Usługa NOXVERI

Audyt dostawców IT i zarządzanie ryzykiem stron trzecich

Kwestionariusz wysłany do dostawcy nie mówi nic o jego rzeczywistym poziomie bezpieczeństwa. NOXVERI ocenia ryzyko tam, gdzie jest ono realne — i buduje strukturę do zarządzania nim w czasie.

TPRM third-party risk vendor security supply chain NIS2 DORA due diligence vendor audit

Problem

Większość organizacji robi TPRM formularzowo. To daje fałszywe poczucie bezpieczeństwa.

Kwestionariusz wysłany do dostawcy nie mówi nic o rzeczywistym poziomie jego bezpieczeństwa. Mówi jedynie o tym, jak dobre ma polityki i jak bardzo stara się wypaść dobrze w ankiecie. Tymczasem najpoważniejsze incydenty bezpieczeństwa coraz częściej zaczynają się nie u ofiary, ale u jej dostawcy.

Nie weryfikuje jakości kontroli — odpowiedź "tak, mamy politykę zarządzania dostępem" nie mówi nic o tym, czy ta polityka jest przestrzegana, jak jest egzekwowana i czy ktokolwiek sprawdza wyjątki. Formularz mierzy deklaracje, nie rzeczywistość.
Nie uwzględnia zależności operacyjnych — dostawca może mieć niskie ryzyko samo w sobie, ale być krytyczny dla ciągłości Twojego działania. Klasyfikacja ryzyka bez uwzględnienia zależności operacyjnych daje mylący obraz priorytetów.
Nie identyfikuje ekspozycji — jakie dane dostawca przetwarza, do jakich systemów ma dostęp, jakie zagrożenia są specyficzne dla jego profilu i relacji z Twoją organizacją. Te pytania rzadko pojawiają się w standardowych kwestionariuszach.
Nie spełnia wymagań NIS2 — art. 21 NIS2 wymaga uwzględnienia bezpieczeństwa łańcucha dostaw w środkach zarządzania ryzykiem. Kwestionariusz nie wystarczy — regulator oczekuje udokumentowanej oceny ryzyka, nie listy odpowiedzi "tak/nie".

Pytanie, które warto zadać szczerze: gdyby Twój najważniejszy dostawca był dziś skompromitowany — czy Twój program TPRM wskazałby to wcześniej jako scenariusz wysokiego ryzyka? Jeśli uczciwa odpowiedź brzmi "nie", program nie zarządza ryzykiem — zarządza dokumentacją faktu, że pytania zostały zadane.

Podejście NOXVERI

Od listy dostawców do modelu ryzyka opartego na realnej ekspozycji

Nie zastępujemy kwestionariuszy — oceniamy ryzyko tam, gdzie jest ono realne. Koncentrujemy się na dostawcach kluczowych i na zrozumieniu tego, co naprawdę jest na szali. Struktura, którą budujemy, musi być możliwa do utrzymania przez organizację po zakończeniu zaangażowania NOXVERI.

Inwentaryzacja i klasyfikacja dostawców — ustalamy, którzy dostawcy są krytyczni: z perspektywy ciągłości operacyjnej, dostępu do danych wrażliwych, ekspozycji regulacyjnej i zagrożeń specyficznych dla sektora. Większość organizacji nie ma tej listy w wiarygodnej, aktualnej formie — to częsty punkt startowy.
Ocena bezpieczeństwa dostawców kluczowych — dla dostawców o wysokim ryzyku lub krytycznym znaczeniu: analiza umów pod kątem wymagań bezpieczeństwa, przegląd dostępnej dokumentacji bezpieczeństwa, wywiady techniczne, ocena faktycznych kontroli. Nie kwestionariusz — realna ocena ekspozycji i jakości zabezpieczeń.
Model ryzyka stron trzecich — struktura do zarządzania ryzykiem dostawców w czasie: kryteria klasyfikacji dopasowane do organizacji, progi wymagań dla każdej kategorii, cykl przeglądów, procedury eskalacji i warunki zakończenia współpracy. Dopasowany do skali — nie jeden szablon dla wszystkich.
Rekomendacje kontraktowe i operacyjne — co wymagać od dostawcy w umowie: SLA bezpieczeństwa, prawo do audytu, obowiązek notyfikacji incydentów w określonym czasie, wymagania wobec podwykonawców. Jak monitorować dostawcę między przeglądami. Kiedy eskalować, a kiedy rozważyć zakończenie współpracy.

Najgorsze incydenty bezpieczeństwa często nie zaczynają się u ofiary — zaczynają się u jej dostawcy. SolarWinds, Kaseya, MOVEit — to nie są anomalie, to wzorzec. TPRM, które nie identyfikuje realnej ekspozycji i nie ocenia jakości kontroli u dostawców kluczowych, nie chroni przed tym wzorcem. Daje jedynie dokumentację, że pytania zostały zadane.

Wymagania regulacyjne

Wymagania regulacyjne dotyczące ryzyka stron trzecich

Wymagania regulacyjne dotyczące zarządzania ryzykiem dostawców stają się coraz bardziej konkretne. Nie wystarczy już ogólna polityka TPRM — regulatorzy oczekują udokumentowanego procesu oceny, rejestrów i dowodów na realizację przeglądów.

NIS2 (art. 21) — podmioty kluczowe i ważne muszą uwzględnić bezpieczeństwo łańcucha dostaw w środkach zarządzania ryzykiem cyberbezpieczeństwa. Dotyczy to zarówno dostawców usług ICT, jak i innych dostawców krytycznych dla działalności. Wymagane są umowy z klauzulami bezpieczeństwa i dokumentowana ocena ryzyka.
DORA (rozdz. V) — szczegółowe wymagania dotyczące zarządzania ryzykiem dostawców ICT: rejestr dostawców ICT, ocena ryzyka przed nawiązaniem i w trakcie współpracy, umowy z wymaganymi klauzulami bezpieczeństwa (w tym prawa do audytu i notyfikacja incydentów), udokumentowana exit strategy dla dostawców krytycznych, nadzór regulatora nad dostawcami kluczowymi dla sektora.
ISO 27001 (Annex A — A.5.19–A.5.22) — wymagania dotyczące bezpieczeństwa w relacjach z dostawcami: ustalenie wymagań bezpieczeństwa przed nawiązaniem współpracy, umowy z odpowiednimi postanowieniami, monitorowanie zgodności, zarządzanie zmianami u dostawców i zakończeniem współpracy.
TISAX — dla sektora motoryzacyjnego: ocena bezpieczeństwa dostawców i podwykonawców jako wymóg programu TISAX. Organizacje certyfikowane TISAX muszą zapewnić, że ich dostawcy spełniają określone wymagania bezpieczeństwa — i udokumentować tę weryfikację.

Dla kogo

Dla kogo ta usługa jest najbardziej wartościowa

01 · Kontekst

Organizacje z dużą liczbą dostawców IT

Firmy, które mają dziesiątki lub setki dostawców i nie mają struktury do oceny ich ryzyka w sposób inny niż formularzowy. NOXVERI pomaga zbudować klasyfikację, skupić uwagę i zasoby tam, gdzie ryzyko jest realne, i stworzyć strukturę możliwą do utrzymania przez wewnętrzny zespół.

02 · Kontekst

Organizacje regulowane

Podmioty kluczowe i ważne wg NIS2, instytucje finansowe pod DORA, firmy certyfikowane ISO 27001 lub TISAX. Wymagania regulacyjne dotyczące łańcucha dostaw stają się coraz bardziej szczegółowe i egzekwowalne. Formularzowe TPRM przestaje wystarczać jako dowód należytej staranności.

03 · Kontekst

Firmy po incydencie lub w trakcie M&A

Po incydencie związanym z dostawcą warto wiedzieć, które inne relacje niosą podobne ryzyko. Przed przejęciem lub po nim — due diligence bezpieczeństwa dostawców jako element transakcji: jakie ryzyka stron trzecich są w portfelu przejmowanej organizacji i ile kosztuje ich zamknięcie.

04 · Kontekst

Organizacje budujące program TPRM od podstaw

Tam, gdzie obecne podejście jest czysto formularzowe i wiadomo, że to niewystarczające — ale nie wiadomo, od czego zacząć przebudowy. NOXVERI pomaga zaprojektować strukturę TPRM, która realnie zarządza ryzykiem, a nie generuje papierową dokumentację procesu. Łącznie z klasyfikacją dostawców, kryteriami oceny i cyklem przeglądów możliwym do utrzymania przez wewnętrzny zespół po zakończeniu zaangażowania NOXVERI.