Klient wymaga ISO 27001 — to zdanie coraz częściej pojawia się w zapytaniach ofertowych i umowach ramowych dużych organizacji. Dostawca, który słyszy je po raz pierwszy, traktuje wymóg jak przeszkodę. W rzeczywistości jest to sygnał, że wchodzi na rynek kontraktów zamkniętych dla firm bez udokumentowanego bezpieczeństwa informacji. Poniżej wyjaśniamy, skąd bierze się ten wymóg i jak na niego odpowiedzieć, nie tracąc kontraktu.
Dlaczego klienci wymagają ISO 27001 od dostawców
Źródłem wymogu jest przeniesienie odpowiedzialności w łańcuchu dostaw. Duża organizacja odpowiada nie tylko za własne systemy, lecz także za ryzyko wnoszone przez podmioty, którym powierza dane lub dostęp do infrastruktury. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) od lat wskazuje łańcuch dostaw jako jeden z głównych wektorów ataku. Dyrektywa NIS2 (dyrektywa 2022/2555) nakłada na podmioty kluczowe i ważne obowiązek zarządzania ryzykiem w łańcuchu dostaw — a najprostszym sposobem jego udokumentowania jest wymaganie ISO/IEC 27001 od kontrahentów.
Stawka jest wymierna. Kary z tytułu naruszenia obowiązków NIS2 sięgają 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych. Odbiorca, który ryzykuje taką sankcją, zabezpiecza się kontraktowo — a certyfikat dostawcy jest dla niego dowodem należytej staranności. To samo dotyczy sektorów, w których bezpieczeństwo informacji reguluje odrębne prawo, jak finanse objęte rozporządzeniem DORA.
Certyfikat a kwestionariusz samooceny — czego naprawdę żąda klient
Wymóg bezpieczeństwa przybiera dwie formy. Pierwszą jest kwestionariusz bezpieczeństwa — nierzadko kilkudziesięciostronicowy dokument, który dostawca wypełnia samodzielnie. Drugą jest żądanie certyfikatu ISO 27001. Różnica jest zasadnicza.
| Kryterium | Kwestionariusz samooceny | Certyfikat ISO 27001 |
|---|---|---|
| Kto potwierdza | dostawca sam o sobie | niezależna jednostka w akredytacji |
| Wiarygodność dla klienta | wymaga weryfikacji po jego stronie | zweryfikowana przez stronę trzecią |
| Powtarzalność | osobno dla każdego klienta | jeden dokument dla wszystkich |
| Skutek dla kwalifikacji | wydłuża ocenę dostawcy | zwykle zamyka temat |
Certyfikat ISO/IEC 27001 wydany w akredytacji zastępuje deklarację dowodem. Zamiast przekonywać każdego klienta z osobna, dostawca przedstawia jeden dokument, który organizacja odbierająca uznaje bez dodatkowej weryfikacji.
Jak odpowiedzieć na wymóg — ścieżka postępowania
Gdy klient stawia wymóg, liczy się tempo i trafny zakres. Postępowanie porządkuje cztery kroki:
- Ustal zakres oczekiwany przez klienta. Sprawdź, których usług dotyczy wymóg — certyfikacja nie musi obejmować całej firmy, lecz procesy świadczone odbiorcy.
- Zdefiniuj zakres systemu (SZBI). Węższy, dobrze opisany zakres skraca audyt i obniża koszt, zachowując zgodność z oczekiwaniem klienta.
- Przygotuj deklarację stosowania (SoA) i ocenę ryzyka — to dokumenty, od których zależy sprawność audytu etapu pierwszego.
- Przeprowadź audyt certyfikacyjny w jednostce w akredytacji. Certyfikat obejmujący usługi świadczone klientowi zamyka jego wymóg.
ISO 27001 jako przepustka, nie koszt
Dostawca, który patrzy na certyfikat wyłącznie przez pryzmat kosztu audytu, pomija istotę sprawy. Wymóg ISO 27001 wyznacza granicę rynku: powyżej niej są kontrakty z dużymi organizacjami, sektorem finansowym i administracją, poniżej — konkurencja o zlecenia bez tej bariery. Certyfikat nie jest wydatkiem obronnym, lecz warunkiem dostępu do zamówień o wyższej wartości. W wielu branżach jest już standardowym elementem kwalifikacji dostawcy, a jego brak eliminuje ofertę zanim dojdzie do rozmowy o cenie.
Powiązane artykuły:
- Certyfikacja ISO 27001 — strona usługi
- NIS2 obowiązuje — Polska spóźniona
- DORA a ISO 27001 — odporność cyfrowa sektora finansowego
- ISO 27001 a RODO — czy certyfikat zapewnia zgodność