.svg)
Od 17 stycznia 2025 roku obowiązuje rozporządzenie DORA, które wraz z dyrektywą NIS2 i dyrektywą CER nakłada na firmy obowiązek sprawdzania, czy ich dostawcy rzeczywiście potrafią utrzymać ciągłość działania w sytuacjach kryzysowych.
Ta zmiana jest głębsza niż się wydaje. U podstaw wszystkich trzech regulacji leży jedna idea: usługi kluczowe dla gospodarki i bezpieczeństwa UE muszą działać bez zakłóceń. To założenie jest zapisane w preambułach i motywach każdej z tych regulacji, ale często jest pomijane podczas analizy konkretnych wymogów.
Skala zmian
Nowe regulacje obejmują znacznie więcej organizacji niż wcześniejsze przepisy. DORA dotyczy ponad 22 000 podmiotów finansowych i ich dostawców ICT. NIS2 rozszerzyła swój zakres z 20 000 na około 300 000 firm działających w 18 kluczowych sektorach. CER obejmuje podmioty krytyczne w 11 sektorach - od energetyki po żywność - choć państwa członkowskie mają czas do lipca 2026 na zidentyfikowanie konkretnych firm.
Badania największych firm doradczych pokazują problem: organizacje uważają naruszenia przez dostawców za największe zagrożenie, ale czują się na nie najmniej przygotowane. Tylko 2% firm wdrożyło cyberbezpieczeństwo w całej organizacji, według badania PwC obejmującego ponad 4000 dyrektorów z 77 krajów.
W poszczególnych krajach sytuacja wygląda różnie, ale wszędzie źle. W Irlandii 48% firm uznaje naruszenia przez dostawców za zagrożenie numer jeden. W Niemczech tylko 12% organizacji jest przygotowanych na tego typu ataki. W Szwajcarii prawie połowa dyrektorów obawia się ataków na usługi chmurowe.
Poniższa grafika jest dość długa, dalszy ciąg artykułu jest pod nią.
Od cyberbezpieczeństwa do odporności operacyjnej
Badania skupiają się na cyberbezpieczeństwie, ale prawdziwy problem jest szerszy. Każdy incydent - czy to cybernetyczny, czy fizyczny - może sparaliżować działanie firmy. Eksperci analizujący raporty często koncentrują się na konkretnych zagrożeniach, tracąc z oczu ich wpływ na całą organizację.
DORA traktuje dane jako niedostępne nie tylko gdy nie można do nich dotrzeć, ale też gdy zostanie naruszona ich poufność, integralność lub autentyczność. W praktyce oznacza to przerwanie procesów biznesowych. Dlatego kluczowe jest pojęcie "odporności operacyjnej" - zdolności do utrzymania działania mimo zakłóceń.
Trendy pokazują, że problem narasta. W 2022 roku tylko 40% firm rozumiało ryzyka związane z dostawcami. Jedna czwarta w ogóle nie analizowała tych zagrożeń. W 2024 roku straty danych dotknęły 28% organizacji - o 14% więcej niż rok wcześniej. W sektorze bankowym 75% dyrektorów ds. ryzyka uważa cyberbezpieczeństwo za główny problem na kolejny rok.
DORA: sektor finansowy jako pionier
DORA wprowadza zasadę, że ciągłość działania to podstawa zgodności z przepisami. Eksperci podkreślają: bez solidnych planów ciągłości przestrzeganie DORA staje się kosztowne i nieskuteczne. Artykuł 11 wprost wymaga od banków i innych firm finansowych stworzenia polityki ciągłości działania ICT.
Dla sektora finansowego to całkowita zmiana. Sprawdzanie dostawców przestaje być opcją, staje się prawnym obowiązkiem. 60% organizacji wdraża programy odporności operacyjnej właśnie z powodu nowych regulacji.
DORA idzie dalej: wprowadza osobistą odpowiedzialność zarządów. Nawet jeśli firma korzysta z zewnętrznych dostawców ICT, zarząd nadal odpowiada za zgodność z przepisami. Dyrektorzy muszą osobiście zatwierdzać strategie cyfrowej odporności i plany ciągłości działania. Jeśli coś pójdzie nie tak przez nieprzygotowanie dostawcy, zarząd może ponieść konsekwencje prawne.
Praktyczne wymagania są szczegółowe. Umowy z dostawcami ICT muszą określać, kto ma plany ciągłości działania, jak je testuje i jakie są cele czasowe odtworzenia systemów (RTO) i danych (RPO). Firmy muszą mieć prawo sprawdzić, czy dostawca rzeczywiście realizuje te zobowiązania.
Banki i inne firmy finansowe muszą stworzyć funkcję zarządzania ryzykiem dostawców, prowadzić rejestr informacji o nich i kontrolować, czy nie są zbyt zależne od jednego dostawcy. Przed podpisaniem umowy muszą dokładnie sprawdzić, jak dojrzałe są plany ciągłości działania przyszłego dostawcy i jak wypadły ich testy.
NIS2: szeroki zakres i zarządzanie łańcuchem dostaw
NIS2 ma inne podejście, ale równie wymagające. Organizacje muszą stworzyć polityki oceny bezpieczeństwa kluczowych dostawców. W przeciwieństwie do DORA, NIS2 nie podaje gotowych przepisów na umowy - każda firma musi sama ocenić ryzyko i dostosować wymagania.
Kluczowe jest sprawdzenie, czy dostawcy rzeczywiście potrafią utrzymać ciągłość działania, a nie tylko czy mają odpowiednie dokumenty. Firmy muszą wykazać organom nadzoru, że skutecznie zarządzają ryzykiem w łańcuchu dostaw. NIS2 pozwala też pociągnąć zarząd do odpowiedzialności - w skrajnych przypadkach dyrektorzy mogą dostać zakaz pełnienia funkcji zarządczych.
Zarządzanie ryzykiem dostawców stało się obowiązkowe. Każda firma musi zidentyfikować i ocenić ryzyka związane z dostawcami, wdrożyć odpowiednie środki bezpieczeństwa i stale je monitorować. NIS2 dodatkowo nakłada obowiązek uwzględniania ocen ryzyka prowadzonych na poziomie UE i krajowym - firmy nie mogą opierać się tylko na własnych standardach.
Szczególnie ważne jest to, że firmy muszą brać pod uwagę wyniki ocen bezpieczeństwa łańcuchów dostaw prowadzonych zgodnie z artykułem 22 NIS2. Oznacza to, że nawet idealne wdrożenie NIS2 może nie wystarczyć, jeśli w łańcuchu dostaw znajdzie się podmiot uznany za szczególnie ryzykowny.
CER: odporność infrastruktury krytycznej
CER dopełnia ten system, koncentrując się na odporności fizycznej podmiotów krytycznych. Firmy muszą przeprowadzać oceny ryzyka co najmniej co cztery lata, uwzględniając wszystkie zagrożenia - naturalne i spowodowane przez człowieka - które mogą zakłócić działanie.
Podmioty krytyczne muszą identyfikować zagrożenia i wdrażać środki ochrony dostosowane do poziomu ryzyka. W przypadku dostawców oznacza to sprawdzenie, czy ich plany ciągłości działania uwzględniają specyficzne wymogi CER: nie tylko cyberataki, ale też klęski żywiołowe, ataki terrorystyczne i sabotaż.
CER przechodzi od formalnej zgodności do rzeczywistej odporności. Zarządy podmiotów krytycznych ponoszą osobistą odpowiedzialność za skuteczne zarządzanie ryzykiem.
Co to oznacza w praktyce?
Nowe regulacje zmieniają zarządzanie dostawcami na trzech poziomach.
Nowe podejście do krytyczności. Firmy muszą przemyśleć, których dostawców uważają za krytycznych. Krytyczny dostawca to nie każdy partner, ale ten, którego awaria może sparaliżować działanie, zagrozić danym lub narazić usługi ważne dla społeczeństwa.
Od deklaracji do weryfikacji. Koniec z poleganiem na kwestionariuszach bezpieczeństwa. Firmy muszą sprawdzać rzeczywiste możliwości dostawców. Przegląd polityk i historii incydentów to tylko początek - liczy się praktyczne testowanie planów ciągłości działania i stałe monitorowanie gotowości na kryzys.
Dokumentacja jako ochrona. Audyt przestaje być formalnością, staje się ochroną prawną zarządu. Kompleksowa dokumentacja - od ocen ryzyka po plany reagowania - to prawna konieczność. Brak odpowiedniej dokumentacji może narazić zarząd na osobistą odpowiedzialność, jeśli dojdzie do poważnych zakłóceń.
Nowe przepisy ustanawiają jasną zasadę: jeśli firma nie zapewni ciągłości kluczowych usług, konsekwencje mogą wykraczać poza kary finansowe. Zarząd odpowiada osobiście za to, by systemy zarządzania ryzykiem dostawców działały w praktyce, nie tylko na papierze.
Badania EY potwierdzają tę zmianę: cyberbezpieczeństwo i ryzyko cyfrowe stały się najważniejszymi domenami ryzyka w organizacjach, czyniąc zarządzanie dostawcami centralnym elementem strategii biznesowej.
Wyzwania we wdrażaniu wymagań
Sukces zależy przede wszystkim od tego, kiedy firma zacznie przygotowania. Business Continuity Institute stwierdza jasno: organizacje, które działają wcześnie, mają znacznie mniej problemów. Pandemia COVID-19 to potwierdza - 67% firm, które miały gotowe plany ciągłości działania, skutecznie je wykorzystało.
Nowe regulacje tworzą efekt domina. Klienci objęci NIS2 przekazują wymogi bezpieczeństwa swoim dostawcom. W rezultacie standardy podnoszą się w całych łańcuchach dostaw, a firmy początkowo nieobjęte przepisami muszą się dostosować, żeby utrzymać klientów.
Dostawcy usług finansowych mogą z tego skorzystać. Przygotowanie standardowych dodatków DORA eliminuje długie negocjacje z każdym klientem i pokazuje gotowość do współpracy w nowym środowisku regulacyjnym.
Pragmatyzm w podejściu do zarządzania ryzykiem
DORA, NIS2 i CER tworzą nową erę zarządzania dostawcami. Sprawdzanie planów ciągłości działania przestaje być dobrą praktyką, staje się prawnym obowiązkiem. European Central Bank w systemie TARGET2 pokazuje, jak to robić - system został zbudowany na zasadzie "dwa regiony - cztery lokalizacje" z gwarancją wznowienia działania w ciągu dwóch godzin po awarii oraz regularnymi testami procedur ciągłości działania.
Mimo wyzwań ekonomicznych i niepewności geopolitycznej organizacje objęte nowymi regulacjami muszą przygotować się na znaczne inwestycje w systemy zarządzania ryzykiem dostawców. Firmy, które traktują regulacje tylko jako obciążenie, tracą z oczu fundamentalną zmianę: odporność operacyjna staje się przewagą konkurencyjną.
Skuteczne wdrożenie wymaga czasu, zasobów i systematycznego podejścia. Firmy, które zaczynają już teraz, zyskują podwójnie: osiągają zgodność z prawem i budują odporność na przyszłe wyzwania.
Kluczowe jest zrozumienie, że europejskie regulacje wykraczają poza formalną zgodność. Ich celem jest rzeczywista odporność usług, na których opiera się funkcjonowanie społeczeństwa. Zarządy, które koncentrują się tylko na spełnieniu wymogów na papierze, narażają swoje firmy na realne zakłócenia i siebie na prawne konsekwencje, gdy nierzetelna weryfikacja dostawców doprowadzi do poważnych problemów w świadczeniu kluczowych usług.
To nie tylko wyzwanie regulacyjne - to zmiana sposobu zarządzania ryzykiem w kolejnej dekadzie. Firmy, które zrozumieją tę zmianę i dostosują się wcześnie, zyskają przewagę. Te, które będą zwlekać, mogą znaleźć się w trudnej sytuacji.
Pobierz nasz poradnik „10 najczęstszych błędów w weryfikacji BCP dostawców usług ICT” i dołącz do elitarnego grona ForumEkspertów Odporności Operacyjnej
