/>
Blog · Bezpieczeństwo · NIS2

Zero Trust w firmie 200 pracowników
4 kroki i realny budżet

NIS2: polska ustawa KSC w procesie legislacyjnym. 60-95 tys. PLN/rok chroni przed incydentami kosztującymi 150-500 tys. PLN.

← Wróć do Bloga
Bezpieczenstwo
Mateusz Roszkiewicz Maj 2026 10 min czytania

"Zero Trust to dla korporacji." Słyszę to od firm zatrudniających 100-300 pracowników i jest to błędne przekonanie, które kosztuje. Firma produkcyjna z Poznania zapłaciła 340 000 PLN za odzyskanie danych po ataku ransomware w 2024 roku. Firma logistyczna z Trójmiasta - 180 000 PLN za tygodniowy przestój. Obie mogły wdrożyć Zero Trust za 60-80 tys. PLN rocznie. W 2026 roku brak kontroli dostępu to nie tylko ryzyko bezpieczeństwa. To także ryzyko prawne, zwłaszcza w kontekście implementacji NIS2.

4 kroki
praktyczny plan Zero Trust dla firmy SME
60-95k
PLN rocznie - pełny budżet Zero Trust dla 200 pracowników
150-500k
PLN - średni koszt incydentu bezpieczeństwa w polskiej firmie SME

Dlaczego Zero Trust przestał być opcją - NIS2 i realne incydenty

Polska wdrożyła NIS2 ustawą z dnia 3 kwietnia 2026 r. o krajowym systemie cyberbezpieczeństwa (ustawa KSC) — z opóźnieniem względem terminu UE (17 października 2024). Ustawa obejmuje firmy z sektorów kluczowych (energetyka, transport, zdrowie, infrastruktura cyfrowa) i ważnych (produkcja, dystrybucja, logistyka, usługi cyfrowe). Szacuje się że nowe wymogi dotyczą ponad 40 000 podmiotów w Polsce.

Kary za naruszenia: do 10 mln EUR lub 2% globalnego obrotu dla sektorów kluczowych, do 7 mln EUR lub 1,4% globalnego obrotu (bierze się wyższą kwotę) dla sektorów ważnych. Ale zanim UKSC nałoży karę - atak ransomware lub wyciek danych zrobi to za niego.

Dwa prawdziwe przypadki z 2024-2025 roku: Firma produkcyjna (220 pracowników, Wielkopolska) - atak przez skradzione hasło konta administratora bez MFA. 4 dni przestoju produkcji, okup 95 000 PLN + koszty odtworzenia łącznie 340 000 PLN. Firma logistyczna (180 pracowników, Trójmiasto) - phishing na konto email prezesa, transfer 47 000 PLN do konta przestępców, tydzień wyjaśnień z bankiem i prawnikami: 180 000 PLN kosztów łącznych. Obie firmy nie miały MFA. Oba przypadki były do uniknięcia.

Zero Trust jako model bezpieczeństwa opiera się na zasadzie "nigdy nie ufaj, zawsze weryfikuj". W praktyce dla firmy 200 pracowników oznacza to 4 konkretne obszary działania, które można wdrożyć stopniowo. Pełną listę wymagań NIS2 dla IT managera (w tym kontrolę dostępu i MFA) opisujemy w artykule NIS2 lista kontrolna IT — 40 zadań.

Krok 1: MFA i zarządzanie tożsamością (AD360)

1

Uwierzytelnianie wieloskładnikowe dla wszystkich kont

ManageEngine AD360 - zintegrowana platforma IAM (Identity and Access Management) z MFA, single sign-on i provisioningiem użytkowników. Budżet: 15-25 tys. PLN/rok dla 200 pracowników.

Co daje MFA: Nawet jeśli hasło pracownika zostanie skradzione (phishing, dark web), atakujący nie zaloguje się bez drugiego składnika (aplikacja mobilna, SMS, klucz sprzętowy). Według Microsoftu, MFA blokuje 99,9% zautomatyzowanych ataków na konta.

Priorytety wdrożenia MFA

Konta / systemyPriorytetDlaczego
VPN i zdalny dostępKrytyczny - wdrożyć w tygodniu 1Najczęstszy wektor ataku na SME
Konta administratorów ITKrytyczny - wdrożyć w tygodniu 1Kompromitacja daje dostęp do wszystkiego
Poczta email (M365/Gmail)Wysoki - tygodnie 2-3Phishing przez email jest #1 wektorem
ERP, CRM, systemy biznesoweŚredni - miesiąc 2Dane krytyczne biznesowo
Wszystkie pozostałe kontaNormalny - miesiące 2-3Ochrona przed lateral movement

Self-service resetowania haseł (SSPR)

AD360 zawiera funkcję samoobsługowego resetowania haseł przez pracowników - po weryfikacji MFA. Efekt: helpdesk obsługuje o 30-40% mniej ticketów związanych z hasłami. Przy 200 pracownikach to 15-25 ticketów mniej miesięcznie.

Krok 2: Least Privilege - minimalne uprawnienia (AD Manager Plus)

2

Audyt i ograniczenie uprawnień do niezbędnego minimum

ManageEngine AD Manager Plus - zarządzanie uprawnieniami Active Directory, raportowanie dostępów i delegacja zarządzania. Budżet: 10-15 tys. PLN/rok dla 200 pracowników.

Least Privilege to zasada: każdy użytkownik ma dokładnie tyle dostępu ile potrzebuje do swojej pracy - nic więcej. W większości firm SME zasada ta jest łamana od lat: pracownicy odchodzą ale ich konta żyją, ktoś "tymczasowo" dostał dostęp do katalogu finansowego 3 lata temu i nikt go nie odebrał, nowi pracownicy dostają kopię uprawnień poprzednika "żeby nie tracić czasu". Audyt uprawnień często idzie w parze z audytem licencji. Szczegóły w artykule audyt licencji oprogramowania — 8 pułapek.

Typowe odkrycia podczas audytu uprawnień

  • Konta zombie: 8-15% kont w typowej firmie SME należy do byłych pracowników. Każde z nich to potencjalny wektor ataku.
  • Nadmierne uprawnienia: Przeciętny pracownik działu sprzedaży ma dostęp do 17x więcej folderów niż potrzebuje. Dane z audytów AD Manager Plus w polskich firmach.
  • Konta serwisowe z wysokimi uprawnieniami: Aplikacje biznesowe często działają na kontach z prawami administratora domeny - zupełnie niepotrzebnie.
  • Grupy AD bez właściciela: Nikt nie wie kto jest odpowiedzialny za zarządzanie grupą i kto powinien w niej być.

Jak to wygląda w praktyce: Audyt AD Manager Plus dla firmy 180 pracowników z Łodzi zajął 2 dni. Wyniki: 47 kont zombie (usunięte), 312 nadmiarowych przypisań do grup (oczyszczone), 8 kont serwisowych z prawami admin (zdegradowane). Zero incydentów bezpieczeństwa w ciągu 12 miesięcy po audycie - poprzednio 2-3 rocznie.

Krok 3: Kontrola kont uprzywilejowanych (PAM360)

3

Bezpieczny sejf dla haseł administratorów i systemów

ManageEngine PAM360 - Privileged Access Management: sejf haseł, nagrywanie sesji administratorów, just-in-time access. Budżet: 15-25 tys. PLN/rok dla 200 pracowników.

Konta uprzywilejowane (administratorzy IT, serwisowe, bazodanowe) to "klucze do królestwa". Jeśli atakujący zdobędzie jedno konto administratora bez ograniczeń - ma dostęp do wszystkiego. PAM360 rozwiązuje ten problem na kilka sposobów:

Kluczowe funkcje PAM360

  • Vault haseł: Hasła do systemów krytycznych są przechowywane w zaszyfrowanym sejfie. Technicy pobierają hasło na czas sesji i oddają - system rotuje je automatycznie po każdym użyciu.
  • Nagrywanie sesji: Każda sesja administratora jest nagrywana (video + keystroke). Kto co zrobił na którym serwerze i kiedy - pełna ścieżka audytowa. Wymagane przez NIS2 dla podmiotów kluczowych.
  • Just-in-time access: Technicy nie mają stałych uprawnień admin - proszą o dostęp na określony czas dla określonego systemu. Dostęp wygasa automatycznie.
  • Wykrywanie anomalii: AI analizuje wzorce zachowań administratorów i flaguje podejrzane działania (logowanie o 3:00 w nocy, masowy eksport danych).

Krok 4: SIEM i wykrywanie zagrożeń (Log360)

4

Centrum dowodzenia bezpieczeństwem - logi ze wszystkich systemów

ManageEngine Log360 - SIEM (Security Information and Event Management) z analizą zagrożeń i korelacją zdarzeń. Budżet: 20-30 tys. PLN/rok dla 200 pracowników.

Pierwsze trzy kroki chronią dostęp. Czwarty krok odpowiada na pytanie: a co jeśli coś jednak przejdzie? SIEM zbiera logi ze wszystkich systemów (Active Directory, firewall, ERP, serwery, VPN), koreluje je i generuje alerty gdy wzorce wskazują na atak.

Co Log360 wykrywa w praktyce

  • Brute force: 50 nieudanych logowań do konta w ciągu 5 minut - alert i tymczasowe zablokowanie konta.
  • Lateral movement: Konto użytkownika loguje się do serwera do którego nigdy wcześniej nie miało dostępu - podejrzana aktywność.
  • Exfiltracja danych: Pracownik kopiuje 10 GB plików na USB lub wysyła duży email zewnętrzny - naruszenie DLP.
  • Zagrożenia wewnętrzne: Pracownik który złożył wypowiedzenie nagle pobiera wszystkie dane klientów - alert insider threat.

NIS2 i wymóg raportowania: UKSC wymaga raportowania poważnych incydentów do CERT Polska w ciągu 24 godzin. Log360 generuje raporty incydentów gotowe do wysłania do regulatora - to eliminuje chaos podczas zdarzenia bezpieczeństwa kiedy "nikt nie wie co się stało".

Całkowity budżet i harmonogram wdrożenia

Roczny koszt Zero Trust dla firmy 200 pracowników

NarzędzieFunkcjaKoszt rocznyCzas wdrożenia
AD360MFA + IAM + SSO15 000 - 25 000 PLN2-3 tygodnie
AD Manager PlusLeast Privilege + audyt AD10 000 - 15 000 PLN1-2 tygodnie
PAM360Uprzywilejowane konta + vault15 000 - 25 000 PLN2-3 tygodnie
Log360SIEM + wykrywanie zagrożeń20 000 - 30 000 PLN2-4 tygodnie
Wdrożenie i konfiguracjaUsługi Rotech Group30 000 - 50 000 PLN jednorazowo6-10 tygodni łącznie
RAZEM (licencje)60 000 - 95 000 PLN/rok6-10 tygodni

Harmonogram wdrożenia - 10 tygodni

  1. Tygodnie 1-2: Audyt AD i inwentaryzacja uprawnień (AD Manager Plus), usunięcie kont zombie
  2. Tygodnie 2-3: Wdrożenie MFA priorytetowego (VPN, admini, email) w AD360
  3. Tygodnie 3-5: Konfiguracja PAM360, migracja haseł administratorów do vault
  4. Tygodnie 4-6: Rollout MFA dla wszystkich użytkowników (edukacja i wsparcie)
  5. Tygodnie 6-10: Wdrożenie Log360, konfiguracja reguł korelacji, testy alertowania

Pytania i odpowiedzi

Od czego zacząć wdrożenie Zero Trust?

Priorytet to MFA - uwierzytelnianie wieloskładnikowe dla wszystkich kont (szczególnie VPN i poczta email). To daje największy efekt bezpieczeństwa za najniższy koszt i najkrótszy czas wdrożenia - 2-3 tygodnie. Drugi krok to audyt uprawnień AD - sprawdzenie kto ma dostęp do czego i usunięcie kont zombie. Dopiero po tych dwóch krokach warto myśleć o PAM i SIEM.

Czy NIS2/UKSC wymaga wdrożenia Zero Trust?

NIS2 (implementowana w Polsce przez nowelizację UKSC) wymaga zarządzania ryzykiem cyberbezpieczeństwa, w tym kontroli dostępu, uwierzytelniania wieloskładnikowego i monitorowania incydentów. Dokładne terminy wejścia w życie poszczególnych obowiązków weryfikuj z aktualnym stanem ustawy lub u prawnika. Zero Trust jako filozofia spełnia te wymagania. NIS2 nie narzuca konkretnej architektury technicznej. Firmy z sektorów kluczowych (energetyka, transport, zdrowie, IT) podlegają rygorystycznym wymaganiom; firmy ważne mają nieco luźniejsze standardy.

Ile kosztuje Zero Trust dla firmy 200 pracowników?

Orientacyjny budżet roczny na licencje ManageEngine (ceny mogą się zmieniać, weryfikuj aktualny cennik): AD360 15–25 tys. PLN, AD Manager Plus 10–15 tys. PLN, PAM360 15–25 tys. PLN, Log360 20–30 tys. PLN. Łącznie licencje: orientacyjnie 60–95 tys. PLN/rok. Jednorazowy koszt wdrożenia: 30–50 tys. PLN. Dla kontekstu: koszty incydentów bezpieczeństwa w polskich firmach SME są istotne. Raporty branżowe (np. IBM Cost of a Data Breach) regularnie szacują je w setkach tysięcy PLN. Skonsultuj dane właściwe dla Twojej branży.

Jak wytłumaczyć zarządowi inwestycję w Zero Trust?

Używaj liczb konkretnych dla swojej branży: "Wdrożenie kosztuje 75 000 PLN rocznie. Jeden incydent ransomware kosztuje polskie SME znaczną kwotę. Raporty branżowe szacują to na kilkaset tysięcy PLN (sprawdź aktualne dane np. z raportu IBM lub CERT Polska). Przy nawet kilkuprocentowym prawdopodobieństwie ataku w ciągu roku inwestycja ma uzasadnienie ekonomiczne już w pierwszym roku." Dołącz przykład z branży firmy. To silniejszy argument niż ogólne statystyki.

Mateusz Roszkiewicz
Mateusz Roszkiewicz
Head of Sales · Rotech Group · Partner ManageEngine
Bezpłatna analiza

Sprawdź luki w bezpieczeństwie swojej firmy

W 60 minut przeanalizujemy Twoje środowisko Active Directory, zidentyfikujemy konta zombie i nadmierne uprawnienia, i powiemy Ci co jest najpilniejsze. Dostaniesz raport z priorytetami - bezpłatnie.

Zamów bezpłatny audyt AD →
Powiązane artykuły
Bezpieczenstwo
NIS2 w Polsce 2026: pełna lista podmiotów objętych i obowiązki
Mateusz Roszkiewicz · 11 min czytania
ITSM
Audyt licencji oprogramowania: 8 pułapek które kosztują polskie firmy
Mateusz Roszkiewicz · 11 min czytania
Usługa
Wdrożenia ManageEngine - AD360, PAM360, Log360
Oferta Rotech Group →
← Poprzedni
ERP cloud vs on-premise: prawdziwy TCO na 5 lat
Następny →
Audyt licencji oprogramowania: 8 pułapek które kosztują polskie firmy
Umów bezpłatną konsultację →