...

Cyberbezpieczeństwo – ukryte ryzyko w transakcjach M&A i rola norm ISO

Picture of Dariusz Rycek

Dariusz Rycek

CEO, MBA, Lead Auditor ISMS, BCMS (CoC PECB), Ekspert w zakresie certyfikacji systemów zarządzania, QSCert Lead Auditor - ISO/IEC 27001, ISO 22301, i innych standardów.

Cyberbezpieczeństwo – ukryte ryzyko w transakcjach M&A i rola norm ISO

M&A Cybersecurity, ISO 27001

Wprowadzenie

Zwyczajowo już publikacje Financial Worldwider (FW), czy też R&C służą nam jako inspiracja do opisania podejmowanego tematu, ale w kontekście standardów ISO, które stanowią dla nas chleb powszedni, a które mimo wszystko słabo są wykorzystywane nawet w środowiskach praktyków. Dzisiaj wzięliśmy na tapetę artykuł „Cyber security – hidden risk in M&A deals” Richarda Syummerfielda opublikowanego w FW – wydanie 10-2025.

Fuzje i przejęcia (M&A) to złożone procesy, w których kluczowe znaczenie ma analiza finansowa, prawna i operacyjna. Jednak coraz częściej to cyberbezpieczeństwo staje się czynnikiem, który może przesądzić o powodzeniu lub porażce transakcji. Przejęcie firmy z ukrytymi lukami w systemach IT czy niewystarczającym poziomem ochrony danych może narazić nabywcę na ogromne koszty, odpowiedzialność prawną i utratę reputacji.

Normy ISO dostarczają narzędzi, które wspierają zarówno proces due diligence, jak i późniejszą integrację poakwizycyjną. W szczególności warto wskazać:

  • ISO/IEC 27001 – system zarządzania bezpieczeństwem informacji,
  • ISO/IEC 27002 – praktyczne zabezpieczenia i kontrole,
  • ISO/IEC 27005 – zarządzanie ryzykiem bezpieczeństwa informacji,
  • ISO/IEC 27035 – zarządzanie incydentami,
  • ISO/IEC 27036 – bezpieczeństwo w relacjach z dostawcami,
  • ISO/IEC 22301 – zarządzanie ciągłością działania,
  • ISO/IEC 27701 – zarządzanie ochroną danych osobowych,
  • ISO/IEC 42001 – system zarządzania sztuczną inteligencją,
  • ISO 31000 – ogólne zarządzanie ryzykiem.

Słabości i ryzyka cyber w M&A

Artykuł FW wskazuje na kilka kluczowych zagrożeń:

  • naruszenia danych – mogą generować koszty sięgające milionów dolarów oraz utratę reputacji,
  • ryzyka stron trzecich – luki w zabezpieczeniach dostawców czy partnerów biznesowych,
  • systemy legacy – przestarzałe oprogramowanie i brak aktualizacji bezpieczeństwa,
  • zagrożenia wewnętrzne – trudne do wykrycia, często pomijane w due diligence.

W praktyce oznacza to, że przejęcie firmy może wiązać się z odziedziczeniem ukrytych podatności – od przestarzałych aplikacji, przez brak procedur bezpieczeństwa, aż po luki w zabezpieczeniach partnerów biznesowych. To właśnie tutaj szczególne znaczenie mogą mieć normy ISO, które pozwalają uporządkować podejście do ryzyk cybernetycznych.

Dlaczego cyberbezpieczeństwo stało się krytyczne w M&A?

W procesach M&A ryzyka cyber są jednymi z najczęściej pomijanych czynników. Przejęcie firmy oznacza również przejęcie jej podatności, długów technologicznych, zależności od dostawców i potencjalnych incydentów, które mogą zostać ujawnione dopiero po połączeniu organizacji. Historia pokazuje, że brak właściwego due diligence cyber może prowadzić do wielomilionowych strat, przerw operacyjnych i utraty reputacji.

Jakie ryzyka ocenić podczas due diligence?

Kluczowe obszary oceny to:

  • dojrzałość ISMS,

  • incydenty z ostatnich 3 lat,

  • stan infrastruktury i podatności,

  • zarządzanie tożsamością i dostępami,

  • bezpieczeństwo dostawców (SaaS, chmura, outsourcing),

  • kopie zapasowe i odtwarzanie systemów,

  • zgodność z regulacjami (NIS2, RODO, sektorówki),

  • gotowość do funkcjonowania w zakłóceniu.

Ryzyka te muszą być ocenione przed wyceną — a ISO 27001 i ISO 22301 dają formalny język do ich opisania.

Jak ISO wspiera due diligence w M&A

ISO/IEC 27001 i ISO/IEC 27002
Te normy definiują ramy systemu zarządzania bezpieczeństwem informacji (ISMS) i zestaw dobrych praktyk dotyczących zabezpieczeń technicznych i organizacyjnych. Dzięki nim inwestor może ocenić, czy przejmowana firma ma spójne podejście do ochrony danych i czy stosuje środki adekwatne do skali ryzyk. W praktyce różnica między firmą z certyfikatem ISO 27001 a taką, która go nie posiada, może być ogromna – pierwsza ma uporządkowany system, druga często reaguje dopiero po incydencie.

ISO/IEC 27005
Ta norma dostarcza metodyki oceny ryzyka cyber, która świetnie nadaje się do procesu due diligence. Dzięki niej nabywca może nie tylko zidentyfikować luki bezpieczeństwa, ale też zrozumieć ich potencjalne konsekwencje finansowe i reputacyjne. To szczególnie ważne, gdy trzeba oszacować, czy ryzyka cyber mogą obniżyć wartość transakcji.

ISO/IEC 27035
W procesie przejęcia warto wiedzieć, jak firma reaguje na incydenty – czy ma opracowane plany, jak szybko potrafi przywrócić działanie systemów i jakie prowadzi analizy po incydentach. ISO 27035 opisuje najlepsze praktyki w tym zakresie, dzięki czemu nabywca może sprawdzić, czy przejmowana firma jest odporna na kryzysy, czy raczej działa chaotycznie.

ISO/IEC 27036
Łańcuch dostaw i partnerstwa technologiczne to coraz częstsze źródła cyberataków. ISO 27036 pozwala uporządkować wymagania wobec dostawców i kontrahentów – od bezpiecznych umów po audyty bezpieczeństwa. Kupując firmę, inwestor zyskuje także jej sieć dostawców, a ta może być zarówno aktywem, jak i poważnym źródłem podatności.

ISO/IEC 22301
Zarządzanie ciągłością działania (BCMS) staje się krytyczne w momencie integracji systemów IT po przejęciu. ISO 22301 pomaga sprawdzić, czy firma jest przygotowana na przerwy w działaniu, ma plany awaryjne i procedury odtwarzania danych. Brak takiego systemu może oznaczać, że każda większa awaria po M&A zamieni się w poważny kryzys.

ISO/IEC 27701
Regulacje dotyczące ochrony danych osobowych (np. RODO) to dziś jeden z największych obszarów ryzyka. ISO 27701 rozszerza system zarządzania bezpieczeństwem informacji o wymogi ochrony prywatności. Dla inwestora to sygnał, że przejmowana firma nie tylko chroni dane technicznie, ale także zarządza zgodnością z regulacjami – co może uchronić przed wysokimi karami finansowymi.

ISO/IEC 42001
Jeśli w grę wchodzi spółka technologiczna korzystająca z AI, ocena ryzyk związanych ze sztuczną inteligencją staje się kluczowa. ISO 42001 to pierwsza norma opisująca system zarządzania AI – jej wdrożenie dowodzi, że organizacja myśli o etyce, bezpieczeństwie i przejrzystości algorytmów. W M&A może to stanowić przewagę konkurencyjną, ale też warunek uniknięcia reputacyjnych i prawnych kłopotów.

ISO 31000
Wszystkie powyższe aspekty łączy jedna rama – zarządzanie ryzykiem wg ISO 31000. Norma ta daje organizacjom język i procesy do oceny ryzyk strategicznych, w tym cyber. Dzięki temu nabywca może zrozumieć, jak przejmowana firma traktuje ryzyko – czy jest ono elementem strategii, czy jedynie techniczną kwestią działu IT.

Jak ISO 27001 wspiera M&A?

ISO 27001 daje miarodajny sposób oceny ryzyk technologicznych: stan kontroli, rezultaty audytów, rejestr ryzyk, proces zarządzania incydentami i relacje z dostawcami. Na ich podstawie możliwe jest określenie, jaki jest realny stan bezpieczeństwa organizacji przejmowanej i ile kosztować będzie jego doprowadzenie do standardu grupy.

Jak ISO 22301 wspiera M&A?

ISO 22301 dostarcza danych o poziomie odporności operacyjnej firmy: priorytetach procesów, parametrach RTO/RPO, strategiach zależnych od dostawców, testach BCP/DRP i zdolności organizacji do funkcjonowania podczas zakłóceń. Dane te są kluczowe dla oceny, czy przejmowana firma nie ukrywa ryzyk, które mogą zatrzymać działalność po integracji.

ISO 27001 Cybersecurity

Korzyści z podejścia ISO w M&A

Wdrożenie podejścia opartego na normach ISO w transakcjach fuzji i przejęć przynosi szereg wymiernych korzyści:

  • Kompleksowa ocena ryzyk – dzięki ISO 27005 i ISO 31000 możliwe jest nie tylko zidentyfikowanie luk, ale też określenie ich wpływu na wartość biznesową.
  • Ochrona wartości transakcji – ISO 27001 i ISO 22301 pomagają zabezpieczyć kluczowe aktywa i zapewnić ciągłość działania, nawet w obliczu kryzysów.
  • Zgodność regulacyjna – wdrożenie ISO 27701 pozwala uniknąć ryzyka kar i wzmocnić zaufanie klientów.
  • Bezpieczeństwo w łańcuchu dostaw – ISO 27036 zmniejsza ryzyka związane z dostawcami i podwykonawcami, które w transakcjach M&A często bywają niedoszacowane.
  • Wiarygodność rynkowa – firmy z certyfikatami ISO pokazują, że traktują cyberbezpieczeństwo poważnie, co wzmacnia ich reputację i ułatwia integrację po przejęciu.

Najczęstsze błędy w cyber due diligence

Najczęstsze błędy to ograniczenie oceny do checklist, pominięcie analizy incydentów historycznych, brak weryfikacji backupów, nieuwzględnienie łańcucha dostaw oraz przyjęcie, że „certyfikat ISO 27001 rozwiązuje problem”. W praktyce wiele organizacji posiada certyfikat, ale ich faktyczna dojrzałość bezpieczeństwa odbiega od wymogów sytuacyjnych.

Checklista cyber due diligence w M&A

  1. Rejestr ryzyk ISMS i plan ich traktowania.

  2. Wyniki BIA i kluczowe RTO/RPO procesów.

  3. Ostatnie audyty wewnętrzne i raporty z incydentów.

  4. Dojrzałość procesów backupu i odtwarzania.

  5. Stan kontroli dostawców i podwykonawców.

  6. Architektura IAM (dostępy, role, przywileje).

  7. Ocena podatności infrastruktury i aplikacji.

  8. Zgodność z NIS2, DORA, RODO.

  9. Dokumentacja BCP/DRP + wyniki testów.

  10. Ryzyka integracyjne (procesy, dane, ludzie, IT).

ISO 27001 Cybersecurity

Podsumowanie

Jak podkreśla Financier Worldwide, cyberbezpieczeństwo to ukryte, ale kluczowe ryzyko w transakcjach M&A. Normy ISO pozwalają podejść do niego w sposób systemowy i mierzalny – od identyfikacji podatności, przez ocenę ryzyk, aż po skuteczną integrację po transakcji.

Firmy, które włączają ISO 27001, ISO 22301 i ISO 31000 w swoje procesy M&A, chronią wartość transakcji, wzmacniają odporność i zyskują przewagę konkurencyjną.

Na co zwrócić uwagę po przejęciu firmy?

Po przejęciu kluczowe jest ujednolicenie polityk, dostępów, architektury kopii zapasowych, używanych narzędzi cyber i procedur incydentowych. Największe ryzyka integracyjne nie wynikają z technologii, lecz z braku synchronizacji procesów bezpieczeństwa i ciągłości działania. Dlatego ISO 27001 i ISO 22301 powinny być podstawą harmonizacji w pierwszych 90 dniach.

FAQ: „Cyberbezpieczeństwo – ukryte ryzyko w transakcjach M&A i rola norm ISO”

Bo bardzo często nie jest w pełni widoczne w tradycyjnym due diligence finansowo-prawnym. Luka w systemach bezpieczeństwa, brak planów ciągłości, słaby łańcuch dostaw czy nierozwiązane incydenty mogą przełożyć się po przejęciu na realne straty – finansowe, regulacyjne i reputacyjne.

Kupujesz nie tylko aktywa i klientów, ale także „historię” podatności, incydentów i zaniedbań. Bez usystematyzowanego podejścia do ryzyka cyber, transakcja może okazać się znacznie bardziej ryzykowna niż wynikało to z twardych wskaźników finansowych.

ISO/IEC 27001 dostarcza ram ISMS, które można wykorzystać jako checklistę do oceny przejmowanej firmy: czy ma politykę bezpieczeństwa, wyniki analizy ryzyka, katalog aktywów, wdrożone kontrole, procedury zarządzania incydentami, rejestr incydentów, przeglądy zarządzania.

W praktyce: jeśli przejmowana firma ma certyfikat ISO/IEC 27001, łatwiej jest szybko ocenić jej poziom dojrzałości cyber, poprosić o SoA, raporty z audytów, wyniki testów. Jeśli nie – używasz wymagań normy jako szkieletu pytań w procesie due diligence.

ISO 22301 pokazuje, czy organizacja potrafi utrzymać krytyczne procesy i odtwarzać je po zakłóceniu, co jest szczególnie ważne w okresie integracji powytransakcyjnej. Brak BCMS może oznaczać, że nawet stosunkowo niewielka awaria po połączeniu systemów IT doprowadzi do poważnego kryzysu operacyjnego.

W due diligence warto pytać o BIA, strategie BCP, testy, wyniki ćwiczeń, plany odtwarzania systemów krytycznych. To pozwala ocenić, czy organizacja jest „odporna na zmianę” – zarówno planową (integracja), jak i nieplanowaną (incydenty, awarie).

Normy możesz potraktować jako zestaw punktów odniesienia do trzech etapów: przed transakcją, w trakcie i po niej. Przed – służą do oceny dojrzałości bezpieczeństwa i ciągłości (gap analysis). W trakcie – są bazą do zapisów w SPA/SSA, gwarancji i zobowiązań powdrożeniowych. Po – stają się mapą integracji systemów zarządzania w nowej organizacji.

Przykładowo: ISO/IEC 27005 dla oceny ryzyka cyber, ISO/IEC 22301 dla przygotowania planów ciągłości w okresie migracji, ISO/IEC 27701 dla ryzyk RODO, a ISO/IEC 42001 dla firm korzystających z AI. To pozwala przekształcić ogólne hasło „zadbajmy o cyber” w konkretny plan działań.

Certyfikaty po obu stronach zdecydowanie ułatwiają dialog i są silnym sygnałem dojrzałości. Nie zastępują jednak analizy ryzyk transakcyjnych. Zakres certyfikacji może być różny, a poziom faktycznego wdrożenia – nierówny.

Dojrzałe podejście polega na tym, że używasz certyfikatów i norm jako wspólnego języka, ale mimo to wykonujesz własną ocenę ryzyka, uzgadniasz plan działań powdrożeniowych i włączasz elementy ISMS/BCMS do integracji organizacji po M&A.

.

Bibliografia:

  1. Financier Worldwider 10-2025 – https://www.financierworldwide.com/october-2025-issue-download , Artykuł: “Cyber security: hidden risk in M&A deals” written by Richard Summerfield, strona: 10 (12)/120.
  2. ISO/IEC 27001:2022 – system zarządzania bezpieczeństwem informacji, https://www.iso.org/home.html
  3. ISO/IEC 27002:2022 – praktyczne zabezpieczenia i kontrole, https://www.iso.org/home.html
  4. ISO/IEC 27005:2022 – zarządzanie ryzykiem bezpieczeństwa informacji, https://www.iso.org/home.html
  5. ISO/IEC 27035-1do 4:2020 – 2024 – zarządzanie incydentami, https://www.iso.org/home.html
  6. ISO/IEC 27036-1 do 4:2016 – 2023 – bezpieczeństwo w relacjach z dostawcami, https://www.iso.org/home.html
  7. ISO/IEC 22301:2019 – zarządzanie ciągłością działania, https://www.iso.org/home.html
  8. ISO/IEC 27701:2025 – zarządzanie ochroną danych osobowych, https://www.iso.org/home.html
  9. ISO/IEC 42001:2023 – system zarządzania sztuczną inteligencją, https://www.iso.org/home.html
Przewijanie do góry