W kwietniu bieżącego roku weszła w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2. Choć większość średnich i dużych firm jest świadoma nowych wymogów, tylko 19% jest na nie w pełni przygotowanych [1]. Zdaniem eksperta iMad, autoryzowanego partnera Apple, automatyzacja i centralne zarządzanie urządzeniami mobilnymi to szybki i opłacalny sposób na spełnienie nowych regulacji, również dzięki outsourcingowi usług zarządzania flotą, który pozwala obniżyć koszty i sprawnie dostosować się do nowych wymogów prawnych.
KSC zaostrza zasady: pełna kontrola nad urządzeniami staje się obowiązkiem firm Ustawa o Krajowym Systemie Cyberbezpieczeństwa określa wymogi w zakresie bezpieczeństwa cyfrowego i pokazuje, że nie można zabezpieczyć tego, nad czym nie sprawuje się kontroli. Dlatego jednym z kluczowych elementów nowych regulacji jest objęcie pełnym nadzorem infrastruktury IT, a w szczególności urządzeń końcowych wykorzystywanych w organizacji.
Podmioty objęte KSC muszą aktywnie zarządzać flotą urządzeń i wykazać, że robią to w sposób ciągły, spójny i zgodny z przepisami. Ustawa wskazuje szeroki zakres obowiązków
operacyjnych: od monitorowania urządzeń w czasie rzeczywistym, stosowania uwierzytelniania wieloskładnikowego (MFA), przez zarządzanie aktualizacjami, podatnościami, rejestrowanie zdarzeń bezpieczeństwa, aż po prowadzenie pełnej dokumentacji wdrożonych środków ochrony.
Jednocześnie raport „Incydenty pod kontrolą” z 2025 roku, przygotowany przez Mediarecovery i Safesqr we współpracy z PMR Market Experts, pokazał, że gotowość polskich firm na NIS2 wciąż pozostawia wiele do życzenia. Choć 91% ankietowanych firm słyszało o dyrektywie i uznało, że dotyczy ich bezpośrednio lub pośrednio, jedynie 19% respondentów oceniło, że w znacznym stopniu spełnia jej wymagania. Średnia samoocena gotowości wyniosła 3,27 w skali 1–5, co świadczy o głębokim stanie niepewności organizacyjnej.
Kluczową barierą jest ograniczony budżet IT, wskazywany przez 77% firm. Szczególnie niepokojące jest to, że jedynie 5% organizacji przygotowuje raporty poincydentalne i prowadzi analizę ich przyczyn źródłowych, mimo że są to kluczowe wymogi dyrektywy. Optymizmem napawa natomiast deklarowana gotowość do inwestycji: 89% firm
planuje wydatki IT związane z dostosowaniem do NIS2 [2].
Kontrola nad urządzeniami fundamentem zgodności z KSC
Jak więc w praktyce zapewnić taki poziom kontroli nad urządzeniami, jakiego wymaga KSC?
Ekspert iMad podkreśla, że kluczowe może okazać się wdrożenie automatyzacji i
centralnego zarządzania urządzeniami mobilnymi (MDM – Mobile Device Management),
które zapewnia organizacji pełną widoczność, kontrolę oraz możliwość szybkiego
reagowania na pojawiające się zagrożenia.
„Chodzi o to, by wiedzieć, jakie urządzenia działają w sieci, jaki jest ich aktualny stan
bezpieczeństwa, czy mają włączone wymagane mechanizmy ochrony i czy są zgodne z
wytycznymi firmy. Takie podejście umożliwia administratorom zdalne wymuszanie
aktualizacji, stosowanie uwierzytelniania wieloskładnikowego, wdrażanie polityk
bezpieczeństwa czy blokowanie urządzeń, które trafiły w niepowołane ręce. Co istotne,
pozwala także na automatyczne logowanie zdarzeń i sprawne tworzenie dokumentacji, której KSC wymaga przy każdym audycie – powiedział Mariusz Pik, ekspert ds. wdrożeń w iMad.
Wdrożenie odpowiednich mechanizmów kontroli nad urządzeniami ma znaczenie nie tylko
operacyjne – jak podkreśla Agnieszka Wachowska, radca prawny i Co-Managing Partner w kancelarii Traple Konarski Podrecki i Partnerzy. Brak zgodności z wymogami KSC niesie poważne konsekwencje prawne i finansowe, także dla osób zarządzających organizacją.
„Na gruncie KSC maksymalne administracyjne kary pieniężne nakładane na podmioty
kluczowe mogą sięgać 10 milionów euro lub 2% całkowitego rocznego globalnego obrotu
firmy, a w przypadku podmiotów ważnych – do 7 milionów euro lub 1,4% obrotu. Nowe
regulacje pozwalają również na nakładanie sankcji bezpośrednio na osoby zarządzające.
Członkowie zarządów podmiotów kluczowych i ważnych mogą zostać ukarani grzywną w
wysokości do trzykrotności miesięcznego wynagrodzenia, a wobec kierujących podmiotami
kluczowymi może zostać wydana decyzja czasowo zakazująca pełnienia funkcji
kierowniczych. Dodatkowo brak należytej staranności może skutkować odpowiedzialnością
cywilną. W określonych przypadkach, zwłaszcza przy rażącym i umyślnym uchybieniu
obowiązkom wynikającym z KSC, możliwa jest również odpowiedzialność karna osób
zarządzających, jeżeli zostanie wykazane, że ich zaniechanie było szkodliwe dla spółki –
powiedziała ekspertka.
MDM w modelu usługowym: prostsze, tańsze i bezpieczniejsze zarządzanie urządzeniami
Choć wielu przedsiębiorców uważa, że profesjonalne zarządzanie urządzeniami mobilnymi
(MDM) to koszt zarezerwowany dla dużych korporacji, w rzeczywistości wcale tak być nie
musi. Outsourcing IT staje się opłacalnym sposobem na uporządkowanie środowiska pracy i
podniesienie poziomu bezpieczeństwa w małych firmach.
W praktyce dobrze dobrane środowisko technologiczne, np. Apple, w połączeniu ze
wsparciem wyspecjalizowanego partnera, dodatkowo pozwala obniżyć całkowity koszt
posiadania i zminimalizować liczbę problemów technicznych w firmie. Według danych
Forrester Mac może generować oszczędności rzędu około 2 000 złotych na urządzenie w
ciągu pięciu lat, a użytkownicy Apple zgłaszają mniej problemów technicznych, co zmniejsza obciążenie działu IT [3]. W połączeniu ze spójnym ekosystemem i wbudowanymi funkcjami bezpieczeństwa małe firmy otrzymują środowisko, którym można wygodnie i przewidywalnie zarządzać przy minimalnym zaangażowaniu zasobów – dodał Mariusz Pik.
W efekcie outsourcing zarządzania sprzętem firmowym – od konfiguracji, przez
zabezpieczenia, po bieżącą administrację – staje się rozwiązaniem prostym, dostępnym i
bezpiecznym. Dla właściciela firmy oznacza to jedno: porządek zamiast chaosu,
bezpieczeństwo zamiast ryzyka oraz czas na rozwój biznesu zamiast zmagania się ze
sprzętem.
„Odpowiedzialne zarządzanie urządzeniami zgodne z zasadami bezpieczeństwa nie jest już
wyborem, ale wymogiem. Firmy, które do tej pory odkładały tę kwestię, mają teraz konkretną datę i konkretne konsekwencje. Dla nas oznacza to, że rozmowy z klientami nie dotyczą już tego, czy wdrażać narzędzia Mobile Device Management, ale jak zrobić to możliwie szybko i efektywnie – podsumował Mariusz Pik.
1 Raport „Incydenty pod kontrolą: Wykrywanie i reagowanie na incydenty bezpieczeństwa
w średnich i dużych polskich przedsiębiorstwach. Gotowość na NIS2.”, Mediarecovery i Safesqr we współpracy z PMR Market Experts, 2025
2 ibid.
3 „The Total Economic Impact™ of Mac in Enterprise”, raport przygotowany przez Forrester Consulting na zlecenie Apple, 2024.
