29 cze 2026
Prywatność

Due diligence dostawcy AI w domu: praktyczne kroki

Jak weryfikować dostawców rozwiązań AI dla sieci domowej? Sprawdź praktyczne kroki oparte na DORA i NIS2, które chronią Twoją prywatność i bezpieczeństwo.

Redakcja · 29 czerwca 2026
Close-up of home inspector holding a checklist on a clipboard with a pen.
Fot. RDNE Stock project / Pexels · Pexels License

Due diligence dostawcy to proces szczegółowej weryfikacji potencjalnego dostawcy rozwiązań AI, mający na celu upewnienie się, że podmiot jest wiarygodny, kompetentny i bezpieczny. Choć regulacje takie jak DORA (Digital Operational Resilience Act) obowiązują instytucje finansowe, zasady zawarte w tych aktach stanowią dobre praktyki dla każdego, kto chce bezpiecznie korzystać z rozwiązań AI w domu.

Dlaczego due diligence dostawcy jest ważne?

Wybór dostawcy rozwiązań AI to decyzja, która wpływa na bezpieczeństwo Twojej sieci domowej, ochronę danych osobowych i prywatności. Dostawca ma dostęp do wrażliwych informacji i może wpłynąć na funkcjonowanie Twoich urządzeń. Dlatego warto przeprowadzić proces weryfikacji zanim powierzymy mu dostęp do naszych systemów.

DORA, unijny akt prawny z 2024 roku, nakłada na instytucje finansowe obowiązek dokładania należytej staranności w stosunku do potencjalnych dostawców usług ICT. Artykuł 28 ust. 4 lit. d) DORA wyraźnie stanowi, że instytucje muszą zapewnić, aby dostawca był odpowiedni na każdym etapie procesu wyboru i oceny. Podobne wymogi zawiera AI Act w artykule 17 ust. 1 lit. l), który dotyczy zarządzania zasobami i bezpieczeństwa dostaw.

Sześć kluczowych aspektów weryfikacji dostawcy

1. Rozwiązania organizacyjne, doświadczenie i reputacja

Przed wybraniem dostawcy przeprowadź tzw. biały wywiad, czyli zbieranie informacji z jawnych źródeł. Sprawdź:

  • Kondycję finansową — poproś o sprawozdania finansowe lub potwierdzenie stabilności finansowej. Dostawca powinien dysponować wystarczającymi zasobami do realizacji projektu i utrzymania usług.
  • Referencje — skontaktuj się z innymi klientami dostawcy. Pytaj konkretnie o doświadczenie, terminowość realizacji i wsparcie techniczne.
  • Zespół — upewnij się, że dostawca ma wystarczającą liczbę kompetentnych pracowników do Twojego projektu. Sprawdź, czy zapewni ciągłość świadczenia usług, zarówno na etapie wdrożenia, jak i później.
  • Standardy bezpieczeństwa — dostawca powinien stosować uznane standardy, takie jak NIST AI Risk Management Framework, ISO 27001 (bezpieczeństwo informacji) czy DAMA-BOK (zarządzanie danymi).
  • Zarządzanie ryzykiem — pytaj o procesy identyfikacji i zarządzania ryzykami. Czy dostawca uwzględnia ryzyka z MIT AI Risk Repository? Czy ma formalny system zarządzania ryzykiem?
  • Zgodność z przepisami — dla systemów AI wysokiego ryzyka dostawca powinien potwierdzić, że stosuje lub będzie stosować przepisy AI Act. Jeśli unika tej kwestii, może to być sygnał ostrzegawczy.

2. Tworzenie własnej polityki wyboru dostawców

Nie odkrywaj Ameryki od nowa — skorzystaj z dobrych praktyk zawartych w DORA i NIS2. Stwórz dokumenty, które będą stanowić fundament Twojego procesu decyzyjnego:

Polityka zakupowa lub polityka wyboru dostawców powinna obejmować:

  • Cały cykl zakupowy — od identyfikacji potrzeb, przez ocenę kandydatów, do podpisania umowy.
  • Kryteria oceny — określ, które aspekty są dla Ciebie najważniejsze (bezpieczeństwo, cena, wsparcie techniczne).
  • Proces monitorowania — jak będziesz weryfikować spełnianie warunków umowy po jej podpisaniu?

Mapa decyzyjna powinna pokazywać ścieżkę wyboru między:

  • Rozwiązaniami wewnętrznymi (własne systemy)
  • Dostawcą zewnętrznym
  • Podejściem hybrydowym (kombinacja obu)

Checklist weryfikacyjny — stwórz narzędzie (np. arkusz kalkulacyjny), które ułatwi Ci zbieranie informacji od dostawcy i dokumentowanie procesu. To ważne zarówno dla Twojej operacyjnej weryfikacji, jak i dla ewentualnych audytów bezpieczeństwa.

3. Weryfikacja reputacji i wiarygodności

Reputacja to najcenniejszy zasób dostawcy. Sprawdzaj ją wieloaspektowo:

  • Portfolio projektów — poproś o przykłady realizowanych rozwiązań. Ostrożnie podchodź do informacji marketingowych — czasami są przesadzone.
  • Opinie w branży — poszukaj informacji o dostawcy w specjalistycznych forach, artykułach branżowych czy raportach analitycznych.
  • Historia bezpieczeństwa — czy dostawca miał incydenty bezpieczeństwa? Jak je rozwiązał? Przejrzystość w komunikacji o problemach to dobry znak.
  • Certyfikaty i akredytacje — czy dostawca posiada certyfikaty ISO, akredytacje branżowe czy zatwierdzenia od organów regulacyjnych?

4. Systemy AI wysokiego ryzyka — szczególna uwaga

Jeśli rozwiązanie AI, które rozważasz, może znacząco wpłynąć na Twoją bezpieczeństwo, prywatność lub prawa (np. systemy do monitorowania, identyfikacji biometrycznej, podejmowania decyzji o dostępie do usług), wymaga ono szczególnej ostrożności.

Dostawca powinien:

  • Potwierdzić stosowanie AI Act i jego wymagań (art. 25 ust. 4).
  • Wykazać, że wdrożył ramy zarządzania ryzykiem.
  • Zapewnić dokumentację dotyczącą bezpieczeństwa i przejrzystości systemu.
  • Deklarować gotowość do audytów i kontroli.

5. Monitorowanie na bieżąco

Due diligence nie kończy się na podpisaniu umowy. Musisz monitorować dostawcę przez cały okres współpracy:

  • Śledzenie zmian technologicznych — czy dostawca na bieżąco aktualizuje swoje rozwiązania? Czy wdraża nowe standardy bezpieczeństwa?
  • Weryfikacja SLA — czy dostawca spełnia umowne warunki dotyczące dostępności, wsparcia i czasu odpowiedzi?
  • Bezpieczeństwo podwykonawców — jeśli dostawca korzysta z podwykonawców (np. chmury, narzędzi trzecich), powinien zapewniać, że oni również spełniają standardy bezpieczeństwa.
  • Regularne przeglądy — zaplanuj okresowe spotkania z dostawcą, na których omówicie bezpieczeństwo, nowe zagrożenia i plany rozwojowe.

Co to oznacza dla użytkownika domowego?

Możesz myśleć, że wymogi DORA czy NIS2 to coś dla dużych instytucji, ale zasady zawarte w tych aktach są uniwersalne. Kiedy wybierasz dostawcę rozwiązania AI do swojego domu — niezależnie czy to system do automatyki, monitorowania czy analizy danych — warto stosować podobny proces weryfikacji.

Nie musisz być tak rygorystyczny jak bank, ale powinniśmy:

  1. Sprawdzić reputację dostawcy i jego zdolności techniczne.
  2. Upewnić się, że stosuje standardy bezpieczeństwa.
  3. Zweryfikować, czy ma kompetentny zespół i będzie wspierać rozwiązanie w przyszłości.
  4. Zawrzeć w umowie jasne warunki dotyczące bezpieczeństwa, wsparcia i dostępu do danych.
  5. Monitorować dostawcę na bieżąco.

Taki podход chroni Twoją prywatność, bezpieczeństwo danych i stabilność sieci domowej. Warto poświęcić czas na due diligence zanim powierzymy dostawcy dostęp do naszych systemów i danych osobowych.

Najczęstsze pytania

Co to jest due diligence dostawcy AI?

To proces szczegółowej weryfikacji potencjalnego dostawcy rozwiązań AI, obejmujący ocenę jego reputacji, kompetencji, zasobów finansowych i technicznych oraz zgodności ze standardami bezpieczeństwa. Celem jest upewnienie się, że podmiot jest wiarygodny i profesjonalny.

Jakie dokumenty powinienem żądać od dostawcy?

Powinniśmy zbierać: sprawozdania finansowe (kondycja finansowa), referencje od innych klientów, opis systemu zarządzania (np. certyfikaty ISO), potwierdzenie stosowania standardów NIST AI Risk Management Framework, oraz oświadczenia dotyczące zgodności z AI Act i przepisami o bezpieczeństwie danych.

Czy muszę stosować DORA i NIS2 w domu?

DORA obowiązuje instytucje finansowe, a NIS2 dotyczy operatorów usług krytycznych. Jednak zasady zawarte w tych aktach stanowią dobre praktyki dla każdego, kto korzysta z rozwiązań AI — warto je adaptować do własnych potrzeb.

Jak weryfikować reputację dostawcy?

Sprawdź referencje od innych klientów, przeanalizuj portfolio projektów, poszukaj opinii w branży, zweryfikuj dostępne informacje o kondycji finansowej firmy oraz jej obecności na rynku. Ostrożnie podchodź do informacji marketingowych — czasami są przesadzone.

Co to są systemy AI wysokiego ryzyka?

Zgodnie z AI Act, to systemy mogące znacząco wpłynąć na bezpieczeństwo, prywatność lub prawa człowieka — np. systemy do monitorowania, identyfikacji biometrycznej czy podejmowania decyzji wpływających na dostęp do usług. Wymagają szczególnej ostrożności przy wyborze dostawcy.

Na podstawie: Miesięcznik Finansowy BANK. Tekst opracowany redakcyjnie.