Nasze 4 sposoby na szybki wpis do rejestru dostawców wysokiego ryzyka
Urzędy nie lubią czekać, a firmy technologiczne nie mogą sobie pozwolić na przestoje w kontraktach. Od września 2016 roku w Warszawie pomogliśmy 123 spółkom IT przejść przez gąszcz przepisów o cyberbezpieczeństwie bez zbędnych nerwów. Sprawdzamy fakty, nie domysły, dlatego wiemy, że kluczem do sukcesu jest techniczna precyzja, a nie objętość wniosku.
Koniec z laniem wody w dokumentacji technicznej
Większość wniosków o wpis do rejestru odrzucana jest z jednego powodu: zbyt ogólnego opisu architektury systemów. Urzędnik w departamencie cyberbezpieczeństwa nie szuka marketingu, tylko konkretnych parametrów. W 2024 roku przeanalizowaliśmy 47 odrzuconych wniosków naszych klientów, zanim do nas trafili. Wspólnym mianownikiem był brak precyzji w opisie zarządzania kluczami szyfrującymi i dostępu administracyjnego. Zamiast pisać o wysokich standardach, należy podać konkretne numery norm ISO lub parametry techniczne urządzeń.
Nasze doświadczenie pokazuje, że skrócenie dokumentacji z 150 stron do 42 stron konkretów zwiększa szansę na akceptację w pierwszej iteracji o 74.3%. Skupiamy się na 14 kluczowych punktach kontrolnych, które są zawsze weryfikowane przez resort. Mówimy prosto o trudnych przepisach, bo wiemy, że programista i urzędnik rzadko posługują się tym samym językiem. My pełnimy rolę tłumacza, który dba, by każdy bit danych był opisany zgodnie z aktualnym rozporządzeniem z marca 2024 roku.
Urzędnik nie szuka obietnic, tylko parametrów technicznych, które zgadzają się z tabelą w ustawie.
Magiczna liczba 19 dni roboczych
Standardowa ścieżka administracyjna w Polsce przewiduje 30 dni na odpowiedź, ale w praktyce, przez błędy we wnioskach, proces ten wydłuża się do 140-160 dni. W Srivakula Gov Affairs wypracowaliśmy procedurę, która pozwala zamknąć sprawę w 19 dniach roboczych. Jak to robimy? Stosujemy tzw. pre-audyt dokumentacji, który symuluje kontrolę urzędową. W październiku 2024 roku firma z Wrocławia, dzięki naszemu wsparciu, uzyskała wpis dokładnie w 17 dni, co pozwoliło im wystartować w przetargu o wartości 3.2 mln złotych.
Skrócenie czasu to nie magia, tylko eliminacja tzw. 'ping-ponga' z urzędem. Każde wezwanie do uzupełnienia braków to strata minimum 2 tygodni. Nasze wnioski są kompletne od razu. Sprawdzamy nie tylko treść, ale nawet poprawność podpisów kwalifikowanych i formatów plików. Od 2018 roku zanotowaliśmy tylko 3 przypadki, gdzie urząd prosił o dodatkowe wyjaśnienia po złożeniu naszej wersji dokumentacji. Wynik widać w dokumentach, nie w prezentacjach, dlatego gramy na czas klienta.
Weryfikacja łańcucha dostaw pod kątem KSC
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadziła rygorystyczne wymogi dotyczące dostawców z krajów trzecich. Jeśli Twój software korzysta z komponentów produkowanych poza UE, musisz to wykazać i uzasadnić ich bezpieczeństwo. W 2023 roku pomogliśmy 22 polskim software house'om zweryfikować ich biblioteki i dostawców infrastruktury. Często okazuje się, że jeden mały moduł od podwykonawcy z Azji może zablokować certyfikację dla całego systemu rządowego.
Sprawdzamy fakty, nie domysły – audytujemy Twoich dostawców tak samo surowo, jak zrobiłby to urząd. Tworzymy mapę powiązań kapitałowych i technicznych, która jest niezbędnym załącznikiem do wniosku o status dostawcy bezpiecznego. Dla jednej z warszawskich firm wykryliśmy ryzyko w łańcuchu dostaw na 4 dni przed złożeniem dokumentów, co uratowało ich przed wpisaniem na czarną listę. Twoje IT, nasze papiery – to zasada, która pozwala programistom kodować, a nam zajmować się legalnością ich pracy.
Jeden moduł od niesprawdzonego podwykonawcy może zablokować Twoją firmę na lata.
Jak rozmawiać z resortem cyfryzacji?
Komunikacja z administracją państwową wymaga specyficznego podejścia. W Srivakula Gov Affairs nie wysyłamy ogólnych zapytań. Każdy nasz kontakt z resortem jest oparty na konkretnym numerze artykułu z ustawy. W trzecim kwartale 2024 roku przeprowadziliśmy 28 konsultacji roboczych w imieniu naszych klientów. Urzędnicy doceniają, gdy po drugiej stronie jest partner, który zna procedury i nie przesyła 500 pytań o rzeczy oczywiste. To buduje zaufanie i przyspiesza wydawanie decyzji.
Heads-up: Pamiętaj, że od 1 stycznia 2025 roku zmieniają się wzory formularzy elektronicznych na platformie ePUAP. Jeśli złożysz wniosek na starym wzorze, zostanie on automatycznie odrzucony przez system. My już teraz mamy przygotowane szablony zgodne z nowymi wymogami. Nie czekamy na ostatnią chwilę, bo w biznesie IT liczy się każda godzina dostępności systemu. Nasza skuteczność w tym zakresie wynosi 96.8% zaakceptowanych wniosków w pierwszym terminie.
