Cyberbezpieczeństwo w M&A: jak wykorzystać ISO 27001 i ISO 22301 w due diligence?
Publikacje Financier Worldwide i R&C od lat inspirują nas do pokazywania praktycznych tematów biznesowych w perspektywie systemów zarządzania wg norm ISO, które są naszym codziennym narzędziem pracy – a wciąż bywają niedoceniane nawet w środowisku praktyków M&A. Tym razem punktem wyjścia jest artykuł „Cyber security – hidden risk in M&A deals” Richarda Summerfielda z FW (10-2025), który opisuje cyberbezpieczeństwo jako ukryte, ale krytyczne ryzyko w transakcjach fuzji i przejęć. W tym wpisie pokazujemy, jak tę perspektywę przełożyć na język ISO 27001, ISO 22301 i powiązanych norm, tak aby cyber due diligence było bardziej kompletne i mierzalne.
Planujesz sprzedaż firmy lub przygotowujesz organizację do roli atrakcyjnego celu przejęcia?
Cyberbezpieczeństwo – ukryte ryzyko w transakcjach M&A i rola norm ISO
Złożone procesy fuzji i przejęć tradycyjnie koncentrują się na analizie finansowej, prawnej i operacyjnej, podczas gdy obszar cyberbezpieczeństwa jeszcze do niedawna był traktowany jako temat „techniczny”. Coraz częściej to właśnie cyber staje się czynnikiem, który może przesądzić o powodzeniu lub porażce transakcji – przejęcie organizacji z ukrytymi podatnościami, słabą ochroną danych czy niezarządzonymi incydentami generuje ryzyka finansowe, regulacyjne i reputacyjne.
Normy ISO dostarczają ram i narzędzi, które pozwalają uporządkować zarówno sam proces cyber due diligence, jak i późniejszą integrację poakwizycyjną. W praktyce szczególnie istotne są:
ISO/IEC 27001 – system zarządzania bezpieczeństwem informacji (ISMS),
ISO/IEC 27002 – praktyczne zabezpieczenia i kontrole,
ISO/IEC 27005 – zarządzanie ryzykiem bezpieczeństwa informacji,
ISO/IEC 27035 – zarządzanie incydentami,
ISO/IEC 27036 – bezpieczeństwo w relacjach z dostawcami,
ISO/IEC 22301 – zarządzanie ciągłością działania (BCMS),
ISO/IEC 27701 – zarządzanie ochroną danych osobowych,
ISO/IEC 42001 – system zarządzania sztuczną inteligencją,
ISO 31000 – ogólne zarządzanie ryzykiem.
Słabości i ryzyka cyber w M&A
Summerfield wskazuje kilka głównych obszarów ryzyka cyber, które w M&A często pozostają „pod powierzchnią” tradycyjnego due diligence:
naruszenia danych – generujące potencjalnie wielomilionowe koszty oraz długotrwałą utratę reputacji,
ryzyka stron trzecich – luki w zabezpieczeniach dostawców i partnerów biznesowych,
systemy legacy – przestarzałe oprogramowanie, brak aktualizacji i podatność na ataki,
zagrożenia wewnętrzne – trudne do wykrycia, często pomijane w ocenie przedtransakcyjnej.
W praktyce oznacza to, że kupujący wraz z aktywami, klientami i zespołem przejmuje też historię podatności, incydentów i zaniedbań w obszarze cyber. To tu podejście oparte na normach ISO pozwala uporządkować sposób identyfikacji i oceny takich ryzyk.
Dlaczego cyberbezpieczeństwo stało się krytyczne w M&A?
W procesach M&A ryzyka technologiczne i cybernetyczne należą do najczęściej niedoszacowanych obszarów. Długi technologiczne, nieudokumentowane zależności od dostawców, brak aktualnych kopii zapasowych, incydenty z przeszłości czy słabe procedury reakcji – to wszystko może ujawnić się dopiero w trakcie integracji lub po zamknięciu transakcji.
Historia transakcji rynkowych pokazuje, że brak właściwego cyber due diligence bywa przyczyną wielomilionowych strat, utraty klientów i problemów regulacyjnych. W tym kontekście norma ISO 27001 i powiązane standardy dają kupującemu i sprzedającemu wspólny język do rozmowy o ryzyku oraz narzędzia do jego mierzenia.
Jakie ryzyka ocenić podczas due diligence?
W oparciu o podejście opisane w artykule FW oraz logikę systemów zarządzania wg ISO, kluczowe obszary oceny w cyber due diligence to:
dojrzałość ISMS: polityki, analiza ryzyka, plan traktowania, SoA,
istotne incydenty z ostatnich 3 lat i sposób ich obsługi,
stan infrastruktury IT, podatności i planów modernizacji,
zarządzanie tożsamością i dostępami (IAM),
bezpieczeństwo dostawców (SaaS, chmura, outsourcing, kluczowe systemy),
strategie i testy backupu oraz odtwarzania systemów,
zgodność z regulacjami (NIS2, RODO, sektorowe wymogi typu DORA),
gotowość do funkcjonowania w warunkach zakłóceń (ciągłość działania).
Ryzyka te powinny zostać ocenione przed wyceną, a ISO 27001 i ISO 22301 dostarczają formalnego języka i wskaźników do ich opisania.
Jak ISO wspiera due diligence w M&A
ISO/IEC 27001 i ISO/IEC 27002
Te normy definiują ramy systemu zarządzania bezpieczeństwem informacji (ISMS) i zestaw dobrych praktyk dotyczących zabezpieczeń technicznych i organizacyjnych. Dzięki nim inwestor może ocenić, czy przejmowana firma ma spójne podejście do ochrony danych i czy stosuje środki adekwatne do skali ryzyk. W praktyce różnica między firmą z certyfikatem ISO 27001 a taką, która go nie posiada, może być ogromna – pierwsza ma uporządkowany system, druga często reaguje dopiero po incydencie.
ISO/IEC 27005
Ta norma dostarcza metodyki oceny ryzyka cyber, która świetnie nadaje się do procesu due diligence. Dzięki niej nabywca może nie tylko zidentyfikować luki bezpieczeństwa, ale też zrozumieć ich potencjalne konsekwencje finansowe i reputacyjne. To szczególnie ważne, gdy trzeba oszacować, czy ryzyka cyber mogą obniżyć wartość transakcji.
ISO/IEC 27035
W procesie przejęcia warto wiedzieć, jak firma reaguje na incydenty – czy ma opracowane plany, jak szybko potrafi przywrócić działanie systemów i jakie prowadzi analizy po incydentach. ISO 27035 opisuje najlepsze praktyki w tym zakresie, dzięki czemu nabywca może sprawdzić, czy przejmowana firma jest odporna na kryzysy, czy raczej działa chaotycznie.
ISO/IEC 27036
Łańcuch dostaw i partnerstwa technologiczne to coraz częstsze źródła cyberataków. ISO 27036 pozwala uporządkować wymagania wobec dostawców i kontrahentów – od bezpiecznych umów po audyty bezpieczeństwa. Kupując firmę, inwestor zyskuje także jej sieć dostawców, a ta może być zarówno aktywem, jak i poważnym źródłem podatności.
ISO/IEC 22301
Zarządzanie ciągłością działania (BCMS) staje się krytyczne w momencie integracji systemów IT po przejęciu. ISO 22301 pomaga sprawdzić, czy firma jest przygotowana na przerwy w działaniu, ma plany awaryjne i procedury odtwarzania danych. Brak takiego systemu może oznaczać, że każda większa awaria po M&A zamieni się w poważny kryzys.
ISO/IEC 27701
Regulacje dotyczące ochrony danych osobowych (np. RODO) to dziś jeden z największych obszarów ryzyka. ISO 27701 rozszerza system zarządzania bezpieczeństwem informacji o wymogi ochrony prywatności. Dla inwestora to sygnał, że przejmowana firma nie tylko chroni dane technicznie, ale także zarządza zgodnością z regulacjami – co może uchronić przed wysokimi karami finansowymi.
ISO/IEC 42001
Jeśli w grę wchodzi spółka technologiczna korzystająca z AI, ocena ryzyk związanych ze sztuczną inteligencją staje się kluczowa. ISO 42001 to pierwsza norma opisująca system zarządzania AI – jej wdrożenie dowodzi, że organizacja myśli o etyce, bezpieczeństwie i przejrzystości algorytmów. W M&A może to stanowić przewagę konkurencyjną, ale też warunek uniknięcia reputacyjnych i prawnych kłopotów.
ISO 31000
Wszystkie powyższe aspekty łączy jedna rama – zarządzanie ryzykiem wg ISO 31000. Norma ta daje organizacjom język i procesy do oceny ryzyk strategicznych, w tym cyber. Dzięki temu nabywca może zrozumieć, jak przejmowana firma traktuje ryzyko – czy jest ono elementem strategii, czy jedynie techniczną kwestią działu IT.
Jak ISO 27001 wspiera M&A?
ISO 27001 daje miarodajny sposób oceny ryzyk technologicznych i stanu bezpieczeństwa informacji – od katalogu aktywów, przez rejestr ryzyk i plan ich traktowania, po zakres wdrożonych kontroli i wyniki audytów. W procesie M&A można wykorzystać ISMS do oceny:
rzeczywistego poziomu zabezpieczeń,
kosztów doprowadzenia do standardu grupy kapitałowej,
skali zmian wymaganych po przejęciu (technologicznych i organizacyjnych).
Jak ISO 22301 wspiera M&A?
ISO 22301 dostarcza danych o poziomie odporności operacyjnej firmy: priorytetach procesów, parametrach RTO/RPO, strategiach zależnych od dostawców, testach BCP/DRP i zdolności organizacji do funkcjonowania podczas zakłóceń. Dane te są kluczowe dla oceny, czy przejmowana firma nie ukrywa ryzyk, które mogą zatrzymać działalność po integracji.
Korzyści z podejścia ISO w M&A
ISO 22301 dostarcza twardych danych o odporności operacyjnej firmy – w tym wyników BIA, priorytetów procesów, parametrów RTO/RPO, strategii zależnych od dostawców oraz wyników testów planów ciągłości i odtwarzania. Dla kupującego to kluczowe informacje przy ocenie, czy przejmowana organizacja jest w stanie utrzymać działalność w okresie integracji oraz jak będzie reagować na zakłócenia.
Najczęstsze błędy w cyber due diligence
W praktyce często spotykane błędy to:
ograniczenie oceny cyber do prostej checklisty lub krótkiego skanu technicznego,
pominięcie analizy incydentów historycznych i reakcji na nie,
brak weryfikacji realnej skuteczności backupów i odtwarzania,
nieuwzględnienie ryzyk w łańcuchu dostaw i usług chmurowych,
założenie, że „sam certyfikat ISO 27001 rozwiązuje temat”.
Certyfikacja bez analizy zakresu i faktycznego wdrożenia może dawać fałszywe poczucie bezpieczeństwa, dlatego normy warto traktować jako narzędzie do pogłębionej rozmowy, a nie wyłącznie jako etykietę.
Checklista cyber due diligence w M&A
Przykładowa checklista, oparta na logice ISO 27001, ISO 22301 i ISO 27005, może obejmować:
rejestr ryzyk ISMS i plan traktowania,
wyniki BIA i priorytety procesów wraz z RTO/RPO,
ostatnie audyty wewnętrzne i raporty z istotnych incydentów,
dojrzałość procesów backupu i odtwarzania,
stan kontroli dostawców i podwykonawców (ISO 27036),
architekturę IAM (dostępy, role, przywileje),
wyniki ocen podatności infrastruktury i aplikacji,
zgodność z NIS2, DORA, RODO i innymi regulacjami sektorowymi,
dokumentację BCP/DRP oraz wyniki testów i ćwiczeń,
ryzyka integracyjne: procesy, dane, ludzie, IT.
Podsumowanie
Jak podkreśla Financier Worldwide, cyberbezpieczeństwo to ukryte, ale kluczowe ryzyko w transakcjach M&A. Normy ISO pozwalają podejść do niego w sposób systemowy i mierzalny – od identyfikacji podatności, przez ocenę ryzyk, aż po skuteczną integrację po transakcji.
Firmy, które włączają ISO 27001, ISO 22301 i ISO 31000 w swoje procesy M&A, chronią wartość transakcji, wzmacniają odporność i zyskują przewagę konkurencyjną.
Na co zwrócić uwagę po przejęciu firmy?
Po zamknięciu transakcji kluczowe jest szybkie ujednolicenie polityk bezpieczeństwa, modeli dostępu, architektury kopii zapasowych, narzędzi cyber i procedur zarządzania incydentami. Największe ryzyka integracyjne wynikają zwykle nie z samej technologii, ale z braku spójności procesów ISMS i BCMS pomiędzy łączonymi organizacjami.
ISO 27001 i ISO 22301 mogą tu pełnić rolę „mapy drogowej” integracji w pierwszych 90 dniach – pomagają zdefiniować priorytety, harmonogram i metryki sukcesu dla bezpieczeństwa informacji i ciągłości działania.
FAQ - cyberbezpieczeństwo w M&A i normy ISO
Dlaczego cyberbezpieczeństwo jest dziś jednym z „ukrytych” ryzyk w M&A?
Bo bardzo często nie jest w pełni widoczne w tradycyjnym due diligence finansowo-prawnym. Luka w systemach bezpieczeństwa, brak planów ciągłości, słaby łańcuch dostaw czy nierozwiązane incydenty mogą przełożyć się po przejęciu na realne straty – finansowe, regulacyjne i reputacyjne.
Kupujesz nie tylko aktywa i klientów, ale także „historię” podatności, incydentów i zaniedbań. Bez usystematyzowanego podejścia do ryzyka cyber, transakcja może okazać się znacznie bardziej ryzykowna niż wynikało to z twardych wskaźników finansowych.
Jak ISO/IEC 27001 pomaga usystematyzować cyber due diligence?
ISO/IEC 27001 dostarcza ram ISMS, które można wykorzystać jako checklistę do oceny przejmowanej firmy: czy ma politykę bezpieczeństwa, wyniki analizy ryzyka, katalog aktywów, wdrożone kontrole, procedury zarządzania incydentami, rejestr incydentów, przeglądy zarządzania.
W praktyce: jeśli przejmowana firma ma certyfikat ISO/IEC 27001, łatwiej jest szybko ocenić jej poziom dojrzałości cyber, poprosić o SoA, raporty z audytów, wyniki testów. Jeśli nie – używasz wymagań normy jako szkieletu pytań w procesie due diligence.
Jaką rolę w M&A odgrywa ISO 22301 i zarządzanie ciągłością działania?
ISO 22301 pokazuje, czy organizacja potrafi utrzymać krytyczne procesy i odtwarzać je po zakłóceniu, co jest szczególnie ważne w okresie integracji powytransakcyjnej. Brak BCMS może oznaczać, że nawet stosunkowo niewielka awaria po połączeniu systemów IT doprowadzi do poważnego kryzysu operacyjnego.
W due diligence warto pytać o BIA, strategie BCP, testy, wyniki ćwiczeń, plany odtwarzania systemów krytycznych. To pozwala ocenić, czy organizacja jest „odporna na zmianę” – zarówno planową (integracja), jak i nieplanowaną (incydenty, awarie).
Jak praktycznie wykorzystać normy ISO (27001, 22301, 27005, 27701, 42001) w procesie M&A?
Normy możesz potraktować jako zestaw punktów odniesienia do trzech etapów: przed transakcją, w trakcie i po niej. Przed – służą do oceny dojrzałości bezpieczeństwa i ciągłości (gap analysis). W trakcie – są bazą do zapisów w SPA/SSA, gwarancji i zobowiązań powdrożeniowych. Po – stają się mapą integracji systemów zarządzania w nowej organizacji.
Przykładowo: ISO/IEC 27005 dla oceny ryzyka cyber, ISO/IEC 22301 dla przygotowania planów ciągłości w okresie migracji, ISO/IEC 27701 dla ryzyk RODO, a ISO/IEC 42001 dla firm korzystających z AI. To pozwala przekształcić ogólne hasło „zadbajmy o cyber” w konkretny plan działań.
Czy posiadanie certyfikatów ISO przez obie strony transakcji „rozwiązuje temat”?
Certyfikaty po obu stronach zdecydowanie ułatwiają dialog i są silnym sygnałem dojrzałości. Nie zastępują jednak analizy ryzyk transakcyjnych. Zakres certyfikacji może być różny, a poziom faktycznego wdrożenia – nierówny.
Dojrzałe podejście polega na tym, że używasz certyfikatów i norm jako wspólnego języka, ale mimo to wykonujesz własną ocenę ryzyka, uzgadniasz plan działań powdrożeniowych i włączasz elementy ISMS/BCMS do integracji organizacji po M&A.
.
Bibliografia:
- Financier Worldwider 10-2025 – https://www.financierworldwide.com/october-2025-issue-download , Artykuł: “Cyber security: hidden risk in M&A deals” written by Richard Summerfield, strona: 10 (12)/120.
- ISO/IEC 27001:2022 – system zarządzania bezpieczeństwem informacji, https://www.iso.org/home.html
- ISO/IEC 27002:2022 – praktyczne zabezpieczenia i kontrole, https://www.iso.org/home.html
- ISO/IEC 27005:2022 – zarządzanie ryzykiem bezpieczeństwa informacji, https://www.iso.org/home.html
- ISO/IEC 27035-1do 4:2020 – 2024 – zarządzanie incydentami, https://www.iso.org/home.html
- ISO/IEC 27036-1 do 4:2016 – 2023 – bezpieczeństwo w relacjach z dostawcami, https://www.iso.org/home.html
- ISO/IEC 22301:2019 – zarządzanie ciągłością działania, https://www.iso.org/home.html
- ISO/IEC 27701:2025 – zarządzanie ochroną danych osobowych, https://www.iso.org/home.html
- ISO/IEC 42001:2023 – system zarządzania sztuczną inteligencją, https://www.iso.org/home.html