Łańcuch dostaw pozostaje największą słabością firm w Polsce – jego poziom zaawansowania jest niski, a jednocześnie dla blisko 40 proc. organizacji to najbardziej niejasny obszar związany z dyrektywą NIS2. Taka kombinacja zwiększa ryzyko poważnych problemów, co potwierdza badanie Business Growth Review przeprowadzone na grupie 1018 dużych przedsiębiorstw.
Dostawcy: Najsłabsze Ogniwo Cyberbezpieczeństwa w Twojej Firmie
Wyniki badania Business Growth Review, przeprowadzonego wśród 1018 dużych firm zatrudniających ponad 300 pracowników, prezentują niepokojący obraz: bezpieczeństwo dostawców to jedyny obszar dojrzałości cyberbezpieczeństwa, który nie przekracza granicy 3,0 punktów w pięciostopniowej skali. Dla porównania, polityki i procedury osiągają 3,63, wdrożenie IAM/MFA/PAM – 3,53, a kopie zapasowe z testami odtwarzania – 3,57. Pozycja dostawców w kontekście bezpieczeństwa cyfrowego jest wyraźnie niższa od pozostałych obszarów.
W praktyce oznacza to, że 28,8 proc. firm praktycznie nie zarządza ryzykiem cybernetycznym swoich dostawców – nie stawia wymagań umownych, nie prowadzi audytów bezpieczeństwa ani nie monitoruje poziomu ochrony swoich partnerów biznesowych. Kolejne 44,9 proc. robi to jedynie częściowo, bez systemowego podejścia i sformalizowanych procedur. Kompleksowe zarządzanie ryzykiem dostawców – obejmujące audyty, umowy SLA i procedurę zgłaszania incydentów – stosuje zaledwie co czwarta firma (26,3 proc.).
„Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2 – świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami. Organizacje, które jeszcze nie rozpoczęły prac lub są we wstępnej fazie, powinny zacząć od uporządkowania własnej wiedzy o sobie, zdefiniowania luk organizacyjno-procesowych, identyfikacji ryzyk, systemów, procesów, ról i odpowiedzialności, a dopiero potem sięgać po rozwiązania techniczne, które są narzędziem do zapewnienia bezpieczeństwa i ciągłości działania usług” – komentuje Cyprian Gutkowski, prawnik, CISO w sektorze finansowym i zdrowia, ekspert w obszarze zgodności z przepisami prawa i regulacjami branżowymi w firmie Trecom.
Firmy Bez Efektywnej Kontroli nad Ryzykiem w Łańcuchu Dostaw
Ataki przez łańcuch dostaw to jeden z najszybciej rosnących wektorów zagrożeń na świecie. Dyrektywa NIS2 nie bez powodu czyni z bezpieczeństwa dostawców jeden z kluczowych filarów regulacji, wymagając od firm objętych dyrektywą uwzględnienia ryzyka całego łańcucha dostaw w swoich politykach bezpieczeństwa. Badanie pokazuje jednak, że polskie firmy są na to ewidentnie nieprzygotowane.
Problem potęguje słabość w reagowaniu na incydenty. Dojrzałość w obszarze incident response i ćwiczeń to zaledwie 3,21/5 – drugi najniższy wynik w całym badaniu. Aż 38,3 proc. firm nie ma zdefiniowanych progów „poważnego incydentu” lub nie wie, czy je posiada, a 20,2 proc. nie ma nawet procedury raportowania incydentów. W sytuacji ataku przez dostawcę, brak jasnej klasyfikacji oznacza opóźnienie reakcji i zgłoszenia – a NIS2 wymaga wstępnej notyfikacji w ciągu zaledwie 24 godzin.
Firmy mają świadomość problemu – 32,7 proc. wskazuje zarządzanie dostawcami jako obszar wymagający wsparcia zewnętrznego. Jednak deklaracje nie przekładają się na działania. Braki kadrowe (57,3 proc. wskazań) i deficyt kompetencji prawnych i compliance (41,1 proc.) skutecznie blokują postępy. Dochodzi do tego dług technologiczny, wskazywany przez 41,8 proc. firm jako istotna bariera wdrożeniowa.
Rosnące Zagrożenia i Brak Gotowości na Ataki przez Partnerów Biznesowych
„Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem. Model ten pozwala nie tylko ograniczyć koszty stałe, ale także uzyskać dostęp do specjalistycznych kompetencji i nowoczesnych technologii, które trudno zbudować wyłącznie w oparciu o własne zasoby. Wierzę, że przedsiębiorstwa nie będą patrzyły na NIS2 jako na uciążliwy obowiązek, ale dostrzegą liczne, długofalowe korzyści wynikające z wprowadzenia zmian regulacyjnych. Bezpieczny ekosystem usług cyfrowych w Polsce pozwoli zadbać nie tylko o kluczowe sektory, ale przyczyni się do rozwoju całej gospodarki” – mówi Marcin Lebiecki, wiceprezes zarządu Asseco Cloud.
Skala zagrożeń jest wyraźna: aż 67,8 proc. firm doświadczyło co najmniej jednego istotnego incydentu cybernetycznego w ciągu ostatnich 12 miesięcy, w tym 24,4 proc. odnotowało od trzech do pięciu, a 11,4 proc. – sześć lub więcej. Przy tak niskim poziomie zarządzania bezpieczeństwem dostawców i gotowością do reagowania, pytanie nie brzmi, czy dojdzie do poważnego incydentu w łańcuchu dostaw, ale kiedy to nastąpi.
Wyniki badania wskazują, że konieczna jest zmiana podejścia – od reaktywnego do systemowego. Firmy, które nie zaczną traktować bezpieczeństwa łańcuchu dostaw jako priorytetu strategicznego, narażają się nie tylko na kary regulacyjne, ale przede wszystkim na straty biznesowe wynikające z kompromitacji przez partnera.
Na stronie Business Growth Review można skorzystać z narzędzia online do oceny zgodności z NIS2. Pełny raport jest dostępny do pobrania za darmo z tej strony.
Metodologia: Badanie CAWI, n=1018, firmy z ponad 300 pracownikami prowadzące działalność w Polsce. Badanie obejmuje 15 sektorów. Respondenci to przedstawiciele CISO, CIO, zarządów, działów compliance oraz OT. Badanie przeprowadzono w dniach 9 stycznia – 6 lutego 2026 r.
Wyniki Biznes Fakty:
- Priorytetyzuj Bezpieczeństwo Dostawców: Zintegruj wymagania dotyczące cyberbezpieczeństwa z umowami z dostawcami, przeprowadzaj regularne audyty i monitoruj ich stan bezpieczeństwa. Nie traktuj tego jako formalności, ale jako strategiczny element ochrony Twojej firmy.
- Wzmocnij Procedury Reagowania na Incydenty: Zdefiniuj jasne progi „poważnego incydentu” i wdróż skuteczne procedury raportowania. Przetestuj te procedury poprzez symulacje, aby zapewnić szybką i adekwatną reakcję w przypadku ataku.
Na podstawie materiałów : mojafirma.infor.pl