Synergia Analytic Logo
NIS 2 i nacisk na łańcuch dostaw
Wszystkie artykuły
Aktualności

Łańcuch dostaw IT jako najsłabsze ogniwo administracji publicznej – ostrzeżenia ENISA

Cyberataki coraz częściej nie zaczynają się w samym urzędzie, lecz u jego dostawców. Raport ENISA pokazuje, że łańcuch dostaw IT stał się jednym z głównych wektorów ataku na administrację publiczną. Wyjaśniamy, dlaczego dostawcy technologii są dziś najsłabszym ogniwem i jakie obowiązki wynikają z tego dla instytucji publicznych.

Synergia Analytic19 grudnia 20252 min czytania34 wyświetleń
#ENISA#łańcuch dostaw#supply chain security#administracja publiczna#cyberbezpieczeństwo#NIS 2#dostawcy IT#zarządzanie ryzykiem#incydenty cybernetyczne

Czym jest atak przez łańcuch dostaw?

Ataki typu supply chain polegają na wykorzystaniu słabszego zabezpieczenia jednego z dostawców – producenta oprogramowania, integratora systemów, firmy serwisowej lub podwykonawcy – w celu uzyskania dostępu do systemów organizacji docelowej.

W administracji publicznej oznacza to, że nawet dobrze zabezpieczony urząd może zostać skompromitowany poprzez aktualizację oprogramowania, zdalny dostęp serwisowy lub nieprawidłowo zabezpieczone konto dostawcy.

Dlaczego administracja publiczna jest szczególnie narażona?

ENISA podkreśla, że instytucje publiczne korzystają z rozbudowanych i często wielopoziomowych łańcuchów dostaw. Obejmują one zarówno globalnych dostawców technologii, jak i lokalne firmy realizujące utrzymanie lub rozwój systemów.

Każdy dodatkowy podmiot w łańcuchu oznacza nowe ryzyko – inne standardy bezpieczeństwa, różny poziom dojrzałości organizacyjnej oraz ograniczoną możliwość realnego nadzoru ze strony administracji.

Typowe scenariusze ataków przez dostawców

Z raportu ENISA wynika, że ataki przez łańcuch dostaw często mają charakter pośredni i długofalowy. Najczęstsze scenariusze obejmują:

  • zainfekowane aktualizacje oprogramowania,
  • niekontrolowany zdalny dostęp serwisowy,
  • przejęcie kont pracowników firm zewnętrznych,
  • brak segmentacji dostępu dla podwykonawców.

Łańcuch dostaw a NIS 2

Dyrektywa NIS 2 wprost wskazuje na obowiązek uwzględniania bezpieczeństwa łańcucha dostaw w systemie zarządzania ryzykiem. Oznacza to, że administracja publiczna ponosi odpowiedzialność nie tylko za własne systemy, ale również za sposób doboru i nadzoru nad dostawcami.

W praktyce wymaga to m.in. weryfikacji dostawców, zapisów bezpieczeństwa w umowach, kontroli dostępu oraz monitorowania incydentów związanych z podmiotami trzecimi.

Wnioski dla administracji publicznej

Raport ENISA jasno pokazuje, że łańcuch dostaw IT jest jednym z najsłabszych ogniw cyberbezpieczeństwa administracji publicznej. Brak kontroli nad dostawcami może zniweczyć nawet najbardziej zaawansowane zabezpieczenia wewnętrzne.

Skuteczna ochrona wymaga holistycznego podejścia – od analizy ryzyka, przez procedury zakupowe, po bieżący nadzór nad relacjami z podmiotami zewnętrznymi. W realiach NIS 2 nie jest to już dobra praktyka, lecz obowiązek.

Źródło: ENISA, ENISA Sectorial Threat Landscape – Public Administration

Udostępnij:
Sprawdź swój przypadek

Zobacz również

Państwowe grupy APT i cyberespionage – ciche zagrożenie dla administracji publicznej
Aktualności

Państwowe grupy APT i cyberespionage – ciche zagrożenie dla administracji publicznej

Nie wszystkie cyberataki są głośne i widoczne. Raport ENISA wskazuje, że jednymi z najgroźniejszych zagrożeń dla administracji publicznej są działania państwowych grup APT, prowadzących długotrwały cyberwywiad i cyberespionage. Wyjaśniamy, czym są te ataki, jak działają i dlaczego ich wykrycie jest tak trudne.

2 minCzytaj
Krajobraz zagrożeń cybernetycznych w UE – wnioski z raportu ENISA Threat Landscape 2025
Aktualności

Krajobraz zagrożeń cybernetycznych w UE – wnioski z raportu ENISA Threat Landscape 2025

Raport ENISA Threat Landscape 2025 pokazuje, że cyberzagrożenia w Unii Europejskiej mają dziś charakter systemowy, ideologiczny i geopolityczny. Analizujemy, kto jest najczęściej atakowany, jak dochodzi do incydentów oraz dlaczego regulacje takie jak NIS 2 są konieczną odpowiedzią na realne ryzyka.

3 minCzytaj
Administracja publiczna pod cyberatakiem – dlaczego urzędy są dziś głównym celem hakerów?
Aktualności

Administracja publiczna pod cyberatakiem – dlaczego urzędy są dziś głównym celem hakerów?

Administracja publiczna stała się jednym z głównych frontów cyberzagrożeń w Europie. Najnowszy raport ENISA pokazuje, że to właśnie urzędy i instytucje państwowe są dziś najczęściej atakowanym sektorem. Dlaczego administracja znalazła się na celowniku cyberprzestępców i jakie konsekwencje ma to dla bezpieczeństwa danych obywateli oraz funkcjonowania państwa?

2 minCzytaj

Popularne artykuły

1
AI Act a ochrona danych osobowych – nowe obowiązki, relacja z RODO i stanowisko ekspertów UODO

AI Act a ochrona danych osobowych – nowe obowiązki, relacja z RODO i stanowisko ekspertów UODO

Prawo2723 min
2
NIS 2 i nowy Krajowy System Cyberbezpieczeństwa – rewolucja w obowiązkach podmiotów kluczowych i ważnych

NIS 2 i nowy Krajowy System Cyberbezpieczeństwa – rewolucja w obowiązkach podmiotów kluczowych i ważnych

Prawo1123 min
3
Europejska przestrzeń danych dotyczących zdrowia (EHDS) – nowe ramy prawne przetwarzania danych zdrowotnych w Unii Europejskiej

Europejska przestrzeń danych dotyczących zdrowia (EHDS) – nowe ramy prawne przetwarzania danych zdrowotnych w Unii Europejskiej

Prawo944 min
4
Kiedy incydent jest naruszeniem danych osobowych? Przykłady i co zrobić krok po kroku

Kiedy incydent jest naruszeniem danych osobowych? Przykłady i co zrobić krok po kroku

Poradniki863 min
5
Boty i wycieki danych – jak wykryć naruszenie, zanim będzie za późno

Boty i wycieki danych – jak wykryć naruszenie, zanim będzie za późno

Poradniki863 min

Potrzebujesz pomocy ze swoją sprawą?

Nasz kreator pomoże Ci ocenić czy Twoja sytuacja kwalifikuje się do złożenia skargi do UODO.

Rozpocznij weryfikacjęUmów konsultację