Umowy z dostawcami są teraz częścią zgodności z NIS2

Największy klient właśnie przesłał Panu/Pani aneks do umowy. Zawiera wymagania dotyczące cyberbezpieczeństwa, których wcześniej nie widział(a): obowiązek zgłaszania incydentów, procesy zarządzania podatnościami, dowody przeprowadzenia oceny ryzyka i prawo do audytu kontroli bezpieczeństwa. To nie jest korporacyjna preferencja. To NIS2.

Jeśli dostarcza Pan/Pani towary lub usługi organizacji objętej dyrektywą NIS2, umowy właśnie się zmienią — albo już się zmieniły.

Podstawa prawna: Artykuł 21(2)(d) i Rozporządzenie Wykonawcze 2024/2690

Artykuł 21(2)(d) NIS2 zobowiązuje podmioty objęte dyrektywą do zajęcia się „bezpieczeństwem łańcucha dostaw, w tym aspektami związanymi z bezpieczeństwem w relacjach między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami."

To jest dyrektywa. Szczegóły wynikają z Rozporządzenia Wykonawczego UE 2024/2690, które precyzuje dokładnie, co podmioty muszą zrobić. Artykuł 5.1.4 tego rozporządzenia to klauzula, która zmienia relacje z dostawcami w całej UE. Określa, że umowy między podmiotami regulowanymi przez NIS2 a ich dostawcami muszą zawierać:

• Wymagania dotyczące cyberbezpieczeństwa, które dostawca musi spełniać
• Zobowiązania rozciągające się na podwykonawców — wymagania kaskadują co najmniej dwa poziomy w dół
• Prawa do audytu pozwalające podmiotowi regulowanemu weryfikować zgodność
• Wymagania dotyczące zgłaszania incydentów — od dostawcy do podmiotu regulowanego
• Obowiązki w zakresie zarządzania podatnościami

To nie są wytyczne. To jest prawnie wiążące w każdym państwie członkowskim UE, które ukończyło transpozycję NIS2 — obecnie w Niemczech, Belgii, Włoszech, na Węgrzech, w Polsce i kilku innych krajach. Kolejne kraje wdrażają przepisy każdego kwartału.

Efekt Kaskadowy w Łańcuchu Dostaw — Jak Rozprzestrzenia się Naruszenie
!
Źródło naruszenia
Dostawca Warstwy 1 Zaatakowany
Krytyczny dostawca usług IT lub producent oprogramowania pada ofiarą cyberataku
Kaskada do bezpośrednich klientów
▼
Bezpośredni Wpływ (Warstwa 2)
1
Podmiot kluczowy A traci dostęp do krytycznych usług
2
Podmiot kluczowy B traci poufność wrażliwych danych
3
Podmiot ważny C boryka się z zakłóceniami operacyjnymi
Dalsze rozprzestrzenianie się
▼
Pośredni Wpływ (Warstwa 3)
1
Klienci podmiotu A zostają dotknięci skutkami ataku
2
Wszczęte zostaje dochodzenie regulacyjne obejmujące cały łańcuch
3
Kaskada zgłoszeń incydentów NIS2 dla wszystkich dotkniętych podmiotów
4
Straty reputacyjne i finansowe rozprzestrzeniają się na cały sektor
Źródło
Bezpośredni wpływ
Pośredni wpływ

Kogo dotyczy? Więcej firm niż się Panu/Pani wydaje

NIS2 bezpośrednio reguluje podmioty kluczowe i ważne: firmy energetyczne, szpitale, operatorów transportu, dostawców infrastruktury cyfrowej, przedsiębiorstwa wodociągowe i inne. Takich organizacji są dziesiątki tysięcy w całej UE.

Tutaj jednak sytuacja staje się interesująca dla MŚP. Każdy z tych podmiotów regulowanych ma dostawców. A zgodnie z Artykułem 21(2)(d), muszą oni oceniać poziom cyberbezpieczeństwa tych dostawców i uwzględniać wymagania bezpieczeństwa w swoich umowach.

Oznacza to, że Pana/Pani firma jest objęta wymaganiami, jeśli:

• Świadczy Pan/Pani usługi IT (managed services, hosting w chmurze, wytwarzanie oprogramowania) dla firmy z sektora NIS2
• Dostarcza Pan/Pani komponenty lub surowce producentowi sklasyfikowanemu jako podmiot kluczowy lub ważny
• Obsługuje Pan/Pani logistykę, transport lub magazynowanie dla podmiotu regulowanego
• Świadczy Pan/Pani usługi profesjonalne (konsulting, prawne, księgowe) wiążące się z dostępem do systemów lub danych podmiotu regulowanego
• Jest Pan/Pani podwykonawcą dla któregokolwiek z powyższych — łańcuch sięga co najmniej dwa poziomy w głąb

Trzydziestoosobowa firma programistyczna tworząca aplikacje dla holenderskiego szpitala? Objęta przez umowę. Polski MSP zarządzający serwerami dla niemieckiej firmy energetycznej? Objęty. Belgijska firma logistyczna obsługująca transport dla francuskiego przedsiębiorstwa wodociągowego? Identyczna sytuacja.

Kluczowy wniosek: nie trzeba być podmiotem NIS2, aby podlegać wymaganiom NIS2. Obowiązki docierają do Pana/Pani przez umowy z klientami.

Jak będą wyglądać klauzule umowne?

Na podstawie Rozporządzenia Wykonawczego i wczesnych wzorców egzekwowania w UE należy oczekiwać, że klienci regulowani przez NIS2 będą uwzględniać klauzule obejmujące następujące obszary:

1. Wymagania dotyczące bazowego poziomu bezpieczeństwa

Klient określi minimalne standardy cyberbezpieczeństwa, które Pan/Pani musi spełniać. Zazwyczaj są one zgodne z dziesięcioma środkami bezpieczeństwa z Artykułu 21(2), w tym:

• Analiza ryzyka i polityki bezpieczeństwa systemów informacyjnych
• Procedury obsługi incydentów
• Ciągłość działania i zarządzanie kryzysowe
• Polityki kryptografii i szyfrowania tam, gdzie jest to właściwe
• Bezpieczeństwo zasobów ludzkich i kontrola dostępu
• Uwierzytelnianie wieloskładnikowe

2. Obowiązki dotyczące zgłaszania incydentów

Będzie Pan/Pani zobowiązany(a) do informowania klienta o każdym incydencie bezpieczeństwa, który może wpłynąć na jego systemy lub dane. Terminy odzwierciedlają własne wymogi sprawozdawcze NIS2 — zazwyczaj 24 godziny na wczesne ostrzeżenie, 72 godziny na pełne zgłoszenie. Klient potrzebuje tych informacji, ponieważ sam ma obowiązki sprawozdawcze wynikające z Artykułu 23.

3. Prawa do audytu i weryfikacji

Należy oczekiwać klauzul przyznających klientowi (lub jego audytorowi) prawo do weryfikacji kontroli bezpieczeństwa. Może to obejmować:

• Żądanie dowodów certyfikatów bezpieczeństwa (ISO 27001, SOC 2)
• Oceny bezpieczeństwa na miejscu lub zdalnie
• Okresowe kwestionariusze samooceny
• Dostęp do wyników testów penetracyjnych lub raportów ze skanowania podatności

4. Przekazywanie wymagań podwykonawcom

Jeśli korzysta Pan/Pani z podwykonawców, będzie Pan/Pani zobowiązany(a) nałożyć na nich równoważne wymagania dotyczące cyberbezpieczeństwa. To jest efekt kaskadowy — obowiązki NIS2 klienta spływają przez Pana/Panią do Pana/Pani dostawców. Łańcuch rozciąga się co najmniej dwa poziomy.

5. Klauzule rozwiązania umowy

Wiele umów będzie zawierać prawo do rozwiązania umowy, jeśli nie spełni Pan/Pani wymagań cyberbezpieczeństwa lub jeśli doświadczy Pan/Pani poważnego naruszenia bezpieczeństwa, które nie zostanie odpowiednio naprawione.

Co to oznacza konkretnie dla MŚP?

Oto bezpośrednia ocena praktycznego wpływu:

Dobra wiadomość: Większość tego, czego NIS2 wymaga przez umowy z dostawcami, pokrywa się z podstawową higieną cyberbezpieczeństwa, którą każda dobrze prowadzona firma powinna już mieć. Jeśli ma Pan/Pani odpowiednie kontrole dostępu, zarządzanie poprawkami, procedury tworzenia kopii zapasowych i plany reagowania na incydenty — nie zaczyna Pan/Pani od zera.

Rzeczywistość: Wiele MŚP nie ma tych środków udokumentowanych i sformalizowanych. Dobre praktyki to za mało — potrzebne są dowody. Umowy będą wymagały wykazania zgodności, a nie tylko jej deklarowania.

Szansa: Firmy, które przygotują się teraz, zyskują przewagę konkurencyjną. Gdy konkurent nie może wykazać środków bezpieczeństwa zgodnych z NIS2, a Pan/Pani może — wygrywa Pan/Pani kontrakt. Dzieje się to już w Niemczech, gdzie egzekwowanie przez BSI sprawiło, że bezpieczeństwo dostawców stało się priorytetem na poziomie zarządu.

Oto praktyczne podejście:

1. Zidentyfikuj, którzy z Pana/Pani klientów są podmiotami NIS2. Sprawdź, czy działają w sektorach kluczowych lub ważnych. W razie wątpliwości zapytaj wprost — oni to wiedzą.
2. Przeprowadź analizę luk względem środków z Artykułu 21. Krokowa analiza luk NIS2 wskaże, gdzie spełnia Pan/Pani wymagania, a gdzie są braki.
3. Udokumentuj wszystko, co już robi Pan/Pani. Wiele MŚP ma odpowiednie praktyki bezpieczeństwa, ale zerową dokumentację. Zacznij od pisemnych polityk dotyczących kontroli dostępu, reagowania na incydenty i procedur tworzenia kopii zapasowych.
4. Uzupełnij luki. Priorytetyzuj na podstawie tego, czego klienci najprawdopodobniej zażądają najpierw: zdolność zgłaszania incydentów, kontrola dostępu i zarządzanie podatnościami.
5. Przygotuj pakiet dowodowy. Stwórz profil bezpieczeństwa dostawcy, który możesz udostępniać klientom: certyfikaty, polityki, data ostatniego audytu, kontakt do zespołu reagowania na incydenty.

Skorzystaj z bezpłatnego skanu NIS2 Quick Scan, aby w pięć minut sprawdzić, jak Pana/Pani organizacja wypada względem wymagań Artykułu 21.

NIS2 vs ISO 27001 — Porównanie Wymagań
◈Tylko NIS2
Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)
Osobista odpowiedzialność zarządu za cyberbezpieczeństwo
Obowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowych
Sektorowe obowiązki regulacyjne
⬡Wspólne Wymagania
Zarządzanie ryzykiem bezpieczeństwa informacji
Kontrola dostępu i zarządzanie tożsamością
Ciągłość działania i odtwarzanie po awarii
Świadomość bezpieczeństwa i szkolenia
◇Tylko ISO 27001
Cykle audytu wewnętrznego i przeglądów zarządzania
Dokumentacja Deklaracji Stosowalności (SoA)
Formalna certyfikacja i audyt zewnętrzny
◈Tylko NIS2
Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)
Osobista odpowiedzialność zarządu za cyberbezpieczeństwo
Obowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowych
Sektorowe obowiązki regulacyjne
⬡Wspólne Wymagania
Zarządzanie ryzykiem bezpieczeństwa informacji
Kontrola dostępu i zarządzanie tożsamością
Ciągłość działania i odtwarzanie po awarii
Świadomość bezpieczeństwa i szkolenia
◇Tylko ISO 27001
Cykle audytu wewnętrznego i przeglądów zarządzania
Dokumentacja Deklaracji Stosowalności (SoA)
Formalna certyfikacja i audyt zewnętrzny
Środkowa kolumna przedstawia wymagania wspólne dla NIS2 i ISO 27001

Czas działa teraz

To nie jest problem przyszłości. Wymagania umowne już napływają w krajach, które ukończyły transpozycję NIS2:

• Niemcy: NIS2UmsuCG obowiązuje od grudnia 2025 r. Termin rejestracji w BSI minął w marcu 2026 r.. Podmioty regulowane aktywnie aktualizują umowy z dostawcami.
• Belgia: Pełna dojrzałość operacyjna. Oceny łańcucha dostaw są częścią rutynowego zapewnienia zgodności.
• Włochy: ACN publikuje wytyczne sektorowe do września 2026 r. Termin wdrożenia środków: październik 2026 r.
• Polska: Ustawa o KSC implementująca NIS2 weszła w życie w marcu 2026 r.. Termin rejestracji: 3 października 2026 r. Nadzór sprawują CSIRT GOV (administracja rządowa) oraz NASK (dostawcy usług cyfrowych).
• Holandia: Głosowanie nad Cyberbeveiligingswet (Cbw) zbliża się po debacie parlamentarnej w marcu 2026 r. Oczekiwane wejście w życie w II kwartale 2026 r.
• Austria: NISG 2026 wchodzi w pełni w życie 1 października 2026 r.

Każdy kraj, który wdroży przepisy, oznacza więcej podmiotów regulowanych wysyłających zaktualizowane umowy do dostawców. Jeśli działa Pan/Pani transgranicznie — a większość łańcuchów dostaw tak funkcjonuje — fala wymagań umownych szybko narasta.

Trzy błędy, których należy unikać

Błąd 1: „Nie jesteśmy objęci NIS2, więc nas to nie dotyczy." To najczęstsze i najbardziej kosztowne nieporozumienie. Pana/Pani firma może nie być podmiotem NIS2, ale Pana/Pani klienci są. Ich obowiązki związane ze zgodnością stają się Pana/Pani zobowiązaniami umownymi. Ignorowanie tego oznacza utratę kontraktów.

Błąd 2: „Zajmiemy się tym, gdy dostaniemy umowę." Gdy dotrze aneks do umowy, klient oczekuje odpowiedzi w ciągu tygodni, nie miesięcy. Przeprowadzenie analizy luk, wdrożenie środków i udokumentowanie dowodów wymaga minimum 3–6 miesięcy. Zacznij zanim umowa dotrze.

Błąd 3: „Certyfikat ISO 27001 pokrywa wszystko." ISO 27001 to doskonała podstawa, ale NIS2 ma szczegółowe wymagania (terminy raportowania incydentów, kaskadowanie w łańcuchu dostaw, obowiązki zarządcze wynikające z Artykułu 20), które wykraczają poza ogólne zarządzanie bezpieczeństwem informacji. Użyj ram ISO jako punktu wyjścia, a następnie zmapuj luki specyficzne dla NIS2.

Kluczowe wnioski

• Artykuł 21(2)(d) NIS2 i Artykuł 5.1.4 Rozporządzenia Wykonawczego 2024/2690 sprawiają, że klauzule cyberbezpieczeństwa w umowach z dostawcami są prawnie obowiązkowe dla podmiotów regulowanych.
• MŚP dostarczające do podmiotów NIS2 są pośrednio objęte zakresem przez wymagania umowne — nawet jeśli same nie są podmiotami NIS2.
• Efekt kaskadowy jest realny: wymagania przepływają od podmiotu regulowanego do dostawcy i do podwykonawcy, co najmniej dwa poziomy w dół.
• Przygotowanie jest przewagą konkurencyjną. Firmy, które potrafią wykazać bezpieczeństwo zgodne z NIS2, wygrywają kontrakty. Te, które nie potrafią — tracą je.
• Kary dla podmiotów regulowanych przez NIS2 mogą sięgać 10 milionów euro lub 2% globalnych obrotów. Mają one silne bodźce finansowe, aby zapewnić zgodność swoich dostawców — i zastępować tych, którzy jej nie spełniają.

---

Źródła: DLA Piper — NIS2 Directive Explained Part 3: Supply Chain Security, DIESEC — NIS2 for SMEs, Turing Law — NIS2 and Contracting, EU Implementing Regulation 2024/2690, NIS2 Directive 2022/2555 Article 21(2)(d).