizacji łańcucha dostaw. Wprowadza raczej standard oparty na analizie ryzyka i zasadzie proporcjonalności. To daje firmom pewną elastyczność, ale jednocześnie przenosi na nie ciężar odpowiedzialności.

W praktyce oznacza to konieczność stworzenia wewnętrznych zasad dotyczących bezpieczeństwa łańcucha dostaw, w tym przykładowo opracowania polityki bezpieczeństwa łańcucha dostaw, określającej kryteria doboru dostawców z uwzględnieniem ich dojrzałości w zakresie cyberbezpieczeństwa.

Wymagania stawiane dostawcom powinny być przenoszone do relacji umownych. To właśnie umowy z dostawcami staną się jednym z kluczowych narzędzi zapewnienia zgodności. Powinny one przewidywać między innymi prawo do audytowania dostawcy pod kątem bezpieczeństwa jego systemów informacyjnych, zasad korzystania z podwykonawców czy zgłaszania incydentów. Bez odpowiednich postanowień kontraktowych trudno będzie wykazać, że ryzyka są realnie kontrolowane.

Badanie due diligence i monitorowanie dostawców

Ocena ryzyka nie może być jednorazowa ani ograniczona do etapu wyboru dostawcy. Niezależnie od wstępnej weryfikacji dostawcy (np. standardów bezpieczeństwa czy procedur zarządzania podatnościami) niezbędna będzie regularna aktualizacja w trakcie trwania współpracy. Coraz większego znaczenia nabierać będą mechanizmy ciągłego nadzoru, takie jak oceny okresowe, raportowanie incydentów czy weryfikacja spełniania uzgodnionych standardów. Oznacza to, że relacja z dostawcą musi być zarządzana w sposób ciągły, a nie tylko zakontraktowana.

Osobista odpowiedzialność zarządu i sankcje

Kluczowym aspektem nowelizacji jest osobista odpowiedzialność kierownika podmiotu „kluczowego” lub „ważnego” za wykonywanie obowiązków w zakresie cyberbezpieczeństwa. Odpowiedzialność ta nie wygasa nawet w razie powierzenia obowiązków innej osobie. Ryzyka związane z dostawcami przestają być wyłącznie domeną działów IT lub zakupów i stają się elementem nadzoru na poziomie zarządu.

Sankcje finansowe mogą zostać nałożone na organizację. W przypadku podmiotów „kluczowych” mogą one sięgać nawet 10 milionów euro lub 2% przychodów (w zależności od tego, która kwota jest wyższa). Z kolei dla podmiotów „ważnych” mogą one sięgać 7 milionów euro lub 1,4% przychodów. Co więcej, kierownikowi podmiotu może zostać wymierzona odrębna kara pieniężna – do 300% wynagrodzenia miesięcznego. Kary pieniężne mogą być zasadniczo po raz pierwszy nałożone nie wcześniej niż po upływie 2 lat od wejścia Ustawy KSC w życie.

Okresy dostosowawcze

Podmioty spełniające przesłanki uznania za podmiot „kluczowy” lub „ważny” mają 12 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem informacji, w tym polityki bezpieczeństwa łańcucha dostaw.

Ponadto, podmioty te są zobowiązane złożyć wniosek o wpis do wykazu podmiotów „kluczowych” lub „ważnych” w ciągu 6 miesięcy od zakwalifikowania ich do tej kategorii. W przypadku podmiotów, które należą do tych kategorii w dniu wejścia w życie Ustawy KSC, szczegółowy harmonogram składania wniosków o wpis zostanie określony w komunikacie ministra właściwego do spraw informatyzacji.

Podmioty „kluczowe” są zobowiązane przeprowadzać pierwszy audyt bezpieczeństwa w ciągu 24 miesięcy od wejścia w życie znowelizowanych przepisów. Kolejne audyty muszą być przez nie przeprowadzane co najmniej raz na trzy lata.

Kluczowe wnioski

Regulacja cyberbezpieczeństwa przestaje koncentrować się wyłącznie na systemach informatycznych przedsiębiorstwa, a obejmuje cały system powiązań, w którym ono funkcjonuje. A to oznacza, że sposób, w jaki firmy współpracują ze swoimi partnerami, staje się elementem odpowiedzialności regulacyjnej.

Aby uzyskać więcej informacji na temat regulacji cyberbezpieczeństwa w Polsce, skontaktuj się ze swoim partnerem w CMS lub z ekspertami CMS, którzy współtworzyli ten artykuł.