4crypto.eu
Bezpłatna konsultacja
Kompetencja · Audyt regulacyjny · 2026

Audyt KSC i NIS2 w 2026 r. - kogo dotyczy, co audytować i jakie kary za błąd

Autor: dr inż. Adam CzubakCzas czytania: 11 minAktualizacja: 2026-05-13

Dyrektywa NIS2 [1] (2022/2555) zastąpiła NIS-1 i jest najszerszą reformą cyberbezpieczeństwa w UE od dekady. Polska transponuje ją przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) - projekt z 2024 r. [2] rozszerza katalog podmiotów objętych z około 300 (KSC pierwotne [3]) do kilkudziesięciu tysięcy (administracja publiczna, średnie i duże firmy z sektorów istotnych i kluczowych).

Audyt KSC/NIS2 sprawdza spełnienie 10 obszarów zarządzania ryzykiem cyberbezpieczeństwa z art. 21 NIS2, obowiązków raportowania incydentów do CSIRT (24h / 72h / 1 miesiąc) i - co nowe - bezpośredniej odpowiedzialności zarządu (art. 20). Kary administracyjne: do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych. Artykuł porządkuje wymogi, mapowanie do innych aktów i pokazuje typowe luki w polskich organizacjach.

NIS2, KSC, UKSC - relacja

  • NIS-1 (2016/1148) - pierwsza dyrektywa EU o cyberbezpieczeństwie, dotyczyła wąskiej grupy operatorów usług kluczowych.
  • NIS2 [1] (2022/2555) - w mocy od stycznia 2023, transpozycja do prawa krajowego do 17 października 2024. Zastępuje NIS-1, drastycznie rozszerza zakres.
  • KSC [3] - polska ustawa z 2018 r. transponująca NIS-1.
  • UKSC (projekt 2024) [2] - nowelizacja transponująca NIS2 do polskiego porządku prawnego. Polska przekroczyła termin transpozycji (17.10.2024); projekt UKSC w fazie konsultacji/sejmowej w 2025 r.

Praktyczna konsekwencja: w 2026 r. organizacje muszą jednocześnie myśleć o:

  • KSC obowiązującym dla operatorów usług kluczowych z wąskiej listy,
  • NIS2 dyrektywie (z bezpośrednim skutkiem niektórych przepisów po przekroczeniu terminu transpozycji),
  • przyszłym UKSC rozszerzonym o nowe kategorie podmiotów.

Kogo dotyczy - podmioty istotne i kluczowe

NIS2 wprowadza dwie kategorie:

  • Podmioty istotne (ang. essential) - sektory ENISA Threat Landscape 2024 kluczowe: energetyka, transport, banki, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, kosmos.
  • Podmioty kluczowe (ang. important) - sektory: usługi pocztowe, gospodarka odpadami, produkcja i dystrybucja substancji chemicznych, produkcja żywności, produkcja (wyroby medyczne, in vitro diagnostyka, komputery, elektronika, urządzenia elektryczne, maszyny, pojazdy, inny transport), dostawcy usług cyfrowych, badania naukowe.

Próg ilościowy (NIS2 art. 2):

  • Średnia firma: 50+ pracowników lub 10 mln EUR przychodu rocznego/sumy bilansowej.
  • Duża firma: 250+ pracowników lub 50 mln EUR przychodu/43 mln EUR sumy bilansowej.

Bez progu (zawsze objęci):

  • dostawcy usług DNS, rejestratorzy nazw domen, dostawcy publicznych elektronicznych usług komunikacyjnych,
  • administracja publiczna (rządowa),
  • operatorzy energetyczni, wodociągowi, transportowi - niezależnie od skali.

Praktyczne skutki dla polskich JST:

  • Gminy małe - mogą nie być w NIS2 (administracja samorządowa nie jest wprost w art. 2 jako obligatoryjna bez progu), ale UKSC może wymienić je osobno.
  • Powiaty, województwa, większe miasta - najprawdopodobniej podmioty istotne.
  • Szpitale, uczelnie, wodociągi, ciepłownictwo - podmioty istotne.
  • Mniejsze podmioty publiczne - podmioty kluczowe.

Samoocena jest pierwszym krokiem audytu - bez wiedzy "czy jestem", nie wiadomo, jakie wymogi stosować.

10 obszarów zarządzania ryzykiem (NIS2 art. 21)

Art. 21 NIS2 wymienia 10 obszarów środków zarządzania ryzykiem cyberbezpieczeństwa. Każdy audyt sprawdza je systematycznie:

  1. Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych - formalne ramy, regularny przegląd. Zob. PBI.
  2. Obsługa incydentów - procedury wykrywania, klasyfikacji, reagowania, raportowania. Mapowanie do ISO/IEC 27035-1:2023 [4]. Zob. SOC 24/7.
  3. Ciągłość działania - plany backup, disaster recovery, zarządzanie kryzysowe.
  4. Bezpieczeństwo łańcucha dostaw - relacje z dostawcami, ich ocena cyberbezpieczeństwa, wymogi kontraktowe (RTS coming).
  5. Bezpieczeństwo nabywania, rozwijania i utrzymywania systemów informatycznych - secure SDLC, zarządzanie podatnościami (zob. Skanowanie podatności).
  6. Polityki i procedury oceny skuteczności środków - czyli audyt, pentest, skanowanie (zob. Audyt IT, Testy penetracyjne).
  7. Podstawowe procedury cyberhigieny i szkolenia personelu - hardening (zob. Hardening), awareness (zob. Security Awareness).
  8. Polityki kryptografii i szyfrowania - adekwatne algorytmy, zarządzanie kluczami, szyfrowanie w spoczynku i w tranzycie.
  9. Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu, zarządzanie aktywami - least privilege, MFA, separation of duties, klasyfikacja informacji.
  10. Uwierzytelnianie wieloskładnikowe lub ciągłe, bezpieczeństwo komunikacji głosowej, wideo i tekstowej - MFA jako standard, hardened communication channels.

Audyt produkuje macierz pokrycia 10 obszarów z oceną dojrzałości (np. 1-5 wg CMMI) dla każdego.

Raportowanie incydentów - harmonogram

Najbardziej operacyjnie obciążający element NIS2:

  • 24 godziny od wykrycia incydentu o istotnym wpływie - early warning do właściwego CSIRT-u (NASK, GOV, MON, sektorowy zgodnie z UKSC). Minimum informacji: czy jest podejrzenie malicious, wstępna ocena skali, planowane działania.
  • 72 godziny od wykrycia - incident notification - pełniejsza informacja: wstępna ocena wpływu, technika ataku (jeśli wiadomo), wpływ transgraniczny.
  • 1 miesiąc od wykrycia - final report - pełen opis: szczegółowy opis incydentu, technika atakującego, dotkliwość, środki naprawcze, lessons learned.

"Incydent o istotnym wpływie" (art. 23) - definicja:

  • powoduje lub może powodować poważne zakłócenia operacyjne usług lub straty finansowe dla podmiotu,
  • dotknął lub może dotknąć inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.

Próg jest ocenny - w razie wątpliwości raportować. Pojawia się ryzyko over-reporting (zalanie CSIRT-ów drobnymi incydentami), ale alternatywa (kara za under-reporting) jest gorsza.

Odpowiedzialność zarządu (art. 20)

NIS2 wprowadza bezpośrednią odpowiedzialność osobistą członków zarządu:

  • Obowiązek zatwierdzenia środków zarządzania ryzykiem (NIS2 art. 20 ust. 1).
  • Obowiązek nadzoru ich wdrożenia.
  • Obowiązek odbycia regularnych szkoleń cyberbezpieczeństwa (analogicznie wymóg na pracownikach, ale dla kierownictwa wprost).
  • Możliwość czasowego zawieszenia uprawnień członka zarządu odpowiedzialnego za naruszenie (NIS2 art. 32 ust. 5).

To fundamentalna zmiana kultury zarządczej. Cyber przestaje być tematem "CIO/CISO", staje się tematem "zarządu i rady nadzorczej".

Kary administracyjne

NIS2 ustanawia rozdzielone reżimy kar:

  • Podmioty istotne: do 10 mln EUR lub 2% rocznego globalnego obrotu (zależnie, co większe).
  • Podmioty kluczowe: do 7 mln EUR lub 1,4% rocznego globalnego obrotu.

Kara administracyjna może być dodatkowo łączona z karami z innych aktów (RODO art. 83 [5] - do 20 mln EUR / 4%, EDPB [6]), co prowadzi do kumulacji kar za ten sam incydent.

Praktycznie: największe ryzyko kary to brak zgłoszenia incydentu lub rażące zaniedbanie środków ochrony udokumentowane w incydencie. Audyt NIS2 jest dowodem należytej staranności - organizacja, która regularnie przeprowadza audyty, ma silną pozycję w postępowaniu wyjaśniającym.

Najczęstsze błędy

  1. Brak samooceny - "czy jestem w NIS2". Pierwszy krok, bez którego nie można niczego.
  2. Plan obsługi incydentu na papierze, nie testowany. ENISA NIS Investments [7] wskazuje, że 60% organizacji nie testuje planu w praktyce.
  3. Brak SOC lub jego ekwiwalentu. Bez ciągłego monitoringu - 24h SLA jest niewykonalne.
  4. Brak ścieżki eskalacji do CSIRT - kto dzwoni? Jaki kontakt? O jakim incydencie?
  5. Łańcuch dostaw poza zakresem audytu. Tymczasem dostawcy (SaaS, IT, OT) generują 30-40% incydentów (DBIR 2024 [8]).
  6. Brak udokumentowanego zatwierdzenia środków przez zarząd. NIS2 art. 20 - wprost wymóg. Praktycznie: protokół zarządu / rady nadzorczej.
  7. Brak szkolenia zarządu. NIS2 wymaga jasno - zarząd musi rozumieć cyber.

Trendy 2025-2027

  1. CSIRT sektorowe w Polsce - rozbudowa CSIRT NASK i powstanie nowych sektorowych (energetyka, transport, finanse, ochrona zdrowia). Audyt sprawdza, do którego CSIRT-u należy raportować.
  2. CRA (Cyber Resilience Act) - od końca 2024 obowiązujące dla produktów cyfrowych. Producenci (i podmioty wprowadzające na rynek UE) muszą zapewnić cybersecurity by design and by default. Audyt sprawdzi, czy korzystamy z produktów CRA-compliant.
  3. Convergence z DORA [9] dla sektora finansowego - wymogi się nakładają, audyt łączony.

Checklist: 10 punktów audytu KSC/NIS2

Lista "czy jesteśmy gotowi" - kompletować przed pierwszą inspekcją organu nadzoru.

  1. Samoocena. Czy organizacja zidentyfikowała siebie jako podmiot istotny / podmiot kluczowy / niewchodzący? Z dokumentem decyzji i uzasadnieniem.
  2. Polityka analizy ryzyka i SZBI. Formalna, zatwierdzona przez zarząd, przeglądana minimum raz w roku.
  3. Procedura obsługi incydentów. Z konkretnym łańcuchem decyzyjnym, klasyfikacją, kontaktem do CSIRT, runbook-ami dla typowych scenariuszy.
  4. SOC lub jego ekwiwalent. Zob. SOC 24/7. Bez ciągłego monitoringu nie da się wykryć incydentu w czasie umożliwiającym 24h raport.
  5. Plan ciągłości działania (BCP) z DRP. Testowany minimum raz w roku.
  6. Ocena dostawców. Lista krytycznych dostawców, ich ocena cyberbezpieczeństwa, klauzule kontraktowe.
  7. MFA dla wszystkich kont z dostępem zdalnym. Bez wyjątków.
  8. Audyt regularnie wykonywany. Min. raz w roku przez niezależnego audytora. Zob. Audyt IT.
  9. Szkolenia personelu i zarządu. Plan roczny, ewidencja, sprawdziany wiedzy. Zob. Security Awareness.
  10. Dokumentacja zatwierdzenia przez zarząd. Protokoły, decyzje, podpisy. NIS2 art. 20 wprost - bez tego audyt nie ma pełnej zgodności.

Najczęściej zadawane pytania

Skąd wiedzieć, czy jesteśmy podmiotem istotnym?

Trzy źródła: 1) załącznik I i II NIS2 [1] - pełna lista sektorów, 2) projekt UKSC [2] z polską listą sektorów (po wejściu w życie), 3) konsultacja CSIRT NASK (bezpłatna). Dla większości polskich organizacji powyżej średniej firmy (50+ pracowników, 10 mln EUR przychodu) z sektorów wymienionych - odpowiedź to tak.

Jak szybko muszę zacząć raportować incydenty?

Od momentu wejścia UKSC w życie (przewidywane 2025 r.) - natychmiast. Już teraz operatorzy usług kluczowych z KSC muszą raportować w 24h. Praktyczna rada: zacznij dziś ćwiczyć 24h raport nawet jeśli nie jesteś jeszcze formalnie objęty - symulacja stress-testuje procesy.

Czy KSC i NIS2 mogą być audytowane razem z KRI?

Tak - i jest to zalecane. Większość kontrolek się nakłada. Audyt łączony KRI § 20 + NIS2 art. 21 dla średniej JST: 10-15 osobodni (vs ~18 osobno).

Co jeśli przekroczyliśmy 24h na raport?

Zgłoś z opóźnieniem, z wyjaśnieniem. Lepiej zgłosić późno niż wcale. Sankcja za opóźnienie jest zwykle niższa niż za pominięcie. Zgłoszenie nieprawdziwej daty wykrycia (próba ukrycia opóźnienia) prowadzi do drugiej, większej kary.

Czy outsourcing IT zwalnia z odpowiedzialności NIS2?

Nie. Odpowiedzialność za zgodność leży na podmiocie objętym, nie na dostawcy. Outsourcing zmienia sposób realizacji wymogu, ale obowiązek pozostaje. Umowa SLA z dostawcą musi zawierać klauzule cybersec (bezpieczeństwo, raportowanie, audyt).

Czy zarząd musi się szkolić ze cyber?

Tak - wprost (NIS2 art. 20 ust. 2). Forma: minimum raz w roku, 4-8 godzin, z udokumentowanym certyfikatem. Często prowadzone jako board briefing przez CISO/firmę zewnętrzną; w 4crypto oferujemy je jako część SOC.

Ile kosztuje audyt KSC/NIS2?

Średnia JST/firma: 15-30 tys. zł za audyt jednorazowy. Większe organizacje (powiaty, średnie firmy 50-250 osób): 30-80 tys. zł. Duże (>250 osób, sektor regulowany): 80-200 tys. zł. Add-on do SOC 4crypto: indywidualnie.

Jak zgłosić incydent do CSIRT - przez jaki kanał, jaki formularz?

Kanały dla incydentów istotnego wpływu (NIS2 art. 23 [1]):

  • CSIRT NASK (https://csirt.nask.pl) - głównie sektor publiczny, JST, dostawcy usług internetowych. Formularz online + telefon dyżurny.
  • CSIRT GOV (https://csirt.gov.pl) - administracja rządowa.
  • CSIRT MON (https://csirt.mon.gov.pl) - sektor obronny, organy bezpieczeństwa.
  • CSIRT sektorowy (gdy istnieje - np. CSIRT KNF dla banków).

Wszystkie używają wspólnego standardu STIX/TAXII (CERT MISP feeds) dla wymiany informacji. UKSC [2] planuje jednolity portal zgłoszeń wraz z transpozycją NIS2. Po zgłoszeniu early warning (24h) organizacja kontynuuje raportowanie incident notification (72h) i final report (1 miesiąc) tym samym kanałem.

Co kwalifikuje się jako "incydent o istotnym wpływie" - to jest ocenny próg?

NIS2 art. 23 [1] definiuje ogólnie: incydent jest istotny gdy "powoduje lub może powodować poważne zakłócenia operacyjne usług lub straty finansowe" lub "dotknął lub może dotknąć inne osoby fizyczne lub prawne, powodując znaczne szkody". Akty wykonawcze (RTS) Komisji UE z 2024 r. precyzują progi liczbowe (publikowane w 2024-2025). Praktyka:

  • Zawsze raportuj: ransomware, credential compromise z lateralnym ruchem, wyciek danych osobowych > 1000 osób, naruszenie poufności crown jewels.
  • Konsultuj z CSIRT przed decyzją: brute force attempts zablokowany przez SOC, podejrzane logowanie z monitoringu pojedynczego konta, próby phishingu nie zakończone kompromitacją.
  • Nie raportuj: zwykła aktywność malware blokowana przez EDR bez dalszej eskalacji, port scans z internetu (codzienny szum).

Złota zasada CSIRT NASK: w razie wątpliwości - zgłoś jako informacyjne. Lepiej za dużo niż za mało.

Czy obowiązuje 'fast track' dla małych podmiotów?

Nie ma uproszczonej ścieżki proceduralnej w NIS2 - wymogi (art. 21, 23) są takie same dla podmiotu istotnego niezależnie od wielkości. Skalowane są:

  • Kary - niższe dla podmiotów "kluczowych" (do 7 mln EUR / 1,4%) niż "istotnych" (10 mln EUR / 2%).
  • Wymogi szczegółowe - niektóre kontrolki są proporcjonalne do skali (np. własny SOC vs MSSP).
  • ENISA NIS Investments 2024 [7] dokumentuje, że małe podmioty istotne realnie korzystają z MSSP zamiast in-house SOC - co jest dopuszczalne pod warunkiem zachowania odpowiedzialności po stronie operatora.

UKSC [2] przewiduje program Cyberbezpieczny Samorząd (finansowany z KPO) jako wsparcie dla małych JST - fundusze na wdrożenie SOC/audytu.

Czy raportowanie 24h dotyczy też ataków neutralizowanych przez SOC bez konsekwencji?

Nie. NIS2 art. 23 [1] wymaga zgłoszenia "incydentu o istotnym wpływie" - czyli takiego, który rzeczywiście powoduje zakłócenia. Próby ataku zablokowane przez kontrole prewencyjne (firewall, EDR) i niezaowocujące lateralnym ruchem ani szkodą nie są incydentami w rozumieniu dyrektywy. Praktyka: prowadź rejestr wewnętrzny wszystkich zdarzeń (NIS2 art. 21 (1) lit. b - obsługa incydentów) i raportuj zewnętrznie tylko te z faktycznym wpływem. Zgodnie z ENISA Good Practice Guide [10].

Czy zarząd musi przejść konkretne szkolenie certyfikowane?

NIS2 art. 20 ust. 2 [1] mówi: "członkowie organów zarządzających podmiotów (...) regularnie odbywają szkolenia (...) celem uzyskania wystarczającej wiedzy i umiejętności". Nie ma wymogu konkretnego certyfikatu, ale wymaga się dokumentowania szkolenia (forma, treść, czas, uczestnicy). Praktyka: minimum 4-8 godzin rocznie, dostosowane do sektora (cyber dla finansów wygląda inaczej niż dla ochrony zdrowia). Dla zarządów dużych podmiotów istotnych - certyfikaty typu Certified Information Security Manager (CISM, ISACA) lub ISO 27001 Lead Implementer są dodatkową wartością, ale nie wymogiem.

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]regulationParlament Europejski, Rada UE (2022). Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
  2. [2]regulationMinisterstwo Cyfryzacji RP (2024). Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (transpozycja NIS2). Rządowe Centrum Legislacji · https://legislacja.rcl.gov.pl/projekt/12384504
  3. [3]regulationSejm RP (2018). Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC). Dz.U. 2018 poz. 1560 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  4. [4]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  5. [5]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dziennik Urzędowy UE, L 119, 4.5.2016 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679
  6. [6]guidelineEuropean Data Protection Board (EDPB) (2023). Guidelines 04/2022 on the calculation of administrative fines under the GDPR. EDPB · https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en
  7. [7]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). NIS Investments Report 2024. ENISA, Heraklion · https://www.enisa.europa.eu/publications/nis-investments-2024
  8. [8]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  9. [9]regulationParlament Europejski, Rada UE (2022). Rozporządzenie (UE) 2022/2554 (DORA) w sprawie operacyjnej odporności cyfrowej sektora finansowego. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022R2554
  10. [10]reportEuropean Union Agency for Cybersecurity (ENISA) (2022). How to set up CSIRT and SOC: Good Practice Guide. ENISA, Heraklion · https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc
  11. [11]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  12. [12]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). NIS360 - Sectoral cybersecurity maturity model. ENISA · https://www.enisa.europa.eu/publications/nis360-2024
  13. [13]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Good Practices for Cyber Incident Reporting. ENISA · https://www.enisa.europa.eu/publications/good-practices-for-cyber-incident-reporting
  14. [14]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  15. [15]standardCichonski, P., Millar, T., Grance, T., Scarfone, K. (2012). NIST SP 800-61 Rev. 2: Computer Security Incident Handling Guide. NIST. DOI: 10.6028/NIST.SP.800-61r2 · https://doi.org/10.6028/NIST.SP.800-61r2
  16. [16]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  17. [17]standardInternational Organization for Standardization (2020). ISO/IEC 27007:2020 - Guidelines for information security management systems auditing. ISO/IEC · https://www.iso.org/standard/77802.html
  18. [18]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  19. [19]peer-reviewedVielberth, M., Böhm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  20. [20]reportMandiant (Google Cloud) (2024). M-Trends 2024 Special Report. Mandiant · https://services.google.com/fh/files/misc/m-trends-2024.pdf
  21. [21]reportNajwyższa Izba Kontroli (NIK) (2022). Informacja o wynikach kontroli: Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne (P/21/006). NIK, Warszawa · https://www.nik.gov.pl/kontrole/P/21/006/
  22. [22]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/