Centrum Audytu Bezpieczeństwa

W ubiegły piątek miałem przyjemność wziąć udział w panelu eksperckim podczas konferencji „Projektowanie ochrony danych w zamówieniach publicznych. Wyzwania w świetle rozwoju nowych technologii”, organizowanej przez Urząd Ochrony Danych Osobowych oraz Urząd Zamówień Publicznych.

Dyskusja pokazała jasno: ochrona danych i nowe technologie – w tym AI – przestają być dodatkiem, a stają się fundamentem nowoczesnych zamówień publicznych. Coraz częściej mówimy nie tylko o zgodności z przepisami, ale o realnym zarządzaniu ryzykiem, odpowiedzialności i jakości procesów.

W panelu rozmawialiśmy m.in. o:
🔹 wpływie dynamicznego rozwoju technologii na administrację publiczną
🔹 roli inspektorów ochrony danych w procesach zakupowych
🔹 wyzwaniach wdrożeń systemów IT i kosztach decyzji zakupowych
🔹 napięciu między jawnością postępowań a ochroną danych
🔹 praktycznym wykorzystaniu AI w zamówieniach publicznych

Dziękuję za wartościową dyskusję i różnorodne perspektywy:
➡️ Anna Budzanowska
➡️ Agnieszka Gębicka
➡️ Mateusz Bartosiewicz
➡️ Tomasz Konieczny
oraz za wspólny głos ekspercki z mojej strony i zespołu Open Nexus Sp. z o.o.

Szczególne podziękowania dla organizatorów i moderator:
➡️ Marlena Sakowska-Baryła, prof. UŁ dr hab.

To była świetna okazja do wymiany doświadczeń między administracją, praktykami i dostawcami technologii. Widać wyraźnie, że przyszłość zamówień publicznych będzie oparta na danych, technologii i świadomym podejściu do ryzyka.

🔐 Tożsamość to dziś pierwszy punkt kontroli bezpieczeństwa.

W NIS 2 ENISA bardzo wyraźnie pokazuje zmianę podejścia:
bezpieczeństwo nie zaczyna się od systemu. Zaczyna się od użytkownika.

A dokładniej od tego, czy potrafimy odpowiedzieć na trzy pytania:
➡️ kto ma dostęp,
➡️ czy na pewno jest tym, za kogo się podaje,
➡️ i czy sposób logowania jest adekwatny do ryzyka.

W nowym wpisie zamykamy 3-częściowy blok o kontroli dostępu i przechodzimy przez:
➡️ zarządzanie tożsamością jako proces, nie jednorazową czynność
➡️ realne podejście do uwierzytelniania
➡️ rolę MFA i jego różne poziomy skuteczności
➡️ najczęstsze błędy organizacji, które prowadzą do incydentów

Bo większość naruszeń nie zaczyna się od złamania systemu.
Zaczyna się od przejęcia tożsamości.

👉https://cab.com.pl/2026/04/21/tozsamosc-to-nowy-perimeter/

Już w tym tygodniu – 17 kwietnia – widzimy się na konferencji Urzędu Ochrony Danych Osobowych dotyczącej projektowania ochrony danych w zamówieniach publicznych.

Będę miał przyjemność wziąć udział w panelu dyskusyjnym o odpowiedzialności, transparentności i bezpieczeństwie danych w erze nowych technologii.

To temat, który w ostatnich latach mocno zyskał na znaczeniu. Ochrona danych przestała być dodatkiem – dziś realnie wpływa na sposób prowadzenia postępowań i współpracę między zamawiającymi a wykonawcami.

W swojej wypowiedzi postaram się pokazać perspektywę praktyczną – wynikającą z pracy przy platformie zakupowej Open Nexus:

👉 gdzie najczęściej pojawiają się problemy
👉 co faktycznie działa, a co tylko dobrze wygląda w dokumentach
👉 jak pogodzić wymagania prawne z realiami rynku

Jeśli będziecie na miejscu w Warszawie – dajcie znać lub po prostu podejdźcie po panelu. Chętnie zamienię kilka słów 👋

Jeszcze kilka lat temu ochrona danych w zamówieniach publicznych była traktowana trochę „przy okazji”.

Dziś to jeden z kluczowych obszarów ryzyka – zarówno dla zamawiających, jak i wykonawców.

Dlatego bardzo się cieszę, że 17 kwietnia będę miał przyjemność wystąpić jako panelista podczas konferencji Urzędu Ochrony Danych Osobowych poświęconej projektowaniu ochrony danych w zamówieniach publicznych.

Podczas panelu będę miał okazję podzielić się doświadczeniami, które zdobywam reprezentując Open Nexus – organizację turkusową, rozwijającą Zakupowa dla sektora publicznego.

Na co dzień widzę, jak teoria zderza się z praktyką:
– RODO vs. jawność
– bezpieczeństwo vs. budżet
– compliance vs. realne wdrożenie

To właśnie na styku tych obszarów powstaje najwięcej wyzwań – ale też realnych rozwiązań.

Cieszę się, że mogę wnieść do tej dyskusji perspektywę praktyka.

Jeśli ktoś z Was będzie na miejscu – chętnie się spotkam i porozmawiam 👋

🔐 Największe ryzyko w organizacji często ma uprawnienia administratora.

W NIS 2 ENISA bardzo jasno pokazuje, że problemem nie jest liczba użytkowników. Problemem jest poziom ich dostępu.

Konta uprzywilejowane powinny być:
➡️ ograniczone do minimum,
➡️ przypisane do konkretnych osób,
➡️ używane tylko do działań administracyjnych,
➡️ objęte pełnym logowaniem i monitoringiem,
➡️ przyznawane najlepiej tymczasowo.

Bo jeśli nie wiesz, kto i co robi jako administrator, to nie masz kontroli nad systemem. W nowym wpisie rozkładamy na czynniki pierwsze podejście ENISA do dostępu uprzywilejowanego. 👇 👇

Największe ryzyko nie jest na zewnątrz. Jest w uprzywilejowanym dostępie - Centrum Audytu Bezpieczeństwa NIS 2 wymaga ścisłej kontroli kont uprzywilejowanych i systemów administracyjnych. Sprawdź, jak ENISA podchodzi do dostępu i monitorowania.

🔐 Dostęp to nie ustawienie systemu. To decyzja biznesowa.

W NIS 2 ENISA bardzo wyraźnie pokazuje, że kontrola dostępu nie sprowadza się do nadania konta i kilku uprawnień.

To obszar, który musi opierać się na:
➡️ polityce dostępu,
➡️ potrzebie biznesowej,
➡️ zasadzie least privilege,
➡️ regularnym przeglądzie uprawnień,
➡️ kontroli dostępu stron trzecich,
➡️ rejestrze i logowaniu zmian.

Innymi słowy: organizacja ma nie tylko nadawać dostęp, ale potrafić uzasadnić, dlaczego ktoś go ma, jak długo powinien go mieć i kto to zatwierdził.

W nowym wpisie na blogu Centrum Audytu Bezpieczeństwa otwieramy 3-częściowy blok o kontroli dostępu w NIS 2.

Na początek: polityka dostępu i zarządzanie uprawnieniami.
👉https://cab.com.pl/2026/03/26/dostep-to-decyzja-biznesowa-nie-ustawienie-systemu/

👤 Największe ryzyko w cyberbezpieczeństwie nie siedzi w systemie. Siedzi przy biurku.

W NIS 2 ENISA bardzo wyraźnie zmienia perspektywę.

Bezpieczeństwo to nie tylko technologia.
To odpowiedzialność ludzi, którzy mają dostęp do systemów, danych i decyzji.

Organizacja musi wiedzieć:
➡️ kto za co odpowiada,
➡️ kto powinien mieć dostęp,
➡️ kto został zweryfikowany przed jego uzyskaniem,
➡️ co dzieje się z dostępem przy zmianie roli lub odejściu,
➡️ jak reaguje na naruszenia zasad.

To nie są „miękkie tematy HR”.
To twarde wymagania regulacyjne wynikające z NIS 2.

W nowym wpisie na blogu Centrum Audytu Bezpieczeństwa pokazujemy, jak wytyczne ENISA podchodzą do bezpieczeństwa pracowników i dlaczego to jeden z najtrudniejszych obszarów do uporządkowania.

👉https://cab.com.pl/2026/03/19/najwieksze-ryzyko-nie-siedzi-w-systemie-siedzi-przy-biurku/

W kolejnych materiałach przejdziemy do kontroli dostępu, czyli praktycznej odpowiedzi na pytanie: kto faktycznie może zrobić co w systemie.

🔐 Kryptografia w NIS 2 to nie tylko szyfrowanie.

W wytycznych ENISA kryptografia nie jest traktowana jako funkcja systemu, ale jako element zarządzanego procesu bezpieczeństwa.

Organizacja powinna posiadać m.in.:
➡️ politykę kryptograficzną,
➡️ jasno określone algorytmy i protokoły,
➡️ zasady zarządzania kluczami kryptograficznymi,
➡️ logowanie i audyt operacji związanych z kryptografią.

Największym wyzwaniem w praktyce jest właśnie zarządzanie cyklem życia kluczy.

W nowym wpisie na blogu Centrum Audytu Bezpieczeństwa omawiamy, jak do kryptografii podchodzą wytyczne ENISA w kontekście NIS 2.

👉https://cab.com.pl/2026/03/12/kryptografia-w-nis-2/

Technologia nie zastąpi świadomych ludzi.

Rozdział 8 wytycznych ENISA do NIS 2 jasno pokazuje, że podstawowa higiena cyberbezpieczeństwa i szkolenia to obowiązek systemowy, a nie miękki dodatek.

Organizacja musi:
➡️ prowadzić cykliczny program budowania świadomości,
➡️ obejmować nim także kierownictwo,
➡️ testować skuteczność,
➡️ prowadzić szkolenia role-based dla stanowisk wymagających kompetencji bezpieczeństwa,
➡️ dokumentować i aktualizować cały proces.

Cyber hygiene to nie kampania raz w roku.
To element systemu zarządzania ryzykiem.

W nowym artykule na blogu Centrum Audytu Bezpieczeństwa omawiamy szczegółowo wymagania ENISA w tym obszarze.

👇🏻 👇🏻 👇🏻 👇🏻 👇🏻 👇🏻
https://cab.com.pl/2026/02/24/cyber-hygiene-i-szkolenia-w-nis-2/

W NIS 2 nie wystarczy wdrożyć środki bezpieczeństwa.
Trzeba jeszcze potrafić wykazać, że są skuteczne.

W najnowszym wpisie z serii omawiam rozdział 7 wytycznych ENISA dotyczący oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa. To moment, w którym bezpieczeństwo przestaje być zbiorem narzędzi i procedur, a staje się mierzalnym systemem zarządczym.

ENISA wymaga m.in.:
➡️ formalnej polityki oceny skuteczności,
➡️ jasno określonych metod monitorowania i pomiaru,
➡️ przypisanej odpowiedzialności,
➡️ zdefiniowanych KPI,
➡️ raportowania wyników do kierownictwa,
➡️ regularnych przeglądów i aktualizacji podejścia.

Nie chodzi o kolejną checklistę.

Chodzi o mechanizm, który pokazuje, czy wdrożone środki realnie ograniczają ryzyko.

👇🏻 Pełne omówienie wytycznych już dziś na stronie CAB 👇🏻

https://cab.com.pl/2026/02/19/ocena-skutecznosci-zarzadzania-ryzykiem-w-nis-2-wedlug-enisa/

W najnowszym wpisie z serii pokazujemy, dlaczego ochrona przed malware i zarządzanie podatnościami to w NIS 2 jeden spójny proces, a nie zestaw narzędzi wdrożonych „dla świętego spokoju”.

ENISA bardzo wyraźnie przesuwa akcent:
➡️ z instalowania narzędzi na budowanie mechanizmów wykrywania i reakcji,
➡️ z raportowania podatności na podejmowanie decyzji zarządczych,
➡️ z reagowania po incydencie na ciągłe ograniczanie ryzyka.

Antywirus bez centralnego nadzoru i odporności na obchodzenie zabezpieczeń to iluzja kontroli. Lista podatności bez klasyfikacji, decyzji i terminów usunięcia to tylko raport.

NIS 2 wymaga czegoś więcej: procesu, który łączy monitoring, testy, poprawki, ocenę ryzyka i odpowiedzialność zarządu.

👇🏻 Pełny wpis już dostępny na blogu CAB 👇🏻

Złośliwe oprogramowanie i podatności w NIS 2 – jak naprawdę budować odporność organizacji - Centrum Audytu Bezpieczeństwa Jak NIS 2 podchodzi do ochrony przed złośliwym oprogramowaniem i zarządzania podatnościami? Wyjaśniamy, dlaczego antywirus to za mało i jak ENISA widzi realną odporność systemów.