Czy Twoja firma sprosta wymogom odpowiedzialności za partnerów?

W dynamicznie zmieniającym się środowisku biznesowym i regulacyjnym, zarządzanie ryzykiem stron trzecich (TPRM) staje się jednym z filarów bezpieczeństwa, odporności i zgodności organizacji.

Oto zestawienie najważniejszych regulacji, dla których skuteczny proces TPRM ma kluczowe znaczenie:

◾️ NIS2 (Network and Information Security Directive): Celem regulacji jest wzmocnienie cyberbezpieczeństwa. NIS2, która zastępuje pierwotną dyrektywę NIS, wprowadza bardziej rygorystyczne wymagania dotyczące cyberbezpieczeństwa w organizacjach uznawanych za kluczowe i istotne w sektorach krytycznych.

◾️ DORA (Digital Operational Resilience Act): Skierowana do instytucji finansowych, wymaga od nich monitorowania ryzyk związanych z dostawcami technologii. DORA skupia się na odporności operacyjnej instytucji finansowych, kładąc szczególny nacisk na zarządzanie ryzykiem technologicznym i outsourcingiem IT. Wprowadza jednolite zasady dla firm finansowych i ich dostawców.

◾️ LkSG (Lieferkettensorgfaltspflichtengesetz): Niemiecka ustawa o należytej staranności w łańcuchu dostaw nakłada obowiązek monitorowania przestrzegania praw człowieka i ochrony środowiska w całym łańcuchu dostaw.

◾️ GDPR (General Data Protection Regulation): Ma na celu ochronę danych osobowych obywateli Unii Europejskiej. Rozporządzenie to gwarantuje osobom fizycznym szerokie prawa związane z przetwarzaniem i wykorzystywaniem ich danych osobowych. Ponieważ wiele organizacji korzysta z usług dostawców, którzy przetwarzają dane osobowe, skuteczny Third Party Risk Management jest integralnym elementem zgodności z RODO.

◾️ CSRD (Corporate Sustainability Reporting Directive): Dyrektywa EU wprowadza obowiązek raportowania niefinansowego dla większej liczby firm od 2024 roku, w tym wskaźników ESG. Przepis wymusza ujawnianie danych dotyczących ESG.

◾️ CSDDD (Corporate Sustainability Due Diligence Directive): Jest uzupełnieniem CSRD bezpośrednio reguluje należytą staranność w kontekście łańcucha dostaw. Nakłada obowiązek na organizacje w zakresie identyfikowania zapobiegania i eliminowania negatywnego wpływu działalności w całym łańcuchu dostaw.

Dlaczego to ważne?

Współczesne organizacje nie funkcjonują w oderwaniu od swojego otoczenia biznesowego. Większość firm to element większego łańcucha dostaw. Brak zaufania i transparentności w relacjach z dostawcami może prowadzić do poważnych konsekwencji: utraty reputacji, zakłóceń operacyjnych i strat finansowych. W świecie VUCA, zarządzanie ryzykiem stron trzecich (Third Party Risk Management) przestaje być opcjonalną strategią, a staje się kluczowym narzędziem zapewnienia stabilności i ciągłości operacyjnej, jednocześnie pozawalającym na adresowanie rosnących wymagań legislacyjnych i dynamicznie pojawiających się wyzwań, jak pandemia czy konflikty zbrojne.

Poznaj program kongresu "Prawo Konsumenckie" >>

Kluczowe aspekty TPRM i ich znaczenie dla zapewnienia zgodności regulacyjnej w organizacji:

TPRM a zarządzanie ryzykiem łańcucha dostaw:

Przeprowadzanie oceny ryzyka, dotyczącej różnych aspektów działalności stron trzecich.

TPRM nie ogranicza się już tylko do oceny finansowej i operacyjnej stabilności podmiotów trzecich, ale uwzględnia także ich wpływ na środowisko (np. ślad węglowy), działania społeczne (np. prawa pracowników) i praktyki zarządcze (np. przejrzystość i etyka) powodując, że analiza ryzyka ESG staje się istotnym elementem oceny podmiotów trzecich. Organizacje muszą uwzględniać w swoich politykach TPRM czynniki takie jak:

◾️ Zgodność dostawców z regulacjami dotyczącymi emisji CO₂.

◾️ Standardy pracy (np. unikanie pracy przymusowej lub dziecięcej).

◾️ Zgodność z politykami antykorupcyjnymi i etyką biznesową.

Proces Third Party Risk Management (TPRM) odgrywa kluczową rolę w edukacji i motywowaniu partnerów biznesowych do wdrażania zrównoważonych praktyk, co przyczynia się do poprawy wyników ESG w całym łańcuchu dostaw. Kładzie szczególny nacisk na współpracę z podmiotami posiadającymi certyfikaty zgodności z ESG, takie jak ISO 14001 czy SA8000, promując świadomość w zarządzaniu ekspozycją na ryzyko.

Kolejne Forum Dyrektorów Działów Prawnych już 23 i 24 września 2025 w Warszawie >>

Skuteczny TPRM obejmuje nie tylko identyfikację zagrożeń, ale także wdrażanie planów łagodzenia ryzyka (tzw. remediacji) oraz szczegółową dokumentację postępów. Takie podejście wspiera organizacje w budowaniu zaufania w ramach łańcucha wartości, umożliwiając wdrożenie mechanizmów zapobiegania i reagowania na zidentyfikowane ryzyka.

Współpraca z dostawcami jest kluczowa dla osiągnięcia trwałych rezultatów – zarówno w zakresie zgodności z ESG, jak i minimalizacji ryzyk. TPRM działa więc nie tylko jako narzędzie ochrony, ale również jako fundament budowania bardziej odpowiedzialnego i zrównoważonego biznesu.

TPRM wspiera ocenę cyberbezpieczeństwa względem podmiotów trzecich:

Organizacje muszą uwzględniać bezpieczeństwo dostawców i partnerów jako integralną część swojej strategii cyberbezpieczeństwa. Podmioty trzecie powinny spełniać wymagania w zakresie ochrony danych i systemów przed cyberatakami. Dostawcy są zobligowani do stworzenia odpowiednich procedur oraz kontroli.

Muszą regularnie oceniać ryzyko operacyjne związane z podmiotami trzecimi, w tym ich zdolność do zarządzania cyberzagrożeniami i przywracania działalności po incydentach.

TPRM wymaga zapewnienie bezpieczeństwa danych:

Artykuł 28 RODO definiuje wymóg współpracy wyłącznie z podmiotami, które zapewniają wystarczające gwarancje wdrożenia niezbędnych środków technicznych i organizacyjnych do przetwarzania danych zgodnie z wymaganiami RODO.

TPRM pozwala na identyfikację incydentów objętych obowiązkowym raportowaniem w związku z regulacją NIS2:

Jeśli podmiot trzeci spowoduje naruszenie bezpieczeństwa, organizacja ponosi odpowiedzialność za raportowanie incydentu zgodnie z wymogami NIS2.

TPRM wspiera nadzór nad dostawcami krytycznych usług IT, zgodnie z wytycznymi regulacji DORA:

Dostawcy technologii uznani za kluczowych będą podlegać nadzorowi organów unijnych. Organizacje muszą wybierać partnerów, którzy spełniają wymagania DORA oraz audytować czy współpracujące z nimi podmioty trzecie uczestniczą w testach odporności cyfrowej, takich jak stres testy, oraz wdrażają mechanizmy zapewniające ciągłość działania.

Dyrektywy harmonizują podejście do bezpieczeństwa operacyjnego i cyberbezpieczeństwa w całej Unii Europejskiej, zmuszając organizacje do dostosowania swoich polityk TPRM do nowych regulacji.

Organizacje są także zobligowane do współpracy z krajowymi organami ds. cyberbezpieczeństwa i co ciekawe może to spowodować, że będą wymagać od podmiotów trzecich dostosowania ich działań do lokalnych i unijnych standardów.

TPRM pomoże organizacji obnażyć słabe strony w łańcuchu dostaw i świadomie podejmować najkorzystniejsze decyzje biznesowe:

Skuteczny TPRM musi wspierać proces weryfikacji i oceny tych gwarancji przed zawarciem umowy oraz w jej trakcie. Proces musi obejmować monitorowanie zgodności poprzez:

◾️ Regularne audyty

◾️ Regularną weryfikację istniejących procedur bezpieczeństwa

◾️ Weryfikację aktualizacji regulacji

Organizacje są zarówno zobowiązane zapewnić zgodność dostawców z regulacjami jak i ich bieżący monitoring. W praktyce wprowadzenie prostych wskaźników KPI umożliwia mierzenie efektywności działań dostawców oraz szybsze wykrywanie potencjalnych naruszeń. To ważne, ponieważ organizacje są zobligowane do gromadzenia danych na temat incydentów i działalności dostawców w celu raportowania do organów nadzorczych. Jednocześnie podmioty trzecie muszą być gotowe na kontrole organów nadzoru.

Efektywne TPRM to nie tylko ochrona – to budowanie przewagi.

Wdrażając skuteczne procesy zarządzania ryzykiem dostawców, firmy nie tylko minimalizują zagrożenia, ale również wzmacniają zdrowe relacje biznesowe, budują zaufanie i zyskują przewagę konkurencyjną w coraz bardziej wymagającym środowisku biznesowym.

W ocenie ekspertów, efektywny proces Third Party Risk Management, oparty na powyższych regulacjach, pozwala:

◾️ zwiększyć bezpieczeństwo operacyjne i cybernetyczne, poprzez monitorowanie ryzyka

◾️ minimalizować ryzyko reputacyjne i prawne,

◾️ budować transparentne, zgodne z zasadami ESG relacje w łańcuchu dostaw, oraz go dywersyfikować

◾️ wzmacniać zaufanie interesariuszy i podnosić konkurencyjność na rynku.

◾️ Proaktywne identyfikować zagrożenia

◾️ Opracowywać i zwinnie aktualizować plany ciągłości działania (BCM)

Third Party Risk Management (TPRM) odgrywa istotną rolę w systematycznym gromadzeniu i analizie danych dotyczących działań ESG oraz innych kluczowych obszarów w łańcuchu dostaw, dostosowanych do specyfiki sektora. Takie dane stanowią podstawę do tworzenia kompleksowych raportów zgodnych z międzynarodowymi standardami, takimi jak GRI (Global Reporting Initiative) czy SFDR (Sustainable Finance Disclosure Regulation). Uwzględnienie kryteriów ESG w politykach TPRM umożliwia organizacjom dostarczanie konkretnych, mierzalnych danych na potrzeby raportowania postępów w realizacji inicjatyw zrównoważonego rozwoju. Dzięki odpowiednim narzędziom i procedurom proces TPRM pozwala na audytowanie działań podmiotów trzecich, co pozwala na badanie zagrożeń zwiazacych z cyberbezpieczeństwem i wspieranie odporności organizacji na zagrożenia. Dzięki temu TPRM staje się nie tylko narzędziem zarządzania ryzykiem, ale także fundamentem transparentności i odpowiedzialności w prowadzeniu biznesu.

Autorki: Katarzyna Saganowska, Risk & Compliance Expert w Make Your Compliance Easier oraz Kamila Lukowicz jest Head of Know Your Business Partner w Boehringer Ingelheim