Dostawcy najsłabszym ogniwem. Polskie firmy odstają od wymogów NIS2

10 kwi 2026
cyberbezpieczeństwo firma nis2 / cyberbezpieczeństwo firma nis2 / Shutterstock

Łańcuch dostaw pozostaje największą słabością firm w Polsce – jego poziom zaawansowania jest niski, a jednocześnie dla blisko 40 proc. organizacji to najbardziej niejasny obszar NIS2. Taka kombinacja zwiększa ryzyko poważnych problemów, co potwierdza badanie Business Growth Review na grupie 1018 dużych przedsiębiorstw.

Dostawcy najsłabszym ogniwem cyberbezpieczeństwa

Wyniki badania Business Growth Review przeprowadzonego wśród 1018 dużych firm, zatrudniających ponad 300 pracowników, pokazują wyraźny niepokojący obraz: bezpieczeństwo dostawców to jedyny obszar dojrzałości cyberbezpieczeństwa, który nie przekracza granicy 3,0 punktów w pięciostopniowej skali. Dla porównania, polityki i procedury osiągają 3,63, wdrożenie IAM/MFA/PAM – 3,53, a kopie zapasowe z testami odtwarzania – 3,57. Dostawcy zostali daleko w tyle za pozostałymi obszarami bezpieczeństwa.

W praktyce oznacza to, że 28,8 proc. firm praktycznie nie zarządza ryzykiem cybernetycznym swoich dostawców – nie stawia wymagań umownych, nie prowadzi audytów bezpieczeństwa, czy też nie monitoruje poziomu ochrony partnerów biznesowych. Kolejne 44,9 proc. robi to jedynie częściowo, bez systemowego podejścia i sformalizowanych procedur. Kompleksowe zarządzanie ryzykiem dostawców – z audytami, SLA i procedurą zgłaszania incydentów – stosuje zaledwie co czwarta firma (26,3 proc.).

„Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2 – faktycznie świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami. Organizacje, które jeszcze nie rozpoczęły prac albo są we wstępnej fazie, powinny zacząć od uporządkowania własnej wiedzy o sobie, zdefiniowania luk organizacyjno-procesowych, od identyfikacji ryzyk, systemów, procesów, ról i odpowiedzialności, a dopiero potem sięgać po rozwiązania techniczne będące narzędziem do zapewnienia bezpieczeństwa i ciągłości działania swoich usług” mówi Cyprian Gutkowski, prawnik, CISO w sektorze finansowym i zdrowia, ekspert w obszarze zapewnienia zgodności z przepisami prawa i regulacjami branżowymi w firmie Trecom.

Firmy bez kontroli nad ryzykiem w łańcuchu dostaw

Ataki przez łańcuch dostaw to jeden z najszybciej rosnących wektorów zagrożeń na świecie. Dyrektywa NIS2 nie bez powodu czyni z bezpieczeństwa dostawców jeden z kluczowych filarów regulacji, wymagając od firm objętych dyrektywą uwzględnienia ryzyka całego łańcucha dostaw w swoich politykach bezpieczeństwa. Badanie pokazuje jednak, że polskie firmy są na to ewidentnie nieprzygotowane.

Problem potęguje słabość w reagowaniu na incydenty. Dojrzałość w obszarze incident response i ćwiczeń to zaledwie 3,21/5 – drugi najniższy wynik w całym badaniu. Aż 38,3 proc. firm nie ma zdefiniowanych progów "poważnego incydentu" lub nie wie, czy je posiada, a 20,2 proc. nie ma nawet procedury raportowania incydentów. W sytuacji ataku przez dostawcę brak jasnej klasyfikacji oznacza opóźnienie reakcji i zgłoszenia – a NIS2 wymaga wstępnej notyfikacji w ciągu zaledwie 24 godzin.

Firmy mają świadomość problemu – 32,7 proc. wskazuje zarządzanie dostawcami jako obszar wymagający wsparcia zewnętrznego. Jednak deklaracje nie przekładają się na działania. Braki kadrowe (57,3 proc. wskazań) i deficyt kompetencji prawnych i compliance (41,1 proc.) skutecznie blokują postępy. Dochodzi do tego dług technologiczny wskazywany przez 41,8 proc. firm jako istotna bariera wdrożeniowa.

Rosnące zagrożenie i brak gotowości na ataki przez partnerów

„Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem. Model ten pozwala nie tylko ograniczyć koszty stałe, ale także uzyskać dostęp do specjalistycznych kompetencji i nowoczesnych technologii, które trudno zbudować wyłącznie w oparciu o własne zasoby. Wierzę, że przedsiębiorstwa nie będą patrzyły na NIS2 jako na uciążliwy obowiązek, ale dostrzegą liczne, długofalowe korzyści wynikające z wprowadzenia zmian regulacyjnych. Bezpieczny ekosystem usług cyfrowych w Polsce pozwoli zadbać nie tylko o kluczowe sektory, ale przyczyni się do rozwoju całej gospodarki” mówi Marcin Lebiecki, wiceprezes zarządu Asseco Cloud.

Skala zagrożeń jest wyraźna: aż 67,8 proc. firm doświadczyło co najmniej jednego istotnego incydentu cybernetycznego w ciągu ostatnich 12 miesięcy, w tym 24,4 proc. odnotowało od trzech do pięciu, a 11,4 proc. – sześć lub więcej. Przy tak niskim poziomie zarządzania bezpieczeństwem dostawców i gotowością do reagowania, pytanie nie brzmi, czy dojdzie do poważnego incydentu w łańcuchu dostaw, ale kiedy to nastąpi.

Wyniki badania wskazują, że konieczna jest zmiana podejścia – od reaktywnego do systemowego. Firmy, które nie zaczną traktować bezpieczeństwa łańcucha dostaw jako priorytetu strategicznego, narażają się nie tylko na kary regulacyjne, ale przede wszystkim na straty biznesowe wynikające z kompromitacji przez partnera.

Na stronie Business Growth Review mozna skorzystać z narzędzia online do oceny zgodności z NIS2. Pełny raport do pobrania za darmo z tej strony.

Metodologia: Badanie CAWI, n=1018, firmy 300+ pracowników prowadzące działalność w Polsce. 15 sektorów. Respondenci: CISO, CIO, zarząd, compliance, OT. Badanie wykonane w dniach 9 stycznia – 6 lutego 2026 r.

NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa

Moja firma
B2B i umowy zlecenia wliczane do stażu pracy 2026. Nadchodzi zmiana społecznego postrzegania freelancingu
29 maja 2026

B2B i umowy zlecenia wliczane do stażu pracy od stycznia 2026 r. w sektorze publicznym i od maja 2026 r. w sektorze prywatnym. Nowe przepisy podnoszą rangę innych niż umowa o pracę form zarobkowania. Nadchodzi zmiana społecznego postrzegania freelancingu.

Większościowy udziałowiec może być bez ZUS?
30 maja 2026

Problematyka podlegania ubezpieczeniom społecznym przez wspólników spółek z ograniczoną odpowiedzialnością od lat budzi istotne wątpliwości praktyczne. Szczególne kontrowersje dotyczyły sytuacji wspólników dominujących, posiadających niemal całość udziałów w spółce, którzy w praktyce sprawują pełną kontrolę nad jej działalnością.

Sukcesja bez rodzinnej wojny. Czy polski biznes jest gotowy? [Gość INFOR.PL]
29 maja 2026

W ciągu zaledwie trzech lat fundacje rodzinne stały się jednym z najważniejszych tematów w polskim biznesie rodzinnym. Dla jednych są szansą na uporządkowanie kwestii majątkowych, dla innych – początkiem trudnych rozmów. Jak jednak podkreślała Agnieszka Dziewicka, Head of Family Office w Bank Pekao S.A., fundacja rodzinna nie jest prostym narzędziem do „optymalizacji podatkowej”, ale długofalowym projektem budowania rodzinnego dziedzictwa.

Czy dziś firma musi podejmować działania charytatywne, aby była doceniana i konkurencyjna? [WYWIAD]
28 maja 2026

Czy dziś firma musi podejmować działania charytatywne, aby była doceniana i konkurencyjna? Co można zyskać jako przedsiębiorstwo poprzez działania z zakresu społecznej odpowiedzialności biznesu? Jaką formę działalności wybrać? Na nasze pytania odpowiada dyrektor Biegu Poland Business Run, Kamil Bąbel.

Kontrahent nie wykonał umowy - odstąpienie, odszkodowanie czy kara umowna? Praktyczny przewodnik dla firm
28 maja 2026

Kontrahent nie dowiózł? Nie wykonał usługi? Nie dostarczył towaru? Przestał odbierać telefonu? Wysłał lakoniczne „pracujemy nad tym”, choć termin minął dwa tygodnie temu? I teraz pojawia się klasyczne pytanie przedsiębiorcy: co robić? Odstąpić od umowy? Żądać odszkodowania? Naliczyć karę umowną? A może wszystko naraz?

Branża logistyczna walczy o pracowników. Najtrudniej znaleźć kierowców i operatorów
28 maja 2026

Operatorzy wózków widłowych i maszyn, kierowcy oraz spedytorzy należą do najtrudniejszych do obsadzenia stanowisk w logistyce – wynika z opublikowanego raportu ManpowerGroup. Blisko 70 proc. firm z tej branży w ciągu ostatnich 6 miesięcy miało problemy z rekrutacją nowych pracowników.

Poland Business Run 2026 - największa charytatywna sztafeta biznesowa w Polsce. Zapis do 10 czerwca
27 maja 2026

Trwają zapisy na Poland Business Run 2026. To największa charytatywna sztafeta biznesowa w Polsce. Firmy i inne zespoły mogą zgłosić swój udział tylko do 10 czerwca 2026 r.

Droższy diesel uderza w przedsiębiorców. Firmy transportowe pod presją rosnących kosztów paliwa
27 maja 2026

W przeciwieństwie do prywatnych kierowców przedsiębiorcy w większości korzystają z diesla, którego cena wzrosła w większym stopniu, a także nie wpływa na nich obniżka VAT, który i tak odliczają - czytamy w „Dzienniku Gazecie Prawnej”.

Do 18 czerwca 2026 rejestracja i aktualizacja zakładów utrzymujących zwierzęta w PIW, do tego aplikacja IRZplus. Dotyczy nawet pszczelarzy
25 maja 2026

Agencja Restrukturyzacji i Modernizacji Rolnictwa przypomina: ustawa z 18 marca 2026 nakłada nowe obowiązki na posiadaczy zwierząt gospodarskich. Do 18 czerwca 2026 musisz zarejestrować zakład lub zaktualizować dane w Powiatowym Inspektoracie Weterynarii (PIW). Dotyczy to hodowców bydła, świń, koni, drobiu, owiec, kóz, a nawet pszczelarzy. Sprawdź, co musisz zrobić i jak to załatwić.

Gwałtownie rośnie liczba sukcesji. Czy firmy poradzą sobie z największą od dekad zmianą pokoleniową w biznesie?
25 maja 2026

W Polsce gwałtownie rośnie liczba sukcesji. Czy firmy poradzą sobie z największą od dekad zmianą pokoleniową w biznesie? Przedsiębiorcy są świadomi problemu, bo aż 70% z nich przyznaje, że planowanie przekazania sterów przedsiębiorstwa i umacnianie ładu rodzinnego to jeden z ich priorytetów na najbliższe 5 lat.

pokaż więcej
Proszę czekać...