BlogCiągłość Działania (Business Continuity)Cyberbezpieczeństwo i ComplianceDevOps i Administracja ITInfrastruktura i HostingStrategia i Trendy IT

Jak ocenić dostawcę hostingu lub usług IT pod kątem NIS2 i DORA

27 mar, 2026
Jak ocenić dostawcę hostingu lub usług IT pod kątem NIS2 i DORA

Mamy 2026 rok. Czas na „przygotowania” bezpowrotnie minął, a okresy przejściowe dla unijnych dyrektyw to już historia. Kary za brak zgodności przestały być tylko teoretycznym straszakiem na slajdach z prezentacji, a stały się realnym zagrożeniem dla budżetów i reputacji firm.

Wielu prezesów i dyrektorów IT żyje jednak w niebezpiecznej iluzji: „Przecież trzymamy dane w chmurze, nasz dostawca na pewno ma to ogarnięte”.

Niestety, organy nadzorcze weryfikują to bezwzględnie. Zgodnie z unijnym prawem, bezpieczeństwo Twojej firmy kończy się tam, gdzie zaczyna się najsłabsze ogniwo w Twoim łańcuchu dostaw. Jeśli Twój dostawca hostingu, oprogramowania SaaS lub zewnętrzny administrator IT zaliczy wpadkę, to Ty ponosisz odpowiedzialność (i płacisz karę).

Jak zatem przestać wierzyć na słowo i skutecznie zweryfikować partnera technologicznego? Oto sprawdzony przewodnik.

Dlaczego weryfikacja dostawcy IT to Twój obowiązek (a nie opcja)?

Zarówno dyrektywa NIS2 (dotycząca szeroko pojętego cyberbezpieczeństwa i kluczowych sektorów gospodarki), jak i rozporządzenie DORA (skupiające się na cyfrowej odporności operacyjnej sektora finansowego) kładą gigantyczny nacisk na bezpieczeństwo łańcucha dostaw.

Możesz mieć idealnie wdrożone procedury u siebie, ale jeśli firma hostingowa utrzymująca Twój sklep lub system CRM nie spełnia standardów, Twój compliance jest fikcją. Niezależnie od tego, czy musisz najpierw sprawdzić, czy Twoja firma podlega pod NIS2, czy od dawna wiesz, jaki jest Twój status prawny – odpowiadasz za to, komu powierzasz dane i procesy krytyczne.

5 kluczowych obszarów oceny dostawcy usług IT i hostingu

Ocenę partnera technologicznego najlepiej potraktować jak mini-audyt. Czego dokładnie powinieneś od niego wymagać?

1. Zarządzanie incydentami i rygorystyczne SLA

NIS2 jest bezlitosne w kwestii czasu: masz 24 godziny na wczesne ostrzeżenie i 72 godziny na pełne zgłoszenie incydentu.

  • O co zapytać dostawcę? Czy jego SLA (Service Level Agreement) gwarantuje Ci powiadomienie o incydencie w jego infrastrukturze w czasie, który pozwoli Ci spełnić Twój obowiązek prawny? Jeśli dostawca informuje klientów o wycieku po tygodniu, automatycznie łamiesz prawo.

2. Odporność operacyjna (Business Continuity i Disaster Recovery)

Regulacje nie wymagają, aby systemy nigdy nie padały (to technicznie niemożliwe), ale wymagają, aby szybko i sprawnie wstawały z kolan.

  • O co zapytać dostawcę? Jak często testowane są plany odzyskiwania danych? Gdzie fizycznie znajdują się kopie zapasowe (reguła 3-2-1)? Szczególnie instytucje finansowe muszą bardzo restrykcyjnie podchodzić do wymogów DORA dla dostawców ICT, gdzie testowanie odporności jest fundamentem.

3. Transparentność i audytowalność (Prawo do audytu)

Nie możesz polegać wyłącznie na ładnych zapewnieniach na stronie internetowej dostawcy.

  • O co zapytać dostawcę? Czy w umowie znajduje się „klauzula prawa do audytu” (Right to Audit)? Poważny dostawca pozwoli Ci (lub wynajętej przez Ciebie firmie trzeciej) na weryfikację swoich zabezpieczeń. Często odbywa się to poprzez udostępnienie najnowszych wyników niezależnych testów penetracyjnych lub certyfikacji (np. ISO 27001, SOC 2 Type II).

4. Podwykonawcy Twojego dostawcy

Łańcuch dostaw ma wiele ogniw. Twój dostawca usług IT prawdopodobnie też korzysta z cudzych serwerów, zewnętrznych baz danych czy podwykonawców (freelancerów) do obsługi ticketów.

  • O co zapytać dostawcę? Kto ma dostęp do Twoich danych? Czy dostawca stosuje te same rygorystyczne zasady wobec swoich podwykonawców? Jeśli tak, zażądaj na to dowodów. Prawidłowe wdrożenie NIS2 w serwerowni i u dostawcy hostingu to proces, który musi obejmować cały cykl życia danych.

5. Zarządzanie tożsamością i architektura Zero Trust

Konta o wysokich uprawnieniach (tzw. konta administracyjne) u Twojego dostawcy to potencjalnie najszybsza droga do przejęcia Twojej infrastruktury przez cyberprzestępców.

  • O co zapytać dostawcę? Czy dostawca wymusza sprzętowe klucze U2F (MFA) dla swoich administratorów? Czy logi dostępowe są retencjonowane i monitorowane w modelu 24/7 (np. przez usługę SOC)?

Nie wiesz od czego zacząć? Zrób Gap Analysis

Pamiętaj, że w zależności od klasyfikacji Twojej firmy, organ nadzorczy będzie podchodził do Ciebie z różną surowością. Różnice między tym, jak traktowany jest podmiot kluczowy a ważny w NIS2, wpływają na to, czy czeka Cię audyt prewencyjny (ex-ante), czy dopiero kontrola po ewentualnym incydencie (ex-post). Niezależnie od statusu, odpowiedzialność za dobór dostawców jest taka sama.

Jeśli chcesz zweryfikować swoich partnerów IT, najlepiej zacząć od kompleksowego przeglądu. Profesjonalny audyt NIS2 lub dedykowany audyt DORA to narzędzia, które nie tylko wykażą błędy, ale przede wszystkim dadzą Ci mapę drogową do ich naprawienia.

Kto ma to wszystko zweryfikować? Rola vCISO

Weryfikacja umów SLA, architektury chmurowej i raportów z pentestów dostawców wymaga głębokiej wiedzy technicznej i prawnej. Zatrudnienie na pełen etat doświadczonego Dyrektora ds. Cyberbezpieczeństwa (CISO) to dziś ogromny koszt i wielomiesięczny proces rekrutacyjny.

Dlatego w 2026 roku standardem staje się korzystanie z zewnętrznego eksperta – wsparcie vCISO (Virtual Chief Information Security Officer) pozwala zyskać dostęp do kompetencji na poziomie „C-level” w ułamku kosztów etatu. To vCISO weźmie na siebie trudne negocjacje z dostawcami IT, przeanalizuje ich infrastrukturę i zagwarantuje zarządowi, że firma działa zgodnie z literą prawa.

Podsumowanie: Audyt dostawcy to inwestycja, nie koszt

Rok 2026 nie wybacza już technicznego długu w obszarze compliance. Twoi klienci oczekują bezpieczeństwa, a urzędnicy twardych dowodów. Weryfikacja dostawców hostingu i usług IT to fundament, bez którego żaden wewnętrzny system bezpieczeństwa nie ma racji bytu.

Rozumiem, że lawirowanie między wymogami IT a językiem prawniczym bywa frustrujące i stresujące. Prawda jest jednak taka, że nie musisz (i nie powinieneś) robić tego sam.

Czy chciałbyś, abym umówił Cię na darmową, niezobowiązującą konsultację, podczas której nasi inżynierowie i audytorzy sprawdzą, czy Twoi dostawcy IT stanowią zagrożenie dla Twojego biznesu? Jeśli tak to skontaktuj się z nami!

Przeczytaj również:

  1. Sztuczna inteligencja AI w SOC – jak machine learning wspiera wykrywanie zagrożeń
  2. Bezpieczny sklep WooCommerce – konfiguracja, wtyczki i ochrona
  3. Przygotowanie firmy na ransomware 2026 – aktualne zagrożenia i strategie obrony
  4. Testy wydajnościowe strony i sklepu – co mierzyć przed kampanią reklamową?
  5. Metodyka MLOps w codziennej praktyce – Krytyczna rola zdalnego administratora w utrzymaniu pełnego cyklu życia modeli AI
  6. NIS2 w branży TSL – Jak przygotować firmę transportową na obowiązkowy audyt cyberbezpieczeństwa w 2026 roku?