NIS 2 · Przewodnik dla kadry IT urzędu gminy

Wybierz kategorię podmiotu

Wskaż typ swojego urzędu, aby zobaczyć dopasowane treści, obowiązki i wymagania NIS 2.

Podmiot kluczowy

Gminy powyżej 50 000 mieszkańców lub świadczące usługi wod-kan, energię, transport publiczny. Pełny nadzór CSIRT GOV, audyt zewnętrzny co 2 lata.

Kary do 10 mln EUR

Podmiot ważny

Gminy poniżej 50 000 mieszkańców świadczące e-usługi (ePUAP, BIP, e-podatki, e-opłaty). Kontrola ex post, samoocena roczna.

Kary do 7 mln EUR

Nie wiem / Sprawdzam

Nie jesteś pewny klasyfikacji? Strona pomoże porównać kryteria i wskaże jak zarejestrować się w CSIRT GOV, aby uniknąć kar.

Sprawdź kryteria →

Podstawy prawne

Hierarchia aktów prawnych

Dyrektywa NIS 2 - UE 2022/2555 Rozporządzenie Parlamentu Europejskiego i Rady · obowiązuje od 16 stycznia 2023 · wdrożenie do 17 października 2024¹

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) Polska ustawa implementująca NIS 2 · nowelizacja w toku (projekt MC) · zastępuje ustawę KSC z 2018²

RODO - Rozporządzenie UE 2016/679 Obowiązuje równolegle · naruszenia danych osobowych wymagają zgłoszenia do UODO w ciągu 72h³

Wytyczne ENISA i CSIRT GOV Dobre praktyki, wytyczne techniczne, wzory polityk bezpieczeństwa⁴

Sankcje - porównanie kategorii

Kryterium	Podmiot kluczowy	Podmiot ważny
Max. kara administracyjna	10 mln EUR lub 2% rocznego obrotu	7 mln EUR lub 1,4% rocznego obrotu
Typ kontroli	Ex ante (prewencyjna, regularna)	Ex post (po incydencie lub skardze)
Odpowiedzialność kierownictwa	Wójt/burmistrz może zostać zawieszony w obowiązkach (art. 20 NIS 2)⁵
Audyt zewnętrzny	Obowiązkowy co 2 lata	Opcjonalny (zalecany)
Nadzór CSIRT GOV	Pełny, ciągły	Na żądanie
Samoocena roczna	Obowiązkowa dla obu kategorii⁶

Kryteria kwalifikacji podmiotu

Kryterium	Podmiot kluczowy	Podmiot ważny
Liczba mieszkańców	>50 000	<50 000 (z e-usługami)
Usługi wod-kan / energia / transport	Tak → kluczowy	Nie
ePUAP, BIP, e-podatki, e-opłaty	Tak (+ kluczowy)	Tak → ważny
Rejestracja w CSIRT GOV	Obowiązkowa dla obu · incydent.gov.pl

Warto wiedzieć: Klasyfikacja nie jest samodzielna - organ nadzorczy (CSIRT GOV / Minister Cyfryzacji) może zmienić kategorię na podstawie przeprowadzonego przeglądu. Zarejestruj urząd na incydent.gov.pl i poczekaj na potwierdzenie.

Najczesciej zadawane pytania (FAQ)

Opracowano na podstawie materiałów cyber.gov.pl oraz dyrektywy NIS 2.

Dyrektywa NIS 2 (UE 2022/2555) weszła w zycie 16 stycznia 2023 r. Polska miała obowiązek wdrożenia jej do 17 października 2024 r. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczenstwa (KSC) jest w toku - do czasu jej uchwalenia stosuje sie przepisy dotychczasowej ustawy KSC z 2018 r. oraz bezpośrednio przepisy dyrektywy NIS 2. Urzedy gmin powinny juz teraz podejmowac działania wdrożeniowe, poniewaz kary za brak zgodnosci moga byc naliczane od momentu wejscia w zycie nowelizacji KSC.

Tak - podmioty dokonują samoidentyfikacji i samooceny. Następnie rejestrują sie w systemie CSIRT GOV przez incydent.gov.pl. Organ nadzorczy (Pełnomocnik Rządu ds. Cyberbezpieczenstwa / Minister Cyfryzacji) moze zweryfikowac i zmienic klasyfikacje. Błedna klasyfikacja lub brak rejestracji moze skutkowac karą administracyjną. W razie wątpliwosci - skontaktuj sie z CSIRT GOV: cert@gov.pl lub tel. 22 587 34 34.

CSIRT GOV (Computer Security Incident Response Team) to zespół reagowania na incydenty bezpieczenstwa, działający przy Agencji Bezpieczenstwa Wewnetrznego (ABW). Pełni funkcje koordynacyjną dla sektora administracji publicznej. Kontakt obowiązkowy w przypadku: zgłoszenia incydentu powaznego (termin 24h), rejestracji podmiotu, zapytania o wytyczne. Kontakt: incydent.gov.pl, cert@gov.pl, tel. 22 587 34 34 (całą dobe). Nie uzywaj emaila do zgłaszania aktywnych incydentów - uzywaj formularza na incydent.gov.pl.

Kary administracyjne: podmiot kluczowy - do 10 mln EUR lub 2% rocznego swiatowego obrotu; podmiot wazny - do 7 mln EUR lub 1,4% obrotu. Dodatkowo art. 20 NIS 2 przewiduje osobistą odpowiedzialnosc kierownictwa - wójt/burmistrz moze zostac zawieszony w obowiązkach lub objety tymczasowym zakazem pełnienia funkcji. Kary dotyczą m.in.: braku wdrożenia środków technicznych, niewykonania obowiązku zgłoszenia incydentu w terminie 24h/72h, braku rejestracji w CSIRT GOV, braku szkolenia kierownictwa.

Procedura zgłaszania (art. 23 NIS 2): Do 24 godzin od wykrycia - zgłoszenie wstępne przez formularz na incydent.gov.pl. Zgłoszenie wstępne moze byc niepełne - ważne jest szybkie nawiązanie kontaktu. Do 72 godzin - pełne zgłoszenie z oceną wpływu, dotknietymi systemami i podjętymi działaniami. Jesli incydent dotyczy danych osobowych - równolegle zgłoszenie do UODO (takze 72h, art. 33 RODO). Do 1 miesiąca - raport koncowy z analizą przyczyn (root cause analysis) i wnioskami. Czytaj poradnik: Procedura reakcji na incydent →

Tak. Art. 20 NIS 2 nakłada obowiązek szkolenia kierownictwa (wójt, burmistrz, prezydent miasta, sekretarz) z zakresu zarządzania ryzykiem cyberbezpieczenstwa. Szkolenie musi byc udokumentowane i cyklicznie powtarzane. Dla pracowników - szkolenia z cyberhigieny (co najmniej raz w roku). Rejestr szkoleń musi byc prowadzony i dostepny na potrzeby kontroli. Brak szkolenia kierownictwa jest jedną z przesłanek nałożenia sankcji osobistych na kierownika jednostki.

Samoocena to roczne, wewnetrzne badanie poziomu cyberbezpieczenstwa podmiotu - obowiązkowe dla wszystkich podmiotów kluczowych i waznych. Przeprowadza ją CISO lub upowazniona osoba, a zatwierdza kierownictwo (wójt). Ocena obejmuje: stan wdrożenia środków technicznych, skutecznosc procedur, rejestry incydentów i szkolen. Wyniki przekazuje sie do CSIRT GOV zgodnie z wzorem udostępnionym przez organ nadzorczy. Wzór formularza: csirt.gov.pl.

Terminy i obowiązki

Harmonogram wdrożenia M1-M12

Powołanie CISO i Komitetu Sterującego

Zarządzenie wójta/burmistrza. CISO - formalny koordynator ds. cyberbezpieczeństwa, podlegający bezpośrednio kierownictwu.¹

Samoocena + rejestracja w CSIRT GOV

Rejestracja na incydent.gov.pl. Wstępna samoocena gotowości - formularz dostępny na stronie CSIRT GOV.²

GAP analysis + rejestr ryzyk

Analiza luk wg NIST CSF lub ISO 27001. Identyfikacja aktywów krytycznych, ocena podatności i zagrożeń. Rejestr ryzyk w arkuszu lub dedykowanym narzędziu.³

Polityka Bezpieczeństwa Informacji (PBI)

Dokument zatwierdzony przez wójta/burmistrza. Obejmuje zakres ochrony, role, klasyfikację danych, zasady dostępu.⁴

Wdrożenie środków technicznych

NGFW, EDR na wszystkich endpointach, MFA dla wszystkich użytkowników, segmentacja sieci, VPN dla zdalnego dostępu.⁵

BCP i DRP + testy backupów

Plan Ciągłości Działania i Plan Odtwarzania po Awarii. Test odtwarzania z backupu - wymagany protokół z wynikami.⁶

M10

Procedura IRP + szkolenia

Incident Response Plan - krok po kroku. Szkolenie wszystkich pracowników z cyberhigieny. Ćwiczenie tabletop (symulacja incydentu).⁷

M12

Audyt wewnętrzny + raport samooceny

Kompleksowy przegląd wszystkich wdrożonych środków. Raport samooceny NIS 2 - format wg wytycznych CSIRT GOV.⁸

Obowiązki cykliczne

Częstotliwość	Obowiązek	Odpowiedzialny
Na bieżąco	Rejestr incydentów, monitoring SIEM, patch management	Admin IT
Kwartalnie	Przegląd rejestru ryzyk, test backupów, raport dla kierownictwa	CISO
Rocznie	Raport samooceny NIS 2, szkolenia pracowników, przegląd PBI, BCP, IRP	CISO + Wójt
Co 2 lata	Audyt zewnętrzny (obowiązkowy dla podmiotów kluczowych)	Zewnętrzny audytor

Terminy zgłaszania incydentów⁹

Termin	Działanie	Gdzie zgłosić
Do 24h	Wstępne zgłoszenie incydentu - opis zdarzenia, wstępna ocena wpływu	incydent.gov.pl (CSIRT GOV)
Do 72h	Pełne zgłoszenie do CSIRT GOV + zgłoszenie do UODO (jeśli dane os.)	CSIRT GOV + UODO
Do 1 miesiąca	Raport końcowy - root cause analysis, timeline, wnioski, środki zaradcze	CSIRT GOV

Uwaga: Niezgłoszenie incydentu w terminie 24h grozi karą administracyjną. Zgłoszenie wstępne nie musi być kompletne - ważne jest podjęcie kontaktu z CSIRT GOV.

Technologia

Wszystkie wymienione rozwiązania spełniają wymagania art. 21 dyrektywy NIS 2 dotyczące środków technicznych zarządzania ryzykiem.¹ Ceny orientacyjne - każdorazowo należy przeprowadzić postępowanie przetargowe (Prawo zamówień publicznych).

🔥 NGFW - Zapora nowej generacji

Fortinet FortiGate 100F Rekomendowany

Kompletna platforma NGFW z IPS, SSL Inspection, Web Filtering i SD-WAN. Dedykowane układy ASIC zapewniają wydajność bez kompromisów. Idealna dla urzędów z 100-500 użytkownikami. Centralne zarządzanie przez FortiManager.

💰 18-35 tys. zł (3-letnia licencja) fortinet.com

Cisco Firepower 1140 Alternatywa

Rozwiązanie enterprise z głębokę inspekcją pakietów i integracją z ekosystemem Cisco (ISE, SecureX). Wyższe koszty wdrożenia, ale szeroka baza integratorów w Polsce.

💰 25-50 tys. zł cisco.com

pfSense Plus (Netgate) Budżetowe

Open-source NGFW na dedykowanym urządzeniu Netgate. Niski koszt, aktywna społeczność. Wymaga kompetentnego admina - brak komercyjnego wsparcia w wariancie Community Edition.

💰 3-8 tys. zł (hardware + licencja Plus) netgate.com

🔬 EDR - Detekcja i reakcja na endpointach

Microsoft Defender for Endpoint P2 Rekomendowany

Jeśli urząd korzysta z Microsoft 365 (E3/E5 lub Government), Defender P2 jest już zawarty lub dostępny w niskiej cenie. Integracja z Sentinel, Entra ID i Teams. ASR rules, Threat Intelligence, Live Response.

💰 Zawarty w M365 E5 lub ~15 USD/user/mies. microsoft.com

CrowdStrike Falcon Go/Pro Alternatywa

Wiodący EDR chmurowy - doskonała detekcja, niska obciążalność agenta (1% CPU). Brak integracji z M365 - wymaga osobnej konsoli Falcon. Dla urzędów z dedykowanym SOC.

💰 ~60-120 USD/endpoint/rok crowdstrike.com

📊 SIEM - Zarządzanie zdarzeniami bezpieczeństwa

Microsoft Sentinel Rekomendowany (cloud)

SIEM/SOAR w chmurze Azure. Automatyczne wykrywanie zagrożeń dzięki UEBA i Fusion ML. Natywna integracja z Defender, Entra ID, Office 365 - idealna dla urzędów w ekosystemie Microsoft. Płatność za GB pobranych danych.

💰 ~2-5 USD/GB/dzień (zależy od wolumenu logów) azure.microsoft.com

Wazuh + Elastic Stack Budżetowe (on-prem)

Darmowy open-source SIEM/XDR. Wazuh zbiera logi, wykrywa anomalie, zarządza podatnościami i sprawdza zgodność z CIS Benchmarks. Elastic Stack zapewnia wizualizację. Własny SOC - wymaga dedykowanego serwera 8-15 tys. zł i czasu wdrożenia 10-20 tys. zł.

💰 Oprogramowanie bezpłatne · serwer 8-15 tys. zł · wdrożenie 10-20 tys. zł wazuh.com

IBM QRadar SIEM Enterprise

Rozwiązanie klasy enterprise - dla miast powyżej 50 tys. mieszkańców z własnym SOC. Zaawansowana korelacja reguł, QRadar Advisor on Watson (AI). Wysokie koszty licencji i wdrożenia.

💰 Wdrożenie 80-200 tys. zł · licencja wg wolumenu EPS ibm.com

💾 Backup i odtwarzanie - reguła 3-2-1-1

Veeam Backup & Replication Rekomendowany

Standard branżowy dla backupu VM i fizycznych serwerów. Obsługuje regułę 3-2-1-1: 3 kopie, 2 różne nośniki, 1 offsite, 1 immutable (niemodyfikowalna). Immutable backup chroni przed ransomware - zaszyfrowane dane nie nadpiszą backupu.

💰 3-8 tys. zł/rok (do 10 VM) veeam.com

Acronis Cyber Protect Alternatywa

Backup i EDR w jednym agencie - upraszcza architekturę. Wbudowana ochrona przed ransomware (Active Protection), kopia w chmurze Acronis. Dobry wybór dla małych urzędów bez dedykowanego zespołu IT.

💰 200-500 zł/endpoint/rok acronis.com

🔐 MFA i zarządzanie tożsamością

Microsoft Entra ID + Authenticator Rekomendowany

SSO dla wszystkich aplikacji, Conditional Access (dostęp zdalny tylko z zaufanych urządzeń), Privileged Identity Management (PIM). Zawarty w Microsoft 365 Government - brak dodatkowych kosztów dla urzędów z licencją M365.

💰 Zawarty w M365 E3/E5 microsoft.com

YubiKey 5 NFC Konta uprzywilejowane

Klucz sprzętowy FIDO2/WebAuthn - najwyższy poziom ochrony. Obowiązkowy dla kont administratorów, CISO, wójta. Niemożliwy do phishowania - klucz fizycznie musi być przy komputerze. Minimum 2 klucze na użytkownika (backup).

💰 200-350 zł/klucz · min. 2 klucze/user yubico.com

🔒 Szyfrowanie i bezpieczny dostęp

BitLocker + TPM 2.0 Bezpłatny, wbudowany w Windows

Szyfrowanie pełnego dysku - obowiązkowe na wszystkich laptopach, przenośnych dyskach i pendrive'ach. TPM 2.0 zapewnia bezpieczne przechowywanie klucza szyfrowania. Zarządzanie kluczami przez Active Directory lub Microsoft Entra ID (MBAM). Nie wymaga dodatkowych licencji.

💰 Bezpłatny (wbudowany w Windows 10/11 Pro/Enterprise) microsoft.com

FortiClient VPN / Microsoft Always On VPN Zdalny dostęp

Szyfrowany tunel VPN dla pracowników zdalnych i hybrydowych. FortiClient integruje się z FortiGate. Always On VPN (Microsoft) - automatyczne połączenie przy starcie systemu, integracja z Entra ID i Intune. Wymagany dla każdego pracownika pracującego poza siecią urzędu.

💰 FortiClient: zawarty w licencji FortiGate · Always On VPN: bezpłatny (Windows Server) fortinet.com

🖥️ Wirtualizacja infrastruktury

Proxmox VE Open Source · Darmowy

Platforma wirtualizacji klasy enterprise oparta na KVM (maszyny wirtualne) i LXC (kontenery). Alternatywa dla VMware vSphere - bez opłat licencyjnych. Wbudowany klaster HA, backup Proxmox Backup Server, wbudowane firewall i monitoring. Idealna dla urzędów budujących własne data center lub modernizujących infrastrukturę. Wspiera migracje z VMware.

💰 Bezpłatny (Community Edition) · wsparcie Enterprise 500-1800 EUR/rok/serwer proxmox.com

Czytaj: Segmentacja sieci dla urzędu →

Microsoft Hyper-V Zawarty w Windows Server

Wbudowana platforma wirtualizacji w Windows Server 2019/2022 - bez dodatkowych kosztów. Integracja z Active Directory, Windows Admin Center i System Center VMM. Failover Clustering dla HA. Najlepsza opcja dla urzędów calkowicie w ekosystemie Microsoft - zarządzanie przez te same narzedzia co reszta infrastruktury.

💰 Zawarty w licencji Windows Server (Datacenter/Standard) microsoft.com

VMware vSphere (Broadcom) Enterprise

Wiodąca platforma wirtualizacji enterprise - najdojrzalsza, najszersza baza integratorów w Polsce. Po przejęciu przez Broadcom model licencyjny zmienił sie drastycznie (subskrypcja zamiast perpetualnej) - koszty znacząco wzrosły. Rozważac dla duzych miast z istniejącą infrastrukturą VMware i kontraktem serwisowym.

💰 Subskrypcja od ok. 5000 USD/rok · znacząco wyzsze niz Proxmox vmware.com

📈 Monitoring infrastruktury i sieci

Zabbix Open Source · Rekomendowany

Wiodące open-source rozwiązanie do monitoringu IT - serwery, sieci, aplikacje, usługi chmurowe. Agenty dla Windows/Linux, monitorowanie SNMP, WMI, JMX. Alerty przez email/SMS/Slack. Dashboardy i raporty. Uzywany przez tysiące instytucji publicznych w Polsce. Niski koszt wdrożenia - głównie czas admina. Integracja z Grafaną dla zaawansowanych wizualizacji.

💰 Bezpłatny · wsparcie Enterprise od producenta dostepne zabbix.com

Grafana + Prometheus Open Source

Nowoczesny stack monitoringu: Prometheus zbiera metryki z systemów (scrapowanie co 15s), Grafana wizualizuje na dashboardach w czasie rzeczywistym. Idealne dla srodowisk kontenerowych (Kubernetes, Docker) i infrastruktury chmurowej. Grafana Cloud dostepna w wersji darmowej dla małych deploymentów.

💰 Bezpłatny (self-hosted) · Grafana Cloud Free plan dostepny grafana.com

📧 Ochrona poczty e-mail

Microsoft Defender for Office 365 Plan 1 Rekomendowany

Zaawansowana ochrona poczty Exchange Online: Safe Links (sprawdzanie URLi w czasie klikniecia), Safe Attachments (detonacja załączników w sandboxie), Anti-phishing z ochroną przed podszywaniem. Wbudowane w Microsoft 365 Business Premium i E3/E5. Konfiguracja przez portal defender.microsoft.com. Niezbedne dopełnienie standardowych filtrów antyspamowych.

💰 Zawarty w M365 Business Premium lub ~2 USD/user/mies. (Plan 1) microsoft.com

Czytaj: Phishing w urzędzie - jak rozpoznac i reagowac →

Mimecast Email Security Alternatywa

Dedykowana brama pocztowa z zaawansowanym filtrowaniem, archiwizacją i kontynuacją poczty (email continuity) podczas awarii serwera. Integracja z Microsoft 365 i Google Workspace. Moduł Awareness Training - wbudowane testy phishingowe dla pracowników. Dla urzędów wymagających rozbudowanej archiwizacji poczty (wymogi prawne).

💰 Ok. 3-6 USD/user/mies. (zalezy od modułów) mimecast.com

🔒 Szyfrowanie i bezpieczny dostep zdalny

BitLocker + TPM 2.0 Bezpłatny · Wbudowany w Windows

💰 Bezpłatny (wbudowany w Windows 10/11 Pro/Enterprise) microsoft.com

VeraCrypt Open Source · Darmowy

Szyfrowanie woluminów i kontenerów - platformowo niezalezne (Windows, Linux, macOS). Alternatywa dla BitLocker na systemach non-Windows lub do tworzenia zaszyfrowanych kontenerów z dokumentami wrazliwymi. Obsługuje szyfrowanie ukryte (hidden volume) i uwierzytelnianie wieloskładnikowe (hasło + plik klucza). Dla pendrjvów i dysków przenosnych pracowników.

💰 Bezpłatny (open source) veracrypt.fr

FortiClient VPN / Microsoft Always On VPN Dostep zdalny

Szyfrowany tunel VPN dla pracowników zdalnych i hybrydowych. FortiClient integruje sie z FortiGate. Always On VPN (Microsoft) - automatyczne połączenie przy starcie systemu, integracja z Entra ID i Intune. Wymagany dla kazdego pracownika pracującego poza siecią urzędu.

💰 FortiClient: zawarty w licencji FortiGate · Always On VPN: bezpłatny (Windows Server) fortinet.com

WireGuard Open Source · Nowoczesny VPN

Nowoczesny, lekki protokół VPN (ok. 4000 linii kodu vs 600 000 w OpenVPN). Znacząco szybszy od OpenVPN i IPSec, nizsza latencja. Wbudowany w jadro Linux od wersji 5.6, obsługuje Windows/macOS/iOS/Android. Idealny dla srodowisk Linux (Proxmox, Ubuntu Server). Wymaga konfiguracji recznej lub narzedzi jak Netmaker lub Headscale (self-hosted Tailscale).

💰 Bezpłatny (open source) wireguard.com

OpenVPN Access Server Sprawdzony Open Source

Najbardziej rozpowszechniony protokół VPN - obsługiwany przez praktycznie kazdy system i urzadzenie sieciowe. Access Server to komercyjna wersja z panelem zarządzania (do 2 połączen bezpłatnie). Integracja z LDAP/AD dla uwierzytelniania pracowników. Dobry wybór dla heterogenicznych srodowisk z urzadzeniami różnych producentów.

💰 Do 2 uzytkowników bezpłatnie · od ok. 15 USD/user/rok openvpn.net

🔑 Zarządzanie tożsamoscią i dostepem (IAM)

Microsoft Entra ID + Authenticator Rekomendowany

SSO dla wszystkich aplikacji, Conditional Access (dostep zdalny tylko z zaufanych urządzen), Privileged Identity Management (PIM). Zawarty w Microsoft 365 Government - brak dodatkowych kosztów dla urzędów z licencją M365.

💰 Zawarty w M365 E3/E5 microsoft.com

Czytaj: MFA krok po kroku dla urzędu →

Keycloak Open Source · Self-hosted

Enterprise-grade platforma IAM (Identity and Access Management) open-source. SSO z OIDC/OAuth2/SAML, federacja z Active Directory (LDAP), MFA, Social Login. Idealna dla urzędów z własną infrastrukturą i systemami on-prem, które potrzebują centralnego uwierzytelniania bez zaleznosci od Microsoft. Uzywana przez instytucje publiczne w UE.

💰 Bezpłatny (open source) · komercyjne wsparcie przez Red Hat SSO keycloak.org

YubiKey 5 NFC Konta uprzywilejowane

Klucz sprzętowy FIDO2/WebAuthn - najwyzszy poziom ochrony. Obowiązkowy dla kont administratorów, CISO, wójta. Niemozliwy do phishowania - klucz fizycznie musi byc przy komputerze. Minimum 2 klucze na uzytkownika (backup).

💰 200-350 zł/klucz · min. 2 klucze/user yubico.com

📊 SIEM i XDR - Zarządzanie zdarzeniami bezpieczenstwa

Microsoft Sentinel Rekomendowany (cloud)

SIEM/SOAR w chmurze Azure. Automatyczne wykrywanie zagrozen dzięki UEBA i Fusion ML. Natywna integracja z Defender, Entra ID, Office 365 - idealna dla urzędów w ekosystemie Microsoft. Płatnosc za GB pobranych danych.

💰 Ok. 2-5 USD/GB/dzien (zalezy od wolumenu logów) azure.microsoft.com

Wazuh + Elastic Stack Open Source (on-prem)

Darmowy open-source SIEM/XDR. Wazuh zbiera logi, wykrywa anomalie, zarządza podatnosciami i sprawdza zgodnosc z CIS Benchmarks. Elastic Stack zapewnia wizualizacje. Własny SOC - wymaga dedykowanego serwera 8-15 tys. zł i czasu wdrozenia 10-20 tys. zł.

💰 Oprogramowanie bezpłatne · serwer 8-15 tys. zł · wdrożenie 10-20 tys. zł wazuh.com

Graylog Open Open Source · Alternatywa SIEM

Centralna platforma zarządzania logami z wbudowanym alertingiem i dashboardami. Szczególnie mocna w parsowaniu i przeszukiwaniu duzych wolumenów logów (Elasticsearch/OpenSearch backend). Dobra alternatywa dla Elastica jesli potrzeba prostszego wdrozenia. Graylog Cloud dostepny dla mniejszych deploymentów bez własnych serwerów.

💰 Open: bezpłatny · Operations: od ok. 1250 USD/mies. graylog.org

IBM QRadar SIEM Enterprise

Rozwiązanie klasy enterprise - dla miast powyzej 50 tys. mieszkanców z własnym SOC. Zaawansowana korelacja reguł. Wysokie koszty licencji i wdrożenia.

💰 Wdrożenie 80-200 tys. zł · licencja wg wolumenu EPS ibm.com

Tylko dla podmiotów kluczowych

Audyt zewnętrzny i testy penetracyjne: Podmioty kluczowe mają obowiązek przeprowadzania audytu zewnętrznego co 2 lata (art. 32 NIS 2) oraz cyklicznych testów penetracyjnych (pen-test) infrastruktury krytycznej. Rekomendowani dostawcy usług audytu powinni posiadać akredytację ENISA lub certyfikat ISO 27001.

Organizacja

Struktura odpowiedzialności¹

🏛️ Wójt / Burmistrz / Prezydent Miasta Ostateczna odpowiedzialność prawna za NIS 2 · musi ukończyć szkolenie z cyberbezpieczeństwa (art. 20 NIS 2)

↓

🛡️ CISO / Koordynator ds. Cyberbezpieczeństwa Codzienne zarządzanie NIS 2 · kontakt z CSIRT GOV · raportowanie do kierownictwa · nadzór nad wdrożeniem środków technicznych

⚖️ IOD Inspektor Ochrony Danych · nadzór RODO · współpraca z CISO przy incydentach dot. danych os. · kontakt z UODO

🖥️ Admin IT Wdrożenie środków technicznych · patch management · konfiguracja backupów · monitoring SIEM

📋 Pełnomocnicy w referatach Lokalni koordynatorzy bezpieczeństwa · zgłaszanie incydentów wewnętrznych · wdrożenie procedur w wydziale

Wymagane dokumenty²

Dokument	Odpowiedzialny	Przegląd	Priorytet
Polityka Bezpieczeństwa Informacji (PBI)	CISO + Wójt	Rocznie	Krytyczny
Rejestr ryzyk	CISO	Kwartalnie	Krytyczny
Plan Ciągłości Działania (BCP)	CISO + Sekretarz	Rocznie	Wysoki
Plan Odtwarzania po Awarii (DRP)	Admin IT	Po każdej zmianie	Wysoki
Incident Response Plan (IRP)	CISO	Rocznie	Wysoki
Polityka haseł i MFA	Admin IT	Rocznie	Standardowy
Raport samooceny NIS 2	CISO	Rocznie	Standardowy
Rejestr incydentów	CISO	Ciągły	Standardowy
Rejestr szkoleń	Kadry + CISO	Ciągły	Standardowy

Zarządzanie łańcuchem dostaw (art. 21 NIS 2)³

Nowy obowiązek NIS 2: Urząd odpowiada za bezpieczeństwo swoich dostawców IT. Naruszenie u dostawcy = potencjalne naruszenie u podmiotu.

📋 Ankieta bezpieczeństwa dla dostawców

Każdy dostawca IT (oprogramowanie, hosting, chmura, outsourcing IT) przed podpisaniem umowy musi wypełnić ankietę bezpieczeństwa. Zakres: polityki bezpieczeństwa, certyfikaty, historia incydentów, procedury patch management.

📜 Klauzule umowne NIS 2

Każda umowa z dostawcą IT powinna zawierać: SLA z parametrami bezpieczeństwa (dostępność, czas reakcji na incydent), obowiązek zgłaszania incydentów do urzędu w ciągu 24h, prawo do audytu dostawcy, zakaz podzlecania bez zgody.

🚫 Zakaz oprogramowania z krajów wysokiego ryzyka

Oprogramowanie i sprzęt od dostawców z krajów umieszczonych na liście ENISA lub MC jako kraje wysokiego ryzyka cyberbezpieczeństwa nie może być wdrażane w infrastrukturze krytycznej urzędu. Dotyczy to m.in. oprogramowania antywirusowego, routerów i kamer IP.

🔍 Coroczna ocena dostawców

Weryfikacja posiadanych certyfikatów: ISO 27001:2022, SOC 2 Type II, Cyber Essentials. Dostawcy krytyczni (hosting, ERP, ePUAP-integration) - przegląd co roku. Dostawcy standardowi - co 2 lata lub po incydencie.

Zarządzanie incydentami

Procedura krok po kroku¹

0 - 2 godziny

Wykrycie i izolacja

Wykrycie zdarzenia (SIEM alert, zgłoszenie pracownika, monitoring)
Natychmiastowa izolacja zainfekowanego systemu od sieci (odłączenie kabla / wyłączenie Wi-Fi / blokada portu switch)
Zgłoszenie do Admin IT i CISO - uruchomienie IRP
NIE wyłączaj komputera - zachowaj logi w pamięci RAM do analizy forensycznej

Do 24 godzin

Wstępne zgłoszenie CSIRT GOV

Zgłoszenie przez incydent.gov.pl lub cert@gov.pl
Treść zgłoszenia: opis zdarzenia, wstępna ocena wpływu na usługi, podjęte działania
Zgłoszenie wstępne nie musi być kompletne - ważny jest kontakt w ciągu 24h
Dokumentuj każdy krok w rejestrze incydentów (czas, kto, co, decyzja)

Do 72 godzin

Pełne zgłoszenie + UODO

Pełne zgłoszenie do CSIRT GOV: przyczyny, zakres, dotknięte systemy i dane, podjęte środki zaradcze
Jeśli incydent dotyczy danych osobowych → obowiązkowe zgłoszenie do UODO w ciągu 72h (art. 33 RODO)²
IOD ocenia konieczność powiadomienia osób, których dane dotyczą

Odtwarzanie

Aktywacja DRP i przywrócenie usług

Aktywacja Planu Odtwarzania po Awarii (DRP) przez Admin IT
Odtworzenie danych z backupu (immutable - chroniony przed ransomware)
Test integralności odtworzonych danych przed uruchomieniem w środowisku produkcyjnym
Przywrócenie usług w kolejności priorytetów: ePUAP → BIP → e-podatki → systemy wewnętrzne

Do 1 miesiąca

Raport końcowy

Root cause analysis - ustalenie pierwotnej przyczyny incydentu
Timeline incydentu - od wykrycia do przywrócenia usług
Wnioski i rekomendacje - zmiany w procedurach, technologii, szkoleniach
Przekazanie raportu do CSIRT GOV i kierownictwa urzędu

Kontakty alarmowe

Instytucja	Kontakt	Kiedy zgłaszać	Termin
CSIRT GOV	incydent.gov.pl cert@gov.pl +48 22 587 34 34	Każdy poważny incydent bezpieczeństwa	24h
UODO	uodo.gov.pl +48 22 531 03 00	Naruszenie ochrony danych osobowych	72h
CERT Polska (NASK)	cert.pl dyżurnet.pl	Phishing, fałszywe strony podszywające się pod urząd	Niezwłocznie
Policja / ABW	Komenda Wojewódzka · nr 112	Cyberprzestępstwo z podejrzeniem popełnienia przestępstwa	Niezwłocznie

Scenariusze incydentów

🔴 Ransomware

Izolacja zainfekowanych systemów od sieci
Alarm dla CISO i Admin IT, uruchomienie IRP
Aktywacja DRP - odtworzenie z immutable backupu
Zgłoszenie do CSIRT GOV ≤24h
Zawiadomienie prokuratury (przestępstwo komputerowe)
Komunikat dla mieszkańców o niedostępności usług
NIE płać okupu - brak gwarancji odszyfrowania

🟡 Wyciek danych osobowych

Ustalenie zakresu wycieku (jakie dane, ile rekordów)
Powiadomienie IOD - ocena ryzyka dla osób
Zgłoszenie do UODO ≤72h (art. 33 RODO)
Ewentualne powiadomienie osób, których dane dotyczą
Zgłoszenie do CSIRT GOV ≤24h (jeśli incydent bezpieczeństwa IT)
Zmiana haseł i tokenów API dotkniętych systemów

🔵 Phishing / Przejęcie konta

Natychmiastowa zmiana hasła przejętego konta
Zablokowanie sesji i tokenów (Entra ID - Sign-out all)
Analiza logów - jakie dane były dostępne, co zrobił atakujący
Ocena krytyczności konta (uprzywilejowane → natychmiast do CISO)
Zgłoszenie phishingu do CERT Polska (dyżurnet.pl)
Szkolenie pracownika, który kliknął

Checklista wdrożenia NIS 2

Stan checklisty jest zapisywany automatycznie w przeglądarce. Możesz bezpiecznie zamknąć kartę - postęp zostanie zachowany.

0 / 35 zadań 0%

Poradniki cyberbezpieczeństwa

Praktyczne poradniki dla administratorów IT urzędów gmin. Każdy artykuł opisuje konkretne zagrożenie lub technologię - z krokami wdrożenia, przykładami i rekomendacjami narzędzi.

Zagrożenia Zaawansowany ⏱ 8 min

Ransomware w urzędzie gminy - jak przetrwać atak i co zrobić, żeby do niego nie doszło

Ataki ransomware na polskie jednostki samorządowe wzrosły o 340% w latach 2022-2024. Urząd bez backupu i bez segmentacji sieci może zostać sparaliżowany na tygodnie. Dowiedz się, jak działają atakujący i jakie kroki podjąć natychmiast po wykryciu incydentu.

Czym jest ransomware i jak trafia do urzędu

Typowy łańcuch ataku ransomware na urząd gminy

📧

Punkt wejścia

Phishing / RDP / VPN 0-day

→

🪱

Implant / dropper

Cobalt Strike, Emotet, BazarLoader

→

🔎

Rekonesans

Skan sieci, AD, backupy

→

↔️

Lateral movement

Pass-the-hash, PsExec, RDP

→

💾

Eksfiltracja

Kradzież danych przed szyfrowaniem

→

🔐

Szyfrowanie

AES-256 + RSA-2048 · żądanie okupu

Czas od infekcji do szyfrowania: 1 godzina - 3 dni · średni okup w samorządach 2024: 180 000 PLN

Ransomware to złośliwe oprogramowanie, które szyfruje pliki ofiary i żąda okupu (zwykle w kryptowalutach) za klucz deszyfrujący. Dla urzędu gminy oznacza to zatrzymanie wszystkich usług cyfrowych - ePUAP, BIP, e-podatki, poczta, dokumentacja - na dni lub tygodnie.

Najczęstsze wektory infekcji w jednostkach samorządowych:

Phishing e-mail - złośliwy załącznik lub link w wiadomości podszywającej się pod ZUS, ministerstwo lub dostawcę oprogramowania
Niezabezpieczony RDP - protokół pulpitu zdalnego wystawiony bezpośrednio na internet, bruteforce haseł lub exploit
Niezałatane podatności - serwery z nieaktualnym oprogramowaniem (VPN, Exchange, systemy ERP)
Przejęty dostawca IT - atak przez konto serwisowe zewnętrznej firmy obsługującej systemy urzędu

Pierwsze 2 godziny - co robić natychmiast

WAŻNE: Nie wyłączaj zainfekowanych komputerów od razu - forensyka może potrzebować zawartości RAM. Wyjmij kabel sieciowy zamiast wyłączać zasilanie.

Odłącz zainfekowany komputer/serwer od sieci (kabel lub wyłącz port na switchu) - nie wyłączaj zasilania
Powiadom CISO i kierownictwo - aktywuj Incident Response Plan
Zidentyfikuj zasięg infekcji - sprawdź logi SIEM, które systemy komunikowały się z zainfekowanym hostem
Zablokuj konta uprzywilejowane i zmień hasła serwisowe
Zgłoś incydent do CSIRT GOV przez incydent.gov.pl - termin 24 godziny od wykrycia

Dlaczego reguła 3-2-1-1 ratuje życie

Większość ataków ransomware szuka i szyfruje też kopie zapasowe. Dlatego kluczowy jest backup immutable - kopia, której nie można nadpisać ani usunąć przez określony czas, nawet z uprawnieniami administratora.

Reguła 3-2-1-1: 3 kopie danych → na 2 różnych nośnikach → 1 kopia off-site → 1 kopia immutable (niezmienialny backup, np. Veeam + Object Lock w S3 lub taśma offline).

Urząd, który ma poprawnie wdrożony backup z codzienną kopią immutable, może odtworzyć systemy w kilka godzin. Urząd bez takiego backupu - płaci okup lub odbudowuje dane przez miesiące.

Checklista zapobiegania (minimum NIS 2)

✓ EDR na wszystkich stacjach i serwerach (Microsoft Defender P2 lub CrowdStrike)
✓ NGFW z IPS włączonym (Fortinet FortiGate lub równoważny)
✓ MFA dla wszystkich kont, klucze FIDO2 dla adminów
✓ Segmentacja sieci - serwery w osobnym VLAN, izolowanym od stacji roboczych
✓ Patch management - łatanie krytycznych podatności max. w 72 godziny
✓ Wyłączenie RDP z dostępu przez internet - tylko przez VPN z MFA
✓ Test odtwarzania z backupu co kwartał - sprawdzaj czy dane faktycznie wracają

Tożsamość Podstawowy ⏱ 6 min

MFA krok po kroku - Microsoft Entra ID i Authenticator dla urzędu gminy

Według Microsoft, MFA blokuje 99,9% automatycznych ataków na konta. Jeśli Twój urząd korzysta z Microsoft 365, możesz włączyć wieloskładnikowe uwierzytelnianie dla wszystkich pracowników w ciągu jednego popołudnia - bez dodatkowych kosztów.

Dlaczego samo hasło nie wystarczy

Przeciętne hasło pracownika urzędu można złamać lub wyłudzić w ciągu kilku minut - przez phishing, atak słownikowy lub wyciek z innego serwisu (85% użytkowników używa tych samych haseł w kilku miejscach). MFA dodaje drugi składnik: coś, co posiadasz (telefon, klucz sprzętowy), którego atakujący nie może ukraść razem z hasłem.

Typy MFA - od najsłabszego do najsilniejszego

Odporność metod MFA na ataki (wyniki testów NIST + Microsoft)

SMS / głos

28%

SIM swap · SS7 exploit

Authenticator TOTP

65%

MFA fatigue · phishing OTP

Authenticator Push

72%

MFA fatigue (number matching ↑)

Passkey (platf.)

95%

Phishing-resistant

FIDO2 / YubiKey

100%

✅ Obowiązkowy dla adminów

Źródło: NIST SP 800-63B · Microsoft Security Intelligence Report 2024

SMS / połączenie głosowe - podatny na SIM swapping i man-in-the-middle. Akceptowalny jako minimum, ale nie dla kont uprzywilejowanych
Microsoft Authenticator (TOTP/push) - dobry dla pracowników. Uwaga na "MFA fatigue" - atakujący zasypuje powiadomieniami, aż użytkownik kliknie "Zatwierdź"
Klucz FIDO2/WebAuthn (YubiKey) - najsilniejszy. Odporny na phishing i MFA fatigue. Obowiązkowy dla adminów, CISO, kont serwisowych

Krok 1 - Włącz Security Defaults (jeśli nie masz P2)

Jeśli Twój urząd ma licencje M365 Basic lub Standard, zacznij od Security Defaults: Entra ID → Properties → Manage security defaults → Enable. Automatycznie wymusi MFA dla wszystkich. Uwaga: blokuje legacy authentication - najpierw sprawdź czy nie masz starych systemów używających SMTP Basic Auth.

Krok 2 - Conditional Access (licencje P1/P2 lub Microsoft 365 Business Premium)

Conditional Access daje pełną kontrolę: wymusz MFA tylko z sieci zewnętrznych, blokuj dostęp z krajów wysokiego ryzyka, wymagaj zgodnego urządzenia dla dostępu do systemów krytycznych.

Rekomendowana polityka: Wymagaj MFA dla wszystkich użytkowników przy logowaniu spoza sieci urzędu. Dla adminów - wymagaj MFA zawsze, niezależnie od lokalizacji, z wymogiem klucza FIDO2.

Krok 3 - YubiKey 5 NFC dla kont uprzywilejowanych

Kup minimum 2 klucze YubiKey 5 NFC na każdego admina (jeden zapasowy) - ok. 250-350 zł/klucz
W Entra ID → Authentication methods → FIDO2 security key → Enable dla grupy "Admins"
Każdy admin rejestruje klucz: Moje konto → Informacje zabezpieczające → Dodaj metodę
W Conditional Access - stwórz politykę wymagającą klucza FIDO2 dla roli Global Administrator i Privileged Role Administrator

Co gdy pracownik zgubi telefon z Authenticatorem?

Ustal procedurę przed incydentem: Admin w Entra ID → Users → wybierz użytkownika → Authentication methods → Delete all. Pracownik loguje się z hasłem i rejestruje nowy telefon. Bez procedury i uprawnień admina do tego działania - pracownik jest zablokowany.

Backup Podstawowy ⏱ 5 min

Reguła 3-2-1-1 - jedyna strategia backupu, która chroni przed ransomware

Klasyczna reguła 3-2-1 nie wystarczy już od czasów REvil i LockBit. Nowoczesny ransomware aktywnie szuka i niszczy kopie zapasowe. Dodatkowe "1" - backup immutable - to różnica między odtworzeniem systemu w 4 godziny a płaceniem okupu.

Reguła 3-2-1 - punkt wyjścia

Reguła 3-2-1-1 - wizualizacja architektury backupu

Kopie danych

🖥️ Oryg. 💾 K1 📀 K2

Zawsze co najmniej 3 instancje danych

Różne nośniki

🗄️ NAS/dysk 📼 Taśma LTO

Awaria jednego nie niszczy obu

Kopia off-site

☁️ Azure/S3

Poza budynkiem urzędu - pożar/zalanie

Kopia immutable

🔒 WORM

Nie do nadpisania - nawet przez admina

RPO vs RTO - co to oznacza w praktyce

RPO maks. utrata danych
np. 1h = backup co godzinę

RTO maks. czas odtworzenia
cel: <4h dla systemów krytycznych

Przywrócenie usług ePUAP, BIP, finanse online

Awaria / Atak Ostatni backup Wykrycie Normalna praca

3 kopie danych - oryginał + 2 kopie zapasowe
2 różne media - np. dyski lokalne + chmura lub dyski NAS + taśma LTO
1 kopia off-site - poza budynkiem urzędu (inna lokalizacja lub chmura)

Dlaczego ransomware niszczy zwykłe backupy

Nowoczesne ataki ransomware (Conti, LockBit, Cl0p) zawierają moduły, które przed szyfrowaniem danych aktywnie:

Usuwają kopie shadow (VSS) w Windows
Szukają i szyfrują udziały sieciowe NAS z backupami
Logują się do konsol zarządzania backupem (Veeam, Acronis) i usuwają punkty odtwarzania

Uwaga: Backup podłączony do sieci i dostępny z konta z uprawnieniami - ZOSTANIE zaszyfrowany lub usunięty. To nie jest teoria - to doświadczenie setek zaatakowanych gmin i szpitali.

Czwarte "1" - backup immutable

Backup immutable (niezmieniany) to kopia, której nie można nadpisać, zmodyfikować ani usunąć przez określony czas - nawet z konta administratora. Implementacje:

Veeam + Object Lock (S3) - kopia w chmurze z włączonym WORM (Write Once Read Many). Nawet klucze root AWS nie usuną danych przed upływem retencji
Taśma LTO offline - fizycznie odłączona od sieci. Ransomware nie zaszyfruje taśmy leżącej w szafce
Veeam Hardened Repository - Linux z XFS i immutable flag, dedykowane konto bez dostępu sieciowego

RTO i RPO - jak planować odtwarzanie

RPO (Recovery Point Objective) - ile danych możemy stracić? Jeśli backup jest raz dziennie o 22:00, a awaria o 17:00, tracisz 19 godzin pracy. Dla systemów krytycznych (baza ewidencji, finanse) RPO powinno wynosić max. 1 godzinę - potrzebny backup co godzinę lub replikacja.

RTO (Recovery Time Objective) - ile czasu na odtworzenie? Dla urzędu rozsądne RTO to 4 godziny dla systemów krytycznych, 24 godziny dla pozostałych. Sprawdź to rzeczywistym testem - nie zakładaj, że backup działa.

Test backupu - jak i kiedy

Złota zasada: Backup, który nigdy nie był testowany, nie istnieje. Testuj odtwarzanie co kwartał, a po każdej zmianie infrastruktury.

Wybierz losowy serwer lub VM do testu (np. serwer plików, nie produkcyjny)
Odtwórz w środowisku izolowanym (Veeam → Instant Recovery → sieć testowa)
Sprawdź czy dane są spójne i aplikacje startują poprawnie
Zmierz czas odtworzenia - porównaj z wymaganym RTO
Udokumentuj wynik w rejestrze testów backupu (wymagane przez NIS 2)

Świadomość Podstawowy ⏱ 5 min

Phishing w urzędzie - jak rozpoznać atak zanim klikniesz i co robić po

85% cyberataków zaczyna się od phishingowej wiadomości e-mail. Atakujący doskonale znają polskie urzędy - podszywają się pod ZUS, ministerstwa, dostawców oprogramowania ERP i lokalne firmy. Jedno kliknięcie może sparaliżować cały urząd.

Red flags - rozpoznaj phishing w 10 sekund

Pilność i presja czasu - "Konto zostanie zablokowane w ciągu 24 godzin", "Wymagana natychmiastowa weryfikacja"
Podejrzany nadawca - sprawdź pełny adres e-mail, nie tylko wyświetlaną nazwę. zus@zus-gov.pl to nie to samo co zus@gov.pl
Generyczny zwrot - "Szanowny Użytkowniku" zamiast imienia i nazwiska
Link nie pasuje do nadawcy - najedź myszą na link (nie klikaj!) i sprawdź rzeczywisty adres URL
Prośba o dane logowania lub przelewy - żadna instytucja publiczna nie prosi o hasło przez e-mail
Załącznik z makrami - dokumenty Word/Excel z prośbą o "Włącz edycję" lub "Włącz zawartość"

Spear phishing - atak skrojony pod Twój urząd

Zwykły phishing trafia do tysięcy odbiorców. Spear phishing jest spersonalizowany - atakujący zbiera informacje o urzędzie (ze strony BIP, LinkedIn, KRS) i tworzy wiadomość od "wójta" do "sekretarki" z prośbą o przelew lub "od dostawcy oprogramowania URZĄD XYZ" z prośbą o logowanie do aktualizacji.

Przykład z Polski (2023): Pracownik urzędu gminy otrzymał e-mail od "burmistrza" z prośbą o pilny przelew 47 000 zł na "nowe konto dostawcy". Przelew wykonano. Adres e-mail różnił się jedną literą od prawdziwego.

Co robić gdy kliknąłeś podejrzany link

Natychmiast odłącz komputer od sieci (wyciągnij kabel lub wyłącz WiFi)
Zadzwoń do Admin IT - nie wysyłaj e-maila (może być przejęty)
Zmień hasła do wszystkich kont z innego urządzenia
Admin IT sprawdza logi: czy nastąpiło logowanie, czy pobrano dane
Oceń krytyczność - jeśli dotknięty jest system z danymi osobowymi, uruchamia się procedura UODO (72h)

Ochrona techniczna domeny urzędu - DMARC, DKIM, SPF

Skonfiguruj rekordy DNS, które uniemożliwią podszywanie się pod Twoją domenę:

SPF - lista serwerów uprawnionych do wysyłania e-mail z Twojej domeny
DKIM - kryptograficzny podpis wiadomości - odbiorca może zweryfikować, że nie była modyfikowana
DMARC - polityka określająca co zrobić z wiadomościami niespełniającymi SPF/DKIM. Ustaw p=quarantine lub p=reject

Sprawdź konfigurację swojej domeny na: mxtoolbox.com/dmarc. Phishing zgłoś na: dyżurnet.pl (CERT Polska).

Sieć Zaawansowany ⏱ 10 min

Segmentacja sieci VLAN - jak podzielić sieć urzędu i dlaczego to warunek NIS 2

Płaska sieć urzędu, w której drukarka, kamera IP, serwer finansowy i komputer pracownika są w jednej podsieci, to marzenie atakującego. Jedna zainfekowana stacja robocza skanuje całą sieć i infekuje wszystko. Segmentacja VLAN to najskuteczniejsze ograniczenie rozprzestrzeniania się ataków.

Płaska sieć = katastrofa podczas ransomware

W typowym polskim urzędzie gminy wszystkie urządzenia są w jednej sieci /24 (np. 192.168.1.0/24). Wystarczy, że ransomware trafi na jeden komputer przez phishing - w ciągu minut skanuje całą sieć, atakuje serwery plików (SMB), serwery finansowe i systemy ERP. Efekt: pełna katastrofa.

Scenariusz z życia: Komputer pracownika działu kadr → phishing → ransomware → skanowanie 192.168.1.0/24 → serwer PESEL i finanse w tej samej sieci → szyfrowanie → urząd sparaliżowany na 3 tygodnie.

Co to VLAN - prosto i technicznie

VLAN (Virtual LAN) to logiczne podzielenie sieci fizycznej na izolowane segmenty. Urządzenia w różnych VLAN-ach nie mogą się ze sobą komunikować bezpośrednio - ruch między nimi musi przechodzić przez firewall (router/przełącznik L3), który stosuje reguły ACL.

Wymaga to zarządzalnych przełączników (np. Cisco Catalyst, HPE Aruba, Netgear ProSAFE) obsługujących standard 802.1Q. Niezarządzalny switch z marketu za 100 zł nie obsługuje VLAN-ów.

Zalecana architektura VLAN dla urzędu gminy

Topologia sieci urzędu gminy z segmentacją VLAN

🌐 Internet

🔥 NGFW / Firewall
ACL między VLAN-ami · IPS · Web Filter

🔀 Switch L3 zarządzalny
IEEE 802.1Q trunk · VLAN trunking

VLAN 10

Serwery

ERPExchangePESELDNS

🔒 dostęp tylko z VLAN 20 na portach 443/445

VLAN 20

Stacje robocze

PC Win 10/11LaptopVoIP

🌐 Internet przez NGFW proxy

VLAN 30

IoT / Urządzenia

DrukarkiKamery IPKasy

🚫 brak dostępu do innych VLAN

VLAN 40

WiFi / Goście

InteresanciBYOD

🌐 tylko Internet, izolowany

VLAN 99

Zarządzanie

Konsole mgmtOOB

🔒 tylko Admin IT, bez internetu

Ruch między VLAN-ami loguj w SIEM - każda anomalia = potencjalny lateral movement atakującego

VLAN	Nazwa	Zawartość	Dostęp do internetu
`10`	Serwery	Serwer plików, ERP, baza PESEL, Exchange, DNS wewnętrzny	Tylko wychodzący, przez proxy
`20`	Stacje robocze	Komputery pracowników (Windows 10/11)	Tak, filtrowany przez NGFW
`30`	IoT / Urządzenia	Drukarki, kamery IP, kasy fiskalne, systemy kontroli dostępu	Nie (lub bardzo ograniczony)
`40`	Goście / WiFi	Sieć dla interesantów, gości, urządzeń prywatnych	Tak, izolowany od reszty
`99`	Zarządzanie	Adresy zarządzające switchy, routery, konsola Veeam	Brak - tylko dostęp lokalny admina

Firewall między VLAN-ami - reguły ACL

Sama segmentacja bez reguł nic nie daje - musisz zdefiniować co może się komunikować z czym. Podstawowe reguły dla urzędu:

VLAN 20 (stacje) → VLAN 10 (serwery): zezwól tylko na porty aplikacyjne (np. 443 do ERP, 445 do udziałów plików - i tylko te udziały)
VLAN 30 (IoT) → VLAN 10/20: blokuj wszystko (drukarki nie potrzebują dostępu do serwera ERP)
VLAN 40 (goście) → reszta: blokuj, tylko internet
Ruch między VLAN-ami loguj w SIEM - anomalie to pierwszy sygnał lateralnego ruchu atakującego

Praktyczne kroki wdrożenia

Zinwentaryzuj urządzenia i ich funkcję - co powinno być w którym segmencie
Skonfiguruj VLAN-y na przełączniku (trunk na uplinku do firewalla)
Na firewalla (np. FortiGate) stwórz interfejsy VLAN i reguły ACL
Testuj - spróbuj ping z VLAN 40 na VLAN 10 (powinien być zablokowany)
Wdróż monitorowanie ruchu między VLAN-ami w SIEM (alerty na nieoczekiwane połączenia)

Wynik: Nawet jeśli ransomware trafi na komputer pracownika (VLAN 20), nie może dotrzeć do serwerów (VLAN 10) bez przejścia przez firewall z regułami ACL. Czas atakującego na lateral movement wzrasta z minut do godzin - wystarczająco długo, by SIEM wykrył anomalię.