Cyberbezpieczeństwo w łańcuchu dostaw – nowe wymogi regulacyjne dla podmiotów i wyzwania dla dostawców

Cyberbezpieczeństwo w łańcuchu dostaw – nowe wymogi regulacyjne dla podmiotów i wyzwania dla dostawców

20 listopada 2025 r. odbyło się szkolenie online dla Członków Polskiej Izby Przemysłu Chemicznego pt. “Gotowi na NIS2? – jak wdrożyć wymagania i uniknąć błędów krok po kroku”. Warsztat poprowadził Piotr Filipowski, Counsel, Adwokat, Zespół Nowych Technologii i Cyberbezpieczeństwa, kancelaria WKB Lawyers.

Bezpieczeństwo łańcucha dostaw jako krytyczny element cyberbezpieczeństwa

Sektor chemiczny wkrótce stanie przed nowymi wymogami w zakresie cyberbezpieczeństwa w związku z planowaną nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma implementować dyrektywę NIS 2. Jednym z kluczowych elementów dyrektywy, a w ślad za nią – projektu nowelizacji KSC, jest wyraźne podkreślenie jak krytyczne dla cyberodporności jest zapewnienie bezpieczeństwa i ciągłości łańcucha dostaw. 

Nie jest to przypadkowe – według raportu Światowego Forum Ekonomicznego z 2022 r. aż 39% organizacji doświadczyło incydentu cyberbezpieczeństwa spowodowanego przez podmiot trzeci w przeciągu poprzednich dwóch lat, a według raportu Mandiant ataki tego typu odpowiadały za 17% wszystkich incydentów w 2021 r. Warto przy tym zaznaczyć, że udział incydentów spowodowanych przez podmiot trzeci w globalnej liczbie incydentów w 2020 r. wynosił zaledwie 1%. 

Z kolei w najnowszym badaniu Światowego Forum Ekonomicznego z 2025 r. aż 54% dużych organizacji wskazało wyzwania związane z łańcuchem dostaw jako największą barierę w osiągnięciu odporności cyfrowej – głównie ze względu na złożoność relacji, podatności i brak transparentności. Skalę zagrożeń dobrze ilustrują głośne incydenty z ostatnich lat:

  • SolarWinds (2020) – atak na oprogramowanie do zarządzania siecią Orion doprowadził do udostępnienia około 18 000 klientom aktualizacji zawierającej złośliwy kod, co w konsekwencji spowodowało poważne naruszenia bezpieczeństwa u tysięcy podmiotów, w tym wielu departamentów rządu federalnego USA.
  • Kaseya (2021) – grupa REvil wykorzystała podatność w narzędziu do zdalnego zarządzania Kaseya VSA u dostawców usług zarządzanych (MSP). Zainfekowanie ok. 50 MSP wywołało efekt łańcuchowy – złośliwe oprogramowanie trafiło do środowisk klientów, co przełożyło się na zaszyfrowanie danych blisko 1500 organizacji. Napastnicy zażądali okupu w wysokości 70 mln USD w zamian za udostępnienie narzędzia deszyfrującego. Ten przypadek modelowo pokazuje, że pojedyncza podatność w systemach niewielkiej liczby dostawców usług może skutkować masowymi zakłóceniami bardzo wielu odbiorców końcowych.
  • Progress (2023) – wykorzystanie podatności w oprogramowaniu do transferu plików MOVEit doprowadziło do kradzieży danych; incydent dotknął ponad 2700 organizacji, w tym globalny koncern petrochemiczny Shell i niemal 96 mln osób fizycznych.

Bezpieczeństwo w łańcuchu dostaw to system naczyń połączonych: słabość jednego elementu podnosi poziom ryzyka u wszystkich. Dlatego NIS2 oraz nowelizacja KSC kładą duży nacisk na zapewnienie cyberodporności nie tylko odbiorcy końcowego, ale również w jego relacjach z bezpośrednimi dostawcami.

Bezpieczeństwo łańcucha dostaw w NIS2 i KSC – zakres i definicje

Zakres zastosowania

NIS2 zobowiązuje podmioty kluczowe („PK”) i podmioty ważne („PW”) do wdrożenia środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. W ramach tych środków, wprost wskazuje na konieczność uwzględnienia bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji z bezpośrednimi dostawcami lub usługodawcami.

Projekt nowelizacji KSC precyzuje nieco ten wymóg zobowiązując PK i PW do zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi, z uwzględnieniem związków z bezpośrednim dostawcą sprzętu lub oprogramowania, a nie – jak można byłoby wnioskować z brzmienia NIS2 – każdym usługodawcą. W praktyce polski projekt implementacji NIS2 skupia się zatem wyłącznie na obszarze dostaw ICT obejmującym głównie sprzęt i software, jednocześnie pomija usługodawców spoza tego obszaru.

Aby lepiej zrozumieć różnicę pomiędzy zakresem łańcucha dostaw na gruncie NIS2 (obejmującym wszelkich bezpośrednich dostawców i usługodawców) oraz projektu polskiej implementacji NIS2 warto zwrócić uwagę na definicje zastosowane przez projektodawców nowelizacji KSC. Dostawca sprzętu lub oprogramowania jest rozumiany szeroko – to producent, upoważniony przedstawiciel, importer lub dystrybutor produktu ICT, usługi ICT lub procesu ICT. Są to więc podmioty w całym łańcuchu dostaw – od wytwórcy do podmiotu odpowiedzialnego za dostawę do klienta końcowego. Z kolei, produkt ICT to element lub grupa elementów sieci i systemów informatycznych, usługa ICT to usługa polegająca w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem tych sieci i systemów, a proces ICT obejmuje czynności projektowania, rozwijania, dostarczania lub utrzymania produktów lub usług ICT. Usługi, procesy i produkty wykraczające poza zakres tych definicji nie będą więc objęte polską implementacją.

Obowiązki wynikające z projektu nowelizacji KSC

Projekt nowelizacji KSC zakłada implementację wymogów wynikających z NIS2 w formie obowiązku wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI). Odpowiednio wdrożone SZBI powinno obejmować środki techniczne i organizacyjne mające na celu zapewnienie m.in. bezpieczeństwa i ciągłości łańcucha dostaw. Projekt wskazuje przy tym jakie elementy i obszary należy uwzględnić przy ocenie i zarządzaniu relacjami z dostawcami sprzętu i oprogramowania:

  • podatności związane z dostawcą sprzętu lub oprogramowania;
  • ogólną jakość produktów ICT, usług ICT i procesów ICT pochodzących od dostawcy;
  • wyniki skoordynowanej oceny bezpieczeństwa przeprowadzonej przez Grupę współpracy, o której mowa w art. 22 ust. 1 NIS2;
  • wyniki postępowania uznania dostawcy za dostawcę wysokiego ryzyka – decyzja administracyjna w tym zakresie może skutkować obowiązkiem wycofania produktów lub ograniczeniami w ich stosowaniu (zob. dodatkowe uwagi dotyczące uznania za dostawcę wysokiego ryzyka w dalszej części artykułu).

Te cztery punkty wyznaczają minimalny zakres jaki należy wziąć pod uwagę przy doborze środków w zakresie bezpieczeństwa łańcucha dostaw, ale nie zamykają katalogu możliwych działań i informacji jakie podmiot może uwzględnić przy ich wdrożeniu. Projekt nowelizacji KSC nie narzuca bowiem gotowych procedur – pozostawia podmiotom swobodę w doborze środków, przy uwzględnieniu zasady proporcjonalności względem zidentyfikowanego ryzyka. W praktyce oznacza to konieczność stworzenia własnych mechanizmów oceny i monitorowania dostawców, które będą spójne z profilem działalności i skalą oraz rodzajem zagrożeń. Mechanizmy te będą musiały jednak spełniać minimalne wymogi wyznaczone przez ustawę.

Podejście w zakresie bezpieczeństwa łańcucha dostaw

W projekcie nowelizacji KSC nie znajdziemy jednoznacznych wskazówek, jak dokładnie należy zapewnić bezpieczeństwo i ciągłość łańcucha dostaw. Regulacje te wyznaczają raczej cel, którym jest zagwarantowanie bezpieczeństwa i odporności łańcucha dostaw, pozostawiając dobór konkretnych działań w gestii organizacji. Ustawa odwołuje się przy tym do stosowania środków technicznych i organizacyjnych, które powinny być proporcjonalne do oszacowanego ryzyka, uwzględniać aktualny stan wiedzy, koszty wdrożenia, wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentów, a także uwzględniać poziom narażenia na ryzyka oraz skutki społeczne i gospodarcze

Wymóg zachowania proporcjonalności tych środków zmusza do prowadzenia cyklicznego procesu zarządzania bezpieczeństwem i ciągłością łańcucha dostaw, obejmującego co najmniej:

  1. identyfikację i analizę ryzyka – czyli pozyskiwanie wiedzy o dostawcach sprzętu i oprogramowania, ich roli w procesach biznesowych organizacji oraz ich słabych stronach, które mogą zagrażać cyberbezpieczeństwu organizacji;
  2. klasyfikację ryzyk pod kątem krytyczności, z uwzględnieniem potencjalnych skutków społecznych i gospodarczych incydentu, prawdopodobieństwa jego wystąpienia oraz poziomu narażenia;
  3. dobór adekwatnych środków technicznych i organizacyjnych, które powinny być dostosowane do wielkości organizacji, aktualnego stanu wiedzy, kosztów wdrożenia oraz poziomu ryzyka;
  4. monitorowanie i przeglądy w celu zapewnienia, że stosowane środki są proporcjonalne do zidentyfikowanego poziomu ryzyka i skutecznie je ograniczają w zmieniającym się otoczeniu zagrożeń.

Strukturyzacja podejścia – rekomendacje ENISA

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) zaleca, aby organizacje w sposób usystematyzowany podchodziły do kwestii bezpieczeństwa łańcucha dostaw, poprzez opracowanie i wdrożenie dedykowanej strategii. Taka strategia powinna obejmować 

  1. stosowane w organizacji praktyki i polityki; 
  2. odpowiednie zasoby (według badań ENISA jedynie 47% ankietowanych podmiotów przeznaczało środki finansowe na ten cel);
  3. jasny podział ról i obowiązków; oraz 
  4. aktywny udział kadry kierowniczej w procesie zarządzania bezpieczeństwem.

Zgodnie z rekomendacjami ENISA, zapewnienie bezpieczeństwa i ciągłości łańcucha dostaw może być ustrukturyzowane oraz realizowane w ramach cyklu ciągłego doskonalenia plan-do-check-act (PDCA), wykorzystywanego między innymi w systemie zarządzania jakością zgodnie z normą ISO 9001.

Perspektywa Dostawcy: obowiązki podmiotów kluczowych i podmiotów ważnych a oczekiwania względem dostawców – jak wykazać cyberbezpieczeństwo dostaw?

Projekt nowelizacji KSC co do zasady znajduje bezpośrednie zastosowanie do PK i PW, natomiast w celu zapewnienia swojej zgodności z regulacjami PK i PW mogą wymagać od swoich dostawców szeregu działań i informacji, zapewniających: 1) możliwość weryfikacji dostawcy przed rozpoczęciem współpracy, 2) realizację obowiązków dostawcy w trakcie współpracy, niezbędnych dla PK i PW do wykazania zgodności z nałożonymi na nich wymogami, 3) kontrolę dostawcy w trakcie współpracy i 4) w razie konieczności – możliwość zakończenia współpracy z takim dostawcą. Zatem, chociaż dostawcy sprzętu i oprogramowania nie podlegają wymogom nowelizacji KSC wprost (o ile sami nie będą również kwalifikowani jako PK lub PW), to będą one miały zastosowanie do nich w sposób pośredni.

Ocena dostawcy przed nawiązaniem współpracy

Analiza i ocena dostawców mogą być przeprowadzone przez dany podmiot na szereg różnych sposobów, np. poprzez wyszukiwanie publicznie dostępnych informacji o dostawcy (w tym poprzez usługi oceny bezpieczeństwa), kwestionariusze, audyty, analizy ryzyka, weryfikację czy dostawca został uznany za dostawcę wysokiego ryzyka (zob. dodatkowe uwagi dotyczące uznania za dostawcę wysokiego ryzyka w dalszej części artykułu) lub ocenę posiadanych przez dostawcę certyfikatów. 

Od dostawcy będzie zależało czy i w jakim zakresie umożliwi dokonanie przez PK i PW swojej weryfikacji, lecz może to wpływać na wybór jego oferty w procesie zakupowym. Według danych z „Dobrych Praktyk” ENISA aż 61% badanych organizacji preferuje certyfikaty cyberbezpieczeństwa. Wykazanie się certyfikatem (np. ISO 27001) może więc stanowić istotny atut konkurencyjny już na etapie składania oferty. W tym przypadku na atrakcyjność usług i produktów dostawcy może również wpływać certyfikacja przeprowadzona zgodnie z niedawno przyjętą ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa.

Umowa i zarządzanie relacją z dostawcą

Odpowiedni poziom bezpieczeństwa łańcucha dostaw może zostać zapewniony poprzez środek organizacyjny jakim będą uzgodnienia umowne pomiędzy dostawcą a PK lub PW. W tym celu, PK i PW mogą oczekiwać uregulowania w umowie z takim dostawcą niezbędnych obowiązków i zasad współpracy, w szczególności:

  1. zapewnienia przez samego dostawcę niezbędnych środków technicznych i organizacyjnych (np. wymagania dotyczące oprogramowania, dostępu, kwalifikacji personelu, zasad korzystania z open source);
  2. zasad podziału odpowiedzialności, w tym zadań związanych z reagowaniem na incydenty i wsparciem w ich obsłudze;
  3. wymagane poziomy świadczenia usług (SLA);
  4. obowiązki ujawniania i usuwania podatności;
  5. prawa kontroli (audyt, raportowanie) – projekt nowelizacji KSC co do zasady nie nakłada wymogu uregulowania praw audytowych w umowie, mogą one być jednak dowolnie uzgodnione pomiędzy stronami, np. poprzez określenie obowiązków sprawozdawczych lub udostępniania raportów z audytów zewnętrznych;
  6. zasady wypowiedzenia i warunki zakończenia współpracy (np. uprawnienie do wypowiedzenia z uwagi na brak zapewnienia przez dostawcę odpowiednich środków z zakresu cyberbezpieczeństwa, czy też obowiązek wsparcia w migracji do innego dostawcy lub do zasobów wewnętrznych);
  7. wsparcie w okresie przejściowym po zakończeniu współpracy (np. w ramach uzgodnionych planów wyjścia).

Dobrą praktyką wśród dostawców (ale również samych PK i PW) może być również przygotowanie własnych aneksów regulacyjnych określających proponowane warunki bezpieczeństwa. Umożliwi to wzmocnienie pozycji negocjacyjnej oraz jednoznaczne określenie zakresu zobowiązań oferowanych jednolicie wobec wszystkich klientów.

Wymogi NIS2 i KSC w projekcie nowelizacji ustawy w wielu obszarach są ujęte w sposób ogólny i nie wskazują szczegółowych środków, które muszą zostać wdrożone. Dostawca może zatem sam określić, jakie elementy bezpieczeństwa jest w stanie zapewnić w standardowej ofercie, a które wykraczają poza ten zakres i mogą wymagać uwzględnienia w dodatkowym wynagrodzeniu. Warto przy tym pamiętać, że jasny podział odpowiedzialności nie oznacza automatycznie, że dostawca odpowiada za całość bezpieczeństwa usługi lub produktu. Ostatecznie to na PK i PW będzie spoczywać odpowiedzialność za spełnienie wymogów regulacyjnych i to one mogą ponieść konsekwencje, w tym sankcje, w przypadku stwierdzenia braku zgodności.

Dodatkowe regulacje KSC istotne dla bezpieczeństwa łańcucha dostaw

Projekt nowelizacji KSC przewiduje dodatkowe instytucje i uprawnienia organów właściwych, które mogą istotnie wpłynąć na sytuację dostawców i odbiorców – PK i PW. Świadomość możliwości ich zastosowania jest istotna, ponieważ mogą one bezpośrednio przełożyć się na ciągłość świadczenia usług, obowiązki wycofania produktów z rynku czy też ograniczenia w zamówieniach publicznych lub kryteria wyboru ofert w ramach postępowań zakupowych.

Uznanie za dostawcę wysokiego ryzyka

Projekt nowelizacji KSC zakłada wprowadzenie procedury uznania dostawcy sprzętu lub oprogramowania wykorzystywanego przez (i) podmioty kluczowe lub podmioty ważne, (ii) przedsiębiorców komunikacji elektronicznej oraz (iii) podmioty finansowe jako tzw. dostawcy wysokiego ryzyka. Minister właściwy ds. Informatyzacji ma być uprawniony do wydania decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli stanowi on zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Decyzja będzie wskazywała typy produktów ICT, rodzaje usług ICT lub konkretnych procesów ICT pochodzących od dostawcy wysokiego ryzyka oraz ma podlegać natychmiastowemu wykonaniu. 

Skutki decyzji:

  • zakaz wprowadzania do użytkowania typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją;
  • obowiązek wycofania z użytkowania danego produktu ICT, usługi ICT lub procesu ICT:
    • w terminie 7 lat od dnia ogłoszenia decyzji;
    • w terminie 4 lat od dnia ogłoszenia decyzji w odniesieniu do tzw. krytycznych ICT określonych w załączniku nr 3 do projektu, które są wykorzystywane przez przedsiębiorców telekomunikacyjnych;
  • do czasu wycofania dopuszczalne będzie jedynie wykonywanie niezbędnych napraw, modernizacji, wymiany elementów i aktualizacji;
  • decyzją o uznaniu za dostawcę wysokiego ryzyka będą objęte także podmioty wchodzące w skład grupy kapitałowej tego dostawcy. 

Dodatkowo, produkty, usługi i procesy ICT objęte decyzją nie będą mogły być nabywane w ramach zamówień publicznych. Podmioty zobowiązane do stosowania PZP będą mogły korzystać z już nabytych ICT przez okres maksymalnie 7 lat, a w przypadku ICT o funkcjach krytycznych – maksymalnie 4 lat.

Dla PK i PW decyzja może wiązać się z istotnymi konsekwencjami finansowymi i organizacyjnymi, wynikającymi z konieczności wymiany produktów, usług lub procesów ICT objętych jej zakresem. Analogiczne ryzyko dotyczy również dostawców, jeżeli ich produkt, usługa lub proces ICT dostarczane PK lub PW są lub zawierają komponenty objęte taką decyzją. Z tego względu kluczowe jest, aby zarówno PK i PW, jak i dostawcy weryfikowali status swoich kontrahentów toku procesów zakupowych.

Badanie produktów ICT i usług ICT

CSIRT MON, CSIRT NASK i CSIRT GOV uzyskają uprawnienia do przeprowadzania badań produktów i usług ICT w celu identyfikacji podatności mogących mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Badania będą mogły obejmować m.in. uzyskanie dostępu do danych, odtworzenie postaci źródłowej produktu lub usługi ICT, a nawet usunięcie lub przełamanie zabezpieczeń przed analizą. Organy będą mogły zwrócić się bezpośrednio do producenta lub dostawcy o przekazanie dokumentacji dotyczącej badanego produktu lub usługi. Za brak przekazania dokumentacji producent lub dostawca mogą zostać ukarani karą pieniężną w wysokości 50 000 zł.

Wynikiem badań mogą być również rekomendacje dotyczące stosowania produktów ICT lub usług ICT, publikowane w Biuletynie Informacji Publicznej. Brak zastosowania się do rekomendacji może skutkować np. zwiększoną częstotliwością kontroli wobec podmiotu PK lub PW. W praktyce oznacza to, że organizacje podlegające nowym wymogom będą bardziej skłonne do stosowania się do rekomendacji i usuwania podatnych komponentów z użytkowania. Brak usunięcia podatności przez dostawcę może więc negatywnie wpłynąć na jego pozycję rynkową oraz skutkować odejściem PK lub PW od stosowania takich podatnych rozwiązań lub rezygnacją z ich zakupu. Treść rekomendacji może być również brana pod uwagę przy podejmowaniu decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, co może się wiązać z konsekwencjami opisanymi powyżej.

Polecenie zabezpieczające

Minister właściwy ds. informatyzacji będzie mógł wydawać polecenia zabezpieczające w przypadku wystąpienia incydentu krytycznego tj. incydentu skutkującego znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Polecenia te będą skierowane do nieokreślonej liczby PK i PW oraz podmiotów finansowych. Polecenia zabezpieczające będą mogły obejmować szeroki katalog działań, w tym ograniczeń, w stosunku do korzystania z produktów ICT i usług ICT. Obejmuje to m.in. nakaz stosowania określonej poprawki bezpieczeństwa, nakaz szczególnej konfiguracji, a nawet całkowity zakaz korzystania z określonego produktu ICT lub usługi ICT. 

Polecenia będą obowiązywać na czas koordynacji obsługi incydentu krytycznego lub na czas oznaczony, nie dłuższy niż dwa lata. Mogą one więc wywołać w dłuższej perspektywie istotne skutki operacyjne i finansowe zarówno dla odbiorców, jak i dostawców.

Podsumowanie

Dyrektywa NIS2 oraz projekt nowelizacji KSC wprowadzają istotne obowiązki dla PK i PW, które obejmują nie tylko wdrożenie środków technicznych i organizacyjnych wewnątrz organizacji, ale również zarządzanie ryzykiem w relacjach z bezpośrednimi dostawcami. W praktyce oznacza to konieczność:

  • zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw,
  • oceny podatności i jakości produktów ICT, usług ICT oraz procesów ICT,
  • zapewnienia określonych wymagań w ramach nowych oraz zawartych już umów ICT,
  • uwzględnienia wyników skoordynowanych ocen bezpieczeństwa, 
  • weryfikacji decyzji administracyjnych, w tym dotyczących uznania dostawcy za dostawcę wysokiego ryzyka, 
  • monitorowania informacji o ujawnionych podatnościach, w tym rekomendacji z badań produktów ICT i usług ICT w Biuletynie Informacji Publicznej.

Z perspektywy dostawców oznacza to zwiększenie znaczenia transparentności i ich zdolności do wykazania zgodności z wymogami odbiorców. Może to również wymagać przygotowania odpowiednich środków, dokumentacji i procedur (np. certyfikacji, polityk ujawniania podatności) niezbędnych w celu sprostania oczekiwaniom podmiotów zobowiązanych wymogami KSC. Należy jednak podkreślić, że przepisy nie nakładają na dostawcę pełnej odpowiedzialności za każdy aspekt bezpieczeństwa – kluczowe jest jasne określenie zakresu obowiązków, z poszanowaniem zasady proporcjonalności. Co więcej, ryzyka związane z łańcuchem dostaw mogą być mitygowane wewnętrznymi środkami i działaniami PK i PW, a tym samym nie zawsze muszą one być przerzucane na dostawcę.

Podsumowując, regulacje NIS2 i nowelizacji KSC wyznaczają ramy, ale skuteczność środków bezpieczeństwa łańcucha dostaw zależy od tego, jak strony przełożą je na konkretne mechanizmy kontraktowe i wewnętrzne procesy organizacyjne. Dla PK i PW oznacza to konieczność wdrożenia odpowiedniego podejścia do zarządzania łańcuchem dostaw i umiejętnego zarządzania ryzykiem regulacyjnym, dla dostawców z kolei przygotowania się na rosnące wymagania PK i PW. Wspólnym celem, który powinien przyświecać wszystkich zainteresowanym stronom powinno być jednak zapewnienie odpowiedniego stopnia cyberodporności i bezpieczeństwa usług świadczonych przez podmioty z najbardziej krytycznych sektorów gospodarki.

Artykuł pochodzi z Raportu Bezpieczna i Cyfrowa Chemia 2025. Autorami materiału są Eksperci z Zespołu Nowych Technologii i Cyberbezpieczeństwa z kancelarii WKB Lawyers: Piotr Filipowski, Counsel, Adwokat; Jacek Widenka, Senior Associate; Bartosz Pestka, Lawyer. 

Posty pokrewne

Ogłoszenie o sprzedaży środków trwałych Grupy Azoty Kędzierzyn
Komunikaty

Ogłoszenie o sprzedaży środków trwałych Grupy Azoty...

3 lutego 2026
Przemysł chemiczny w liczbach – raport PIPC za czwarty kwartał 2025 r.
Polska Chemia

Przemysł chemiczny w liczbach – raport PIPC...

30 stycznia 2026
MDA Sp. z o.o. nowym Członkiem PIPC
Z życia PIPC

MDA Sp. z o.o. nowym Członkiem PIPC

23 stycznia 2026

© 2024 Polska Izba Przemysłu Chemicznego | Wszelkie prawa zastrzeżone

MENU