Multicert

Bezpłatna wycena

Norma jako kapitał · w 2h, bez zobowiązań

Wyceń →
Norma jako kapitał

Klient wymaga ISO 27001 — jak odpowiedzieć na wymóg w łańcuchu dostaw

Coraz więcej dużych firm żąda ISO 27001 od dostawców. Skąd ten wymóg, czym różni się od kwestionariusza samooceny i jak certyfikat skraca ocenę dostawcy do jednego dokumentu.

Grzegorz Suwara 7 min czytania

Klient wymaga ISO 27001 — to zdanie coraz częściej pojawia się w zapytaniach ofertowych i umowach ramowych dużych organizacji. Dostawca, który słyszy je po raz pierwszy, traktuje wymóg jak przeszkodę. W rzeczywistości jest to sygnał, że wchodzi na rynek kontraktów zamkniętych dla firm bez udokumentowanego bezpieczeństwa informacji. Poniżej wyjaśniamy, skąd bierze się ten wymóg i jak na niego odpowiedzieć, nie tracąc kontraktu.

Dlaczego klienci wymagają ISO 27001 od dostawców

Źródłem wymogu jest przeniesienie odpowiedzialności w łańcuchu dostaw. Duża organizacja odpowiada nie tylko za własne systemy, lecz także za ryzyko wnoszone przez podmioty, którym powierza dane lub dostęp do infrastruktury. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) od lat wskazuje łańcuch dostaw jako jeden z głównych wektorów ataku. Dyrektywa NIS2 (dyrektywa 2022/2555) nakłada na podmioty kluczowe i ważne obowiązek zarządzania ryzykiem w łańcuchu dostaw — a najprostszym sposobem jego udokumentowania jest wymaganie ISO/IEC 27001 od kontrahentów.

Stawka jest wymierna. Kary z tytułu naruszenia obowiązków NIS2 sięgają 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych. Odbiorca, który ryzykuje taką sankcją, zabezpiecza się kontraktowo — a certyfikat dostawcy jest dla niego dowodem należytej staranności. To samo dotyczy sektorów, w których bezpieczeństwo informacji reguluje odrębne prawo, jak finanse objęte rozporządzeniem DORA.

Certyfikat a kwestionariusz samooceny — czego naprawdę żąda klient

Wymóg bezpieczeństwa przybiera dwie formy. Pierwszą jest kwestionariusz bezpieczeństwa — nierzadko kilkudziesięciostronicowy dokument, który dostawca wypełnia samodzielnie. Drugą jest żądanie certyfikatu ISO 27001. Różnica jest zasadnicza.

KryteriumKwestionariusz samoocenyCertyfikat ISO 27001
Kto potwierdzadostawca sam o sobieniezależna jednostka w akredytacji
Wiarygodność dla klientawymaga weryfikacji po jego stroniezweryfikowana przez stronę trzecią
Powtarzalnośćosobno dla każdego klientajeden dokument dla wszystkich
Skutek dla kwalifikacjiwydłuża ocenę dostawcyzwykle zamyka temat

Certyfikat ISO/IEC 27001 wydany w akredytacji zastępuje deklarację dowodem. Zamiast przekonywać każdego klienta z osobna, dostawca przedstawia jeden dokument, który organizacja odbierająca uznaje bez dodatkowej weryfikacji.

Jak odpowiedzieć na wymóg — ścieżka postępowania

Gdy klient stawia wymóg, liczy się tempo i trafny zakres. Postępowanie porządkuje cztery kroki:

  1. Ustal zakres oczekiwany przez klienta. Sprawdź, których usług dotyczy wymóg — certyfikacja nie musi obejmować całej firmy, lecz procesy świadczone odbiorcy.
  2. Zdefiniuj zakres systemu (SZBI). Węższy, dobrze opisany zakres skraca audyt i obniża koszt, zachowując zgodność z oczekiwaniem klienta.
  3. Przygotuj deklarację stosowania (SoA) i ocenę ryzyka — to dokumenty, od których zależy sprawność audytu etapu pierwszego.
  4. Przeprowadź audyt certyfikacyjny w jednostce w akredytacji. Certyfikat obejmujący usługi świadczone klientowi zamyka jego wymóg.

ISO 27001 jako przepustka, nie koszt

Dostawca, który patrzy na certyfikat wyłącznie przez pryzmat kosztu audytu, pomija istotę sprawy. Wymóg ISO 27001 wyznacza granicę rynku: powyżej niej są kontrakty z dużymi organizacjami, sektorem finansowym i administracją, poniżej — konkurencja o zlecenia bez tej bariery. Certyfikat nie jest wydatkiem obronnym, lecz warunkiem dostępu do zamówień o wyższej wartości. W wielu branżach jest już standardowym elementem kwalifikacji dostawcy, a jego brak eliminuje ofertę zanim dojdzie do rozmowy o cenie.

Powiązane artykuły:

Najczęstsze pytania

Dlaczego klient wymaga ode mnie ISO 27001? +
Duże organizacje odpowiadają za bezpieczeństwo całego łańcucha dostaw — dyrektywa NIS2 nakłada na nie obowiązek zarządzania ryzykiem dostawców. Wymóg certyfikatu wobec kontrahentów jest sposobem na przeniesienie i udokumentowanie tej kontroli.
Czy zamiast certyfikatu wystarczy wypełnić kwestionariusz bezpieczeństwa? +
Czasem tak, ale kwestionariusz samooceny to deklaracja bez niezależnej weryfikacji — klient musi ją sprawdzić, co wydłuża kwalifikację. Certyfikat ISO 27001 w akredytacji jest dowodem zweryfikowanym przez stronę trzecią i zwykle zamyka temat jednym dokumentem.
Ile trwa uzyskanie ISO 27001, gdy klient stawia termin? +
Typowo od 8 do 12 tygodni od zapytania do certyfikatu przy sprawnie przygotowanej dokumentacji, w tym deklaracji stosowania (SoA). Kluczowy jest zakres systemu — im węższy i lepiej opisany, tym krótszy audyt.
Czy certyfikat obejmujący tylko część firmy jest akceptowany przez klienta? +
Zwykle tak, o ile zakres certyfikacji obejmuje usługi świadczone temu klientowi. Zakres SZBI można ograniczyć do konkretnych procesów lub działu, pod warunkiem że pokrywa obszar istotny dla odbiorcy.
← Wszystkie artykuły 25 czerwca 2026
Zadzwoń Bezpłatna wycena