Dostawcy najsłabszym ogniwem. Polskie firmy odstają od wymogów NIS2

Łańcuch dostaw pozostaje największą słabością firm w Polsce – jego poziom zaawansowania jest niski, a jednocześnie dla blisko 40 proc. organizacji to najbardziej niejasny obszar NIS2. Taka kombinacja zwiększa ryzyko poważnych problemów, co potwierdza badanie Business Growth Review na grupie 1018 dużych przedsiębiorstw.

Dostawcy najsłabszym ogniwem cyberbezpieczeństwa

Wyniki badania Business Growth Review przeprowadzonego wśród 1018 dużych firm, zatrudniających ponad 300 pracowników, pokazują wyraźny niepokojący obraz: bezpieczeństwo dostawców to jedyny obszar dojrzałości cyberbezpieczeństwa, który nie przekracza granicy 3,0 punktów w pięciostopniowej skali. Dla porównania, polityki i procedury osiągają 3,63, wdrożenie IAM/MFA/PAM – 3,53, a kopie zapasowe z testami odtwarzania – 3,57. Dostawcy zostali daleko w tyle za pozostałymi obszarami bezpieczeństwa.

W praktyce oznacza to, że 28,8 proc. firm praktycznie nie zarządza ryzykiem cybernetycznym swoich dostawców – nie stawia wymagań umownych, nie prowadzi audytów bezpieczeństwa, czy też nie monitoruje poziomu ochrony partnerów biznesowych. Kolejne 44,9 proc. robi to jedynie częściowo, bez systemowego podejścia i sformalizowanych procedur. Kompleksowe zarządzanie ryzykiem dostawców – z audytami, SLA i procedurą zgłaszania incydentów – stosuje zaledwie co czwarta firma (26,3 proc.).

„Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2 – faktycznie świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami. Organizacje, które jeszcze nie rozpoczęły prac albo są we wstępnej fazie, powinny zacząć od uporządkowania własnej wiedzy o sobie, zdefiniowania luk organizacyjno-procesowych, od identyfikacji ryzyk, systemów, procesów, ról i odpowiedzialności, a dopiero potem sięgać po rozwiązania techniczne będące narzędziem do zapewnienia bezpieczeństwa i ciągłości działania swoich usług” mówi Cyprian Gutkowski, prawnik, CISO w sektorze finansowym i zdrowia, ekspert w obszarze zapewnienia zgodności z przepisami prawa i regulacjami branżowymi w firmie Trecom.

Firmy bez kontroli nad ryzykiem w łańcuchu dostaw

Ataki przez łańcuch dostaw to jeden z najszybciej rosnących wektorów zagrożeń na świecie. Dyrektywa NIS2 nie bez powodu czyni z bezpieczeństwa dostawców jeden z kluczowych filarów regulacji, wymagając od firm objętych dyrektywą uwzględnienia ryzyka całego łańcucha dostaw w swoich politykach bezpieczeństwa. Badanie pokazuje jednak, że polskie firmy są na to ewidentnie nieprzygotowane.

Problem potęguje słabość w reagowaniu na incydenty. Dojrzałość w obszarze incident response i ćwiczeń to zaledwie 3,21/5 – drugi najniższy wynik w całym badaniu. Aż 38,3 proc. firm nie ma zdefiniowanych progów „poważnego incydentu” lub nie wie, czy je posiada, a 20,2 proc. nie ma nawet procedury raportowania incydentów. W sytuacji ataku przez dostawcę brak jasnej klasyfikacji oznacza opóźnienie reakcji i zgłoszenia – a NIS2 wymaga wstępnej notyfikacji w ciągu zaledwie 24 godzin.

Dalszy ciąg materiału pod wideo

Firmy mają świadomość problemu – 32,7 proc. wskazuje zarządzanie dostawcami jako obszar wymagający wsparcia zewnętrznego. Jednak deklaracje nie przekładają się na działania. Braki kadrowe (57,3 proc. wskazań) i deficyt kompetencji prawnych i compliance (41,1 proc.) skutecznie blokują postępy. Dochodzi do tego dług technologiczny wskazywany przez 41,8 proc. firm jako istotna bariera wdrożeniowa.

Rosnące zagrożenie i brak gotowości na ataki przez partnerów

„Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem. Model ten pozwala nie tylko ograniczyć koszty stałe, ale także uzyskać dostęp do specjalistycznych kompetencji i nowoczesnych technologii, które trudno zbudować wyłącznie w oparciu o własne zasoby. Wierzę, że przedsiębiorstwa nie będą patrzyły na NIS2 jako na uciążliwy obowiązek, ale dostrzegą liczne, długofalowe korzyści wynikające z wprowadzenia zmian regulacyjnych. Bezpieczny ekosystem usług cyfrowych w Polsce pozwoli zadbać nie tylko o kluczowe sektory, ale przyczyni się do rozwoju całej gospodarki” mówi Marcin Lebiecki, wiceprezes zarządu Asseco Cloud.

Skala zagrożeń jest wyraźna: aż 67,8 proc. firm doświadczyło co najmniej jednego istotnego incydentu cybernetycznego w ciągu ostatnich 12 miesięcy, w tym 24,4 proc. odnotowało od trzech do pięciu, a 11,4 proc. – sześć lub więcej. Przy tak niskim poziomie zarządzania bezpieczeństwem dostawców i gotowością do reagowania, pytanie nie brzmi, czy dojdzie do poważnego incydentu w łańcuchu dostaw, ale kiedy to nastąpi.

Wyniki badania wskazują, że konieczna jest zmiana podejścia – od reaktywnego do systemowego. Firmy, które nie zaczną traktować bezpieczeństwa łańcucha dostaw jako priorytetu strategicznego, narażają się nie tylko na kary regulacyjne, ale przede wszystkim na straty biznesowe wynikające z kompromitacji przez partnera.

Na stronie Business Growth Review mozna skorzystać z narzędzia online do oceny zgodności z NIS2. Pełny raport do pobrania za darmo z tej strony.

Metodologia: Badanie CAWI, n=1018, firmy 300+ pracowników prowadzące działalność w Polsce. 15 sektorów. Respondenci: CISO, CIO, zarząd, compliance, OT. Badanie wykonane w dniach 9 stycznia – 6 lutego 2026 r.