Wstęp
Scenariusz, który pojawia się coraz częściej: kancelaria obsługuje klienta z sektora finansowego, ubezpieczeniowego lub medycznego. Relacja działa od kilku lat, wszystko przebiega sprawnie. I nagle klient przysyła e-mail z informacją, że w ramach zarządzania ryzykiem dostawców przeprowadzi audyt bezpieczeństwa informacji u swoich zewnętrznych partnerów — i kancelaria jest na liście.
Do wypełnienia kwestionariusz. Termin: dwa tygodnie. Pytania dotyczą polityk bezpieczeństwa, szyfrowania danych, zarządzania dostępem, kopii zapasowych, procedur reagowania na incydenty, certyfikatów i dokumentacji.
Reakcja, którą obserwujemy najczęściej: najpierw lekka panika, potem próba szybkiego "nadrobienia" braków przed odpowiedzią na kwestionariusz, i w końcu — odpowiedź, która mija się z rzeczywistością albo ujawnia luki, których kancelaria wolałaby nie pokazywać.
Ten artykuł jest po to, żeby następnym razem ten scenariusz wyglądał inaczej.
Dlaczego klienci audytują kancelarie
Żeby dobrze przygotować się na audyt, warto zrozumieć skąd się bierze i czego tak naprawdę szuka klient.
Regulacje, które dotyczą dużą część sektorów obsługiwanych przez kancelarie — DORA w finansach, NIS2 w podmiotach kluczowych i ważnych, wymogi KNF dla instytucji finansowych — nakładają obowiązek zarządzania ryzykiem w łańcuchu dostaw. Innymi słowy: regulowany podmiot odpowiada nie tylko za swoje własne bezpieczeństwo, ale też za bezpieczeństwo swoich dostawców, którym powierza dane lub którzy mają dostęp do jego systemów.
Kancelaria prawna jest takim dostawcą. Przetwarza dane klienta — dokumenty, umowy, informacje poufne. Jeśli kancelaria zostanie skutecznie zaatakowana i dane klienta wyciekną — regulowany podmiot może mieć z tego tytułu problem z organem nadzorczym, nawet jeśli jego własne systemy były nienaruszone.
Dlatego audyt kancelarii przez klienta to nie jest fanaberia ani próba dominacji w relacji. To efekt realnych wymogów regulacyjnych, które klient musi spełnić — i które będą się rozszerzać. DORA, która weszła w życie w 2025 roku, wymaga od instytucji finansowych szczegółowego inwentaryzowania i oceniania ryzyka wszystkich istotnych dostawców usług ICT. Kancelaria obsługująca bank czy TFI jest bardzo często w tym katalogu.
Praktyczny wniosek: kancelarie, które nie będą w stanie wykazać odpowiedniego poziomu bezpieczeństwa, będą tracić klientów z regulowanych sektorów na rzecz tych, które ten poziom mogą udokumentować. To nie jest odległa przyszłość — to zaczyna się teraz.
Co klient sprawdza podczas audytu
Zakres audytu zależy od klienta, branży i tego jak poważnie traktuje zarządzanie ryzykiem dostawców. Ale pewne obszary pojawiają się niemal zawsze. Poniżej to, co widzimy najczęściej w kwestionariuszach, które trafiają do naszych klientów.
Dokumentacja bezpieczeństwa
Pierwsze pytanie, które pojawia się w każdym kwestionariuszu: czy kancelaria ma politykę bezpieczeństwa informacji? Czy jest aktualna? Kto ją zatwierdził?
Polityka bezpieczeństwa to dokument, który opisuje podejście kancelarii do ochrony informacji — jakie są zasady, kto za co odpowiada, jak zarządzane są ryzyka. Nie musi być dokumentem liczącym sto stron. Musi być realnym dokumentem, który odzwierciedla to jak kancelaria faktycznie działa — i musi być zatwierdzony przez zarządzających.
Klient sprawdza też czy istnieje rejestr czynności przetwarzania, czy są podpisane umowy powierzenia z dostawcami, czy kancelaria ma procedurę reagowania na incydenty.
Brak któregokolwiek z tych dokumentów to od razu czerwona flaga w raporcie audytowym.
Zarządzanie dostępem
Kto ma dostęp do danych klienta? Jak są nadawane uprawnienia? Co się dzieje z dostępem gdy pracownik odchodzi? Czy stosowana jest weryfikacja dwuetapowa przy logowaniu?
To obszar, w którym kancelarie mają najwięcej braków. Dostęp nadawany "wszystkim bo tak wygodniej", brak przeglądu uprawnień, konta byłych pracowników — to ustalenia, które pojawiają się regularnie. I które są trudne do wytłumaczenia klientowi, który pyta dlaczego osoba już niepracująca w kancelarii nadal miała dostęp do jego dokumentów.
Bezpieczeństwo urządzeń i infrastruktury
Czy urządzenia końcowe (laptopy, telefony) są szyfrowane? Czy jest oprogramowanie antywirusowe lub EDR? Czy sieć kancelarii jest zabezpieczona? Czy stosowany jest VPN przy pracy zdalnej?
Pytania brzmią technicznie, ale odpowiedzi są binarne: tak lub nie. Klient nie oczekuje szczegółów konfiguracji — oczekuje potwierdzenia, że podstawowe mechanizmy są wdrożone.
Kopie zapasowe i ciągłość działania
Jak często robione są kopie zapasowe? Gdzie są przechowywane? Czy były testowane? Jak długo kancelaria może działać bez dostępu do systemów?
To pytanie staje się szczególnie istotne jeśli kancelaria obsługuje klienta w sprawach time-sensitive — transakcje, postępowania z terminami. Klient chce wiedzieć, że atak ransomware lub awaria systemu nie sparaliżuje kancelarii na tygodnie.
Szkolenia pracowników
Czy pracownicy przechodzą szkolenia z bezpieczeństwa informacji? Jak często? Jak kancelaria weryfikuje że szkolenie było efektywne?
To obszar, w którym kancelarie często mają coś — bo szkolenia RODO pojawiają się przy wdrożeniu — ale nie mają dokumentacji ani regularności. "Zrobiliśmy szkolenie przy wdrożeniu RODO trzy lata temu" to odpowiedź, która nie zadowala audytora.
Obsługa incydentów
Czy kancelaria ma procedurę reagowania na incydenty bezpieczeństwa? Czy pracownicy wiedzą co robić gdy coś się stanie? Czy kancelaria miała incydenty w ciągu ostatnich dwóch lat i jak je obsłużyła?
To ostatnie pytanie zaskakuje wielu zarządzających — bo zakładają, że przyznanie się do incydentu automatycznie dyskwalifikuje kancelarię. Nieprawda. Klient, który sam przetwarza setki tysięcy zdarzeń bezpieczeństwa rocznie, wie doskonale, że incydenty się zdarzają. Interesuje go to jak kancelaria zareagowała — czy miała procedurę, czy zidentyfikowała przyczynę, czy wdrożyła poprawki.
Kancelaria, która mówi "nie mieliśmy żadnych incydentów" przy braku jakiegokolwiek systemu monitorowania — budzi nieufność, nie zaufanie.
Jak wygląda sam proces audytu
Audyty bezpieczeństwa klienta wobec dostawców mają zazwyczaj kilka wariantów, zależnie od tego jak poważnie klient traktuje ten obszar.
Kwestionariusz samooceny
Najczęstszy wariant. Kancelaria otrzymuje listę pytań — od kilkudziesięciu do kilkuset — i wypełnia je samodzielnie. Klient analizuje odpowiedzi, może zadać pytania uzupełniające, ale nie weryfikuje twierdzeń bezpośrednio.
To wariant, przy którym pokusa "upiększenia" odpowiedzi jest największa. I wariant, przy którym upiększone odpowiedzi najbardziej szkodzą — bo jeśli dojdzie do incydentu i klient porówna odpowiedzi z kwestionariusza z rzeczywistym stanem zabezpieczeń, kancelaria ma poważny problem wizerunkowy i potencjalnie prawny.
Audyt dokumentacyjny
Klient prosi o przesłanie konkretnych dokumentów: polityki bezpieczeństwa, rejestru czynności przetwarzania, procedury reagowania na incydenty, certyfikatów szkoleń, umów powierzenia z kluczowymi dostawcami. Analizuje dokumenty, zadaje pytania do treści.
Tu nie ma miejsca na mówienie że "mamy politykę" gdy jej nie ma. Dokumenty albo istnieją albo nie.
Audyt na miejscu lub zdalny z weryfikacją techniczną
Wariant stosowany przez większych klientów lub przy relacjach o szczególnie wysokim ryzyku. Audytorzy — własni lub zewnętrzni — sprawdzają dokumentację na miejscu, przeprowadzają wywiady z pracownikami, mogą weryfikować konfigurację systemów. To jest rzadszy wariant dla kancelarii, ale zdarza się przy obsłudze dużych instytucji finansowych.
Jak przygotować kancelarię — plan działania
Dobra wiadomość jest taka, że przygotowanie do audytu klienta i wdrożenie rzeczywistego bezpieczeństwa to w dużej mierze to samo zadanie. Nie chodzi o "zdanie egzaminu" — chodzi o faktyczne poukładanie obszarów, które klient i tak sprawdzi.
Krok 1: Ustal co masz i czego brakuje
Zanim zaczniesz tworzyć dokumenty — sprawdź co faktycznie istnieje. Czy jest polityka bezpieczeństwa? Kiedy była ostatnio aktualizowana? Czy jest rejestr czynności przetwarzania? Czy umowy powierzenia z dostawcami (chmura, system kancelaryjny, księgowość) są podpisane i aktualne?
To często zajmuje jeden dzień pracy — przegląd zasobów, lista tego co jest i czego nie ma. Ta lista jest punktem startowym.
Krok 2: Uzupełnij dokumentację bazową
Polityka bezpieczeństwa informacji, procedura reagowania na incydenty, rejestr czynności przetwarzania, zasady zarządzania dostępem — to cztery dokumenty, które powinny być w każdej kancelarii niezależnie od audytu. Bez nich trudno odpowiadać na jakikolwiek kwestionariusz w sposób, który buduje zaufanie.
Dokumenty te nie muszą być długie. Muszą być realne — to znaczy opisywać to jak kancelaria faktycznie działa, a nie jak powinna działać w teorii. Audytor, który zadaje pytania uzupełniające i widzi, że pracownicy nie mają pojęcia o "polityce bezpieczeństwa" zawartej w dokumencie, rozumie, że dokument istnieje tylko na papierze.
Krok 3: Zamknij podstawowe luki techniczne
Lista kontrolna, od której zaczynamy przy każdej kancelarii: szyfrowanie dysków na laptopach, weryfikacja dwuetapowa na poczcie i systemach dostępnych przez internet, przegląd aktywnych kont użytkowników, weryfikacja konfiguracji kopii zapasowych (i test odtworzenia), aktualizacje systemu operacyjnego i oprogramowania.
To nie jest projekt wielomiesięczny. Większość z tych punktów można zamknąć w ciągu tygodnia. Wymaga woli i kilku godzin pracy — niekoniecznie dużych nakładów finansowych.
Krok 4: Udokumentuj szkolenia
Jeśli szkolenia z bezpieczeństwa były — udokumentuj je retroaktywnie: daty, uczestników, zakres. Jeśli nie były — zaplanuj je i przeprowadź. Certyfikat ze szkolenia lub choćby lista obecności z podpisami jest dowodem, który klient może zobaczyć. "Mówimy pracownikom o zasadach bezpieczeństwa" bez dokumentacji to twierdzenie, które nic nie waży w kwestionariuszu.
Krok 5: Odpowiadaj uczciwie — i zaznaczaj co jest w trakcie wdrożenia
To jest rada, która działa lepiej niż próba ukrycia braków. Jeśli czegoś nie ma — napisz, że jest w trakcie wdrożenia, z terminem. "Procedura reagowania na incydenty jest w trakcie finalizacji, planowany termin wdrożenia: Q2 2025" brzmi znacznie lepiej niż "tak, mamy procedurę" gdy jej nie ma i klient to zweryfikuje.
Klienci z sektorów regulowanych są przyzwyczajeni do tego, że zarządzanie bezpieczeństwem to proces, nie stan. Doceniają transparentność i plan — nie oczekują perfekcji od kancelarii, która nigdy wcześniej nie przechodziła przez audyt. Oczekują, że kancelaria traktuje temat poważnie.
Certyfikaty i potwierdzenia zewnętrzne — kiedy mają znaczenie
W niektórych kwestionariuszach pojawia się pytanie o certyfikaty lub zewnętrzne potwierdzenia bezpieczeństwa. ISO 27001, SOC 2, wyniki audytu zewnętrznego.
Dla większości kancelarii certyfikacja ISO 27001 jest na tym etapie nieproporcjonalna do skali działalności i relacji z klientami. To kilkumiesięczny projekt, znaczące nakłady i stały koszt utrzymania. Sens pojawia się przy kancelariach z rozbudowanym portfelem klientów korporacyjnych i instytucjonalnych, dla których bezpieczeństwo dostawców jest systematycznie weryfikowane.
Natomiast raport z zewnętrznego audytu bezpieczeństwa — przeprowadzonego przez firmę taką jak nasza — ma realną wartość w odpowiedzi na kwestionariusz. Pokazuje, że kancelaria nie oceniała się samodzielnie, ale poddała się weryfikacji zewnętrznej. To różnica jakościowa, którą audytorzy klienta zauważają.
Raport nie musi stwierdzać, że wszystko jest idealne. Musi pokazywać że kancelaria wie gdzie są słabe punkty i co z nimi robi.
Co się dzieje gdy kancelaria "obleje" audyt
Wynik audytu ma zazwyczaj kilka możliwych finałów: akceptacja bez zastrzeżeń, akceptacja z listą punktów do poprawy i terminem weryfikacji, zawieszenie relacji do czasu poprawy, lub — w skrajnych przypadkach — zakończenie współpracy.
Kancelarie rzadko są od razu wyrzucane z portfela dostawców po jednym audycie. Częściej klient oczekuje planu naprawczego z konkretnymi terminami i weryfikuje jego realizację po kilku miesiącach. To okno, które trzeba wykorzystać — i które jest znacznie łatwiejsze do wykorzystania gdy kancelaria ma kogoś, kto pomoże te punkty faktycznie zamknąć.
Co jest gorsze niż słaby wynik audytu? Słaby wynik audytu bez żadnego planu działania. I jeszcze gorsze: słaby wynik audytu ujawniony przy okazji incydentu, który naruszył dane klienta. Wtedy rozmowa przestaje dotyczyć bezpieczeństwa, a zaczyna dotyczyć odpowiedzialności.
Przewaga konkurencyjna dla kancelarii, które to robią dobrze
Chcę zakończyć tym wątkiem, bo jest ważny strategicznie, a rzadko pojawia się w dyskusjach o bezpieczeństwie.
Kancelarie, które mają poukładane bezpieczeństwo i mogą to udokumentować, mają realną przewagę w przetargach i rozmowach o nowych kontraktach z klientami korporacyjnymi. Nie dlatego że bezpieczeństwo jest modne. Dlatego że dla dużej firmy, banku czy funduszu — wybór kancelarii, która nie przejdzie ich procesu weryfikacji dostawców, jest po prostu niemożliwy niezależnie od jakości obsługi prawnej.
To oznacza, że inwestycja w bezpieczeństwo — dobrze udokumentowana i zweryfikowana zewnętrznie — przekłada się bezpośrednio na dostęp do segmentu klientów, dla których inne kancelarie są niedostępne.
Z naszego doświadczenia wynika, że kancelarie, które przechodzą przez ten proces raz — przy okazji pierwszego audytu klienta — wychodzą z niego ze znacznie lepiej przygotowaną infrastrukturą bezpieczeństwa i dokumentacją, które służą im przy kolejnych audytach. Pierwszy raz jest najtrudniejszy. Potem to już głównie utrzymanie i aktualizowanie.
Podsumowanie
Audyt bezpieczeństwa ze strony klienta to sygnał, że relacja dojrzewa do poziomu, przy którym bezpieczeństwo danych jest traktowane poważnie po obu stronach. Dla kancelarii to szansa — nie zagrożenie — pod warunkiem że jest na niego przygotowana.
Cztery rzeczy, które warto mieć zanim kwestionariusz trafi do skrzynki: politykę bezpieczeństwa, rejestr czynności przetwarzania, udokumentowane szkolenia pracowników i działający backup z testem odtworzenia. To minimum, które pokazuje że kancelaria traktuje temat poważnie.
Jeśli chcesz sprawdzić gdzie stoi Twoja kancelaria przed ewentualnym audytem klienta — zacznij od naszego bezpłatnego audytu online:
[Sprawdź kancelarię →] [https://legal.pushsec.pl/audyt-bezpieczenstwa-kancelarii/]
Albo porozmawiajmy bezpośrednio o przygotowaniu do konkretnego audytu: kontakt@legal.pushsec.pl | (+48) 780 519 553