4crypto.eu
Bezpłatna konsultacja
Kompetencja · System zarządzania · 2026

SZBI w 2026 r. - System Zarządzania Bezpieczeństwem Informacji bez paraliżu

Autor: dr inż. Adam CzubakCzas czytania: 11 minAktualizacja: 2026-05-13

System Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS) to całościowy, udokumentowany proces identyfikacji, oceny i zarządzania ryzykiem dla informacji w organizacji. Standardem branżowym jest ISO/IEC 27001:2022 [1] - najczęściej certyfikowana norma zarządzania bezpieczeństwem informacji na świecie. SZBI jest wymagany przez KRI § 20 [2] dla podmiotów publicznych i rekomendowany dla operatorów usług z NIS2 [3].

Mit "SZBI to setki dokumentów i blokada operacji" jest błędny. Praktyczny SZBI dla średniej JST składa się z 6-12 polityk tematycznych + procedur + cyklu PDCA z corocznym przeglądem. Artykuł pokazuje strukturę SZBI, 93 kontrolki ISO 27001:2022 w czterech grupach, różnicę między zgodnością a certyfikacją i realny koszt utrzymania w polskich realiach.

SZBI vs PBI vs polityki tematyczne

Tych pojęć nie wolno mylić:

  • SZBI (System Zarządzania Bezpieczeństwem Informacji) - całość: dokumenty + procesy + ludzie + technologia + cykl ciągłego doskonalenia.
  • PBI (Polityka Bezpieczeństwa Informacji) - jeden dokument w SZBI, najwyższy poziom deklaratywny. Zob. PBI.
  • Polityki tematyczne - kolejny poziom: polityka kontroli dostępu, polityka kryptografii, polityka zarządzania incydentami itp.
  • Procedury - "jak to dokładnie robimy".
  • Instrukcje - "krok po kroku".
  • Rejestry - ślady dowodzące wykonania.

SZBI to wszystko razem, działające zgodnie z cyklem PDCA (ang. Plan-Do-Check-Act).

ISO/IEC 27001:2022 - co się zmieniło

Wersja 2022 zastąpiła 2013 (po 9 latach). Główne zmiany:

  • Annex A zmienił strukturę - z 114 kontrolek w 14 obszarach na 93 kontrolki w 4 obszarach:
    • A.5 Organizacyjne (37 kontrolek)
    • A.6 Ludzie (8 kontrolek)
    • A.7 Fizyczne (14 kontrolek)
    • A.8 Technologiczne (34 kontrolki)
  • Dodano 11 nowych kontrolek - najważniejsze: A.5.7 Threat intelligence, A.5.23 Information security for use of cloud services, A.8.9 Configuration management, A.8.11 Data masking, A.8.16 Monitoring activities, A.8.23 Web filtering, A.8.28 Secure coding.
  • Atrybuty - każda kontrolka ma atrybuty (typ, właściwości CIA, koncepcja cybersec, koncepcje operacyjne, dziedzina), co ułatwia mapowanie do innych frameworków (NIST CSF, CIS, COBIT).
  • Klauzule główne (4-10) w dużej mierze pozostają zgodne z 2013 - kontekst organizacji, leadership, planowanie, wsparcie, operacje, ocena wyników, doskonalenie.

Migracja z 2013 do 2022 - termin: do 31 października 2025 (jednostki certyfikujące muszą zakończyć transition). Po tej dacie wszystkie certyfikaty są w wersji 2022.

Cykl PDCA

ISO/IEC 27001 oparty jest na cyklu Plan-Do-Check-Act (Deminga):

  • Plan (klauzule 4-7) - kontekst organizacji, zainteresowane strony, zakres SZBI, polityka, role, ocena ryzyka, plan postępowania z ryzykiem.
  • Do (klauzula 8) - operacje: wdrożenie planu, ocena ryzyka, postępowanie z ryzykiem.
  • Check (klauzula 9) - monitorowanie i pomiar (ISO/IEC 27004:2016 [4]), audyt wewnętrzny (klauzula 9.2), przegląd kierownictwa (9.3).
  • Act (klauzula 10) - działania korygujące, ciągłe doskonalenie.

Cykl trwa 12 miesięcy w typowej organizacji. Każdy kolejny rok zaczynamy od wyników poprzedniego cyklu - co się sprawdziło, co wymaga zmiany.

93 kontrolki ISO/IEC 27001:2022 - przegląd

ISO/IEC 27002:2022 [5] jest przewodnikiem do kontrolek - opisuje, jak je wdrażać. Krótko o czterech grupach Annex A:

  • A.5 Organizacyjne (37 kontrolek) - polityki, role, threat intelligence (A.5.7), procesy HR, klasyfikacja informacji, zarządzanie tożsamością, dostawcy, zarządzanie incydentami, ciągłość działania, prawne i regulacyjne (RODO, prawa autorskie).
  • A.6 Ludzie (8 kontrolek) - sprawdzenia przed zatrudnieniem, warunki zatrudnienia, świadomość bezpieczeństwa (zob. Security Awareness), procesy dyscyplinarne, obowiązki po zakończeniu zatrudnienia, non-disclosure agreements, praca zdalna, reporting.
  • A.7 Fizyczne (14 kontrolek) - perimetr fizyczny, wejścia, biura, ochrona przed środowiskiem, praca w obszarach zabezpieczonych, clear desk and screen, sprzęt poza siedzibą, sprzęt nieobsługiwany, bezpieczne kasowanie, cabling, utrzymanie sprzętu.
  • A.8 Technologiczne (34 kontrolki) - endpoint security, prawa dostępu, uwierzytelnianie silne, kontrole least privilege, kryptografia, backup, redundancja, logging, monitoring (A.8.16), clock synchronization, use of privileged utilities, instalowanie oprogramowania, segmentacja sieci, web filtering (A.8.23), kryptografia w transmisji, secure development, secure coding (A.8.28), testowanie bezpieczeństwa, outsourcing development, separacja środowisk, change management, zarządzanie podatnościami (A.8.8) (zob. Skanowanie), configuration management (A.8.9) (zob. Hardening), data masking (A.8.11), prevencja wycieku danych (DLP), information backup, redundantne komponenty, logging i monitoring, kontrola synchronizacji czasu.

Statement of Applicability (SoA) - kluczowy dokument: dla każdej z 93 kontrolek uzasadnienie włączenia lub wyłączenia ze SZBI. Audyt certyfikujący zaczyna od weryfikacji SoA.

Certyfikacja vs zgodność

Dwie drogi do "mamy SZBI zgodny z ISO 27001":

  • Zgodność (compliance) bez certyfikacji - organizacja wdraża SZBI zgodnie z normą, bez audytu certyfikującego przez akredytowaną jednostkę. Audyt może być przeprowadzony przez zewnętrzną firmę audytową (jak 4crypto). Dowodem zgodności jest raport audytora + dokumentacja SZBI.

- Certyfikacja - pełen proces: 1. Audyt etap 1 (dokumentacyjny) - sprawdzenie kompletności dokumentacji. 2. Audyt etap 2 (operacyjny) - sprawdzenie wdrożenia w praktyce. 3. Certyfikat 3-letni - wydawany przez jednostkę akredytowaną (np. BSI, DEKRA, TÜV, Bureau Veritas, Polska - DEKRA Certification, PCBC). 4. Audyty nadzorcze corocznie. 5. Recertyfikacja co 3 lata.

Wybór:

  • Sektor publiczny (JST, uczelnie, podmioty lecznicze) - najczęściej zgodność bez certyfikatu jest wystarczająca. KRI § 20 [2] wymaga oparcia o ISO 27001, nie wymaga certyfikatu.
  • Operatorzy usług kluczowych NIS2 [3] - certyfikacja rekomendowana, niewymagana obowiązkowo. Daje mocny dowód due diligence.
  • Firmy B2B sprzedające klientom korporacyjnym - często certyfikat wymagany przez klientów (zwłaszcza enterprise, sektor finansowy, ochrona zdrowia).
  • Dostawcy SaaS - certyfikat ISO 27001 + SOC 2 to standard rynkowy.

Koszt certyfikacji dla średniej organizacji (50-100 osób): 30-80 tys. zł za pierwszy audyt + 15-30 tys. zł rocznie za nadzorcze. Praca wewnętrzna na przygotowanie: 200-500 godzin.

Rzeczywisty koszt utrzymania SZBI

Mit: "SZBI generuje 80% pracy administracyjnej". Realność (4crypto + ENISA NIS Investments 2024 [6]):

  • Pierwsze wdrożenie (od zera do funkcjonującego SZBI): 6-12 miesięcy, ok. 200-500 godzin pracy wewnętrznej + 80-200 godzin konsultanta zewnętrznego.
  • Utrzymanie - typowo 8-20 godzin/miesiąc pracownika dedykowanego (CISO/koordynatora SZBI) dla średniej JST. Plus okresowe audyty, przeglądy, szkolenia.
  • ROI - kosztowny, ale dający:
    • Mniejsza liczba incydentów (ENISA: organizacje z dojrzałym ISMS mają 40% mniej krytycznych incydentów).
    • Niższe kary w razie incydentu (RODO/NIS2 - dowód due diligence).
    • Łatwiejsza sprzedaż dla klientów wymagających ISO.
    • Niższe składki ubezpieczeniowe cyber (różnica 20-40%).

Najczęstsze błędy

  1. SZBI = stos dokumentów. Brak wdrożenia w praktyce. Test: zapytaj losowego pracownika, jakie informacje są "poufne" w klasyfikacji organizacji - nie wie? SZBI nie działa.
  2. Brak właściciela SZBI. Bez dedykowanego koordynatora SZBI (CISO, kierownik bezpieczeństwa, IOD w mniejszych organizacjach) - system nikt nie utrzymuje.
  3. SoA bez uzasadnień. Każda kontrolka "włączona" lub "wyłączona" - bez dlaczego. Audytor certyfikujący zatrzyma SZBI na pierwszej stronie.
  4. Brak metryk. Klauzula 9.1 wymaga "monitorowania, pomiaru, analizy i oceny". Bez metryk (liczba incydentów, czas reakcji, pokrycie szkoleń, patch compliance) - nie ma czego mierzyć. ISO/IEC 27004:2016 [4] daje konkretne wskazówki.
  5. Audyt wewnętrzny prowadzony przez kierownika IT. Konflikt interesów. ISO 19011 [7] wymaga niezależności. Praktyka: audytor wewnętrzny z innej jednostki, audyt na zasadzie wymiany.
  6. Brak przeglądu kierownictwa. Klauzula 9.3 wymaga formalnego przeglądu minimum raz w roku z udziałem najwyższego kierownictwa. Wynik = protokół, decyzje, plan.

Trendy 2025-2027

  1. Integracja ISO 27001 + ISO 27701 (privacy) + ISO 22301 (BCM) - integrated management systems. Jeden zestaw dokumentów, audyt łączony.
  2. Automatyzacja zgodności - narzędzia governance, risk, compliance (GRC: Vanta, Drata, SecureFrame, OneTrust). Pozwalają automatyzować zbieranie evidence, ciągły monitoring zgodności, audit trail dla ISO 27001.
  3. AI w SZBI - wkrótce wykorzystanie LLM-ów do generowania pierwszych draftów polityk, gap analysis SoA, asystowania w audycie wewnętrznym.

Checklist: 10 punktów dojrzałego SZBI

Lista weryfikacyjna przed audytem certyfikującym lub audytem KRI § 20.

  1. PBI zatwierdzona przez zarząd (zob. PBI). Aktualna, w wersji ISO 27001:2022.
  2. Statement of Applicability (SoA). 93 kontrolki z indywidualnym uzasadnieniem włączenia/wyłączenia.
  3. Ocena ryzyka. Aktualna (max 12 mies.), metodyka udokumentowana, ryzyka wycenione, plan postępowania.
  4. Polityki tematyczne - minimum: kontrola dostępu, kryptografia, backup, zarządzanie incydentami, dostawcy, awareness.
  5. Procedury operacyjne dla kluczowych procesów (onboarding/offboarding, zarządzanie zmianą, zarządzanie incydentami).
  6. Rejestr aktywów aktualny (zasoby IT + informacje), klasyfikacja przypisana.
  7. Metryki SZBI (klauzula 9.1) - liczba incydentów, MTTR, pokrycie szkoleń, patch compliance, raportowane miesięcznie.
  8. Audyt wewnętrzny roczny, niezależny audytor, raport z planem działań.
  9. Przegląd kierownictwa roczny - protokół, decyzje, wprowadzone zmiany.
  10. Korekta i doskonalenie (klauzula 10) - każda niezgodność prowadzi do root cause analysis i działań korygujących.

Najczęściej zadawane pytania

Czy SZBI to to samo co ISO 27001?

Nie do końca. SZBI (ISMS) to koncepcja - system zarządzania bezpieczeństwem informacji. ISO/IEC 27001 to standard definiujący wymagania dla SZBI. Można mieć SZBI bez ISO 27001 (np. zgodny z NIST CSF), ale ISO jest standardem branżowym i najczęściej wybieranym.

Ile trwa wdrożenie SZBI od zera?

Dla średniej JST (50 osób): 6-9 miesięcy. Dla średniej firmy (100-250 osób): 9-12 miesięcy. Dla dużej organizacji: 12-18 miesięcy. Z dobrym konsultantem zewnętrznym czas spada o 30-40%.

Czy certyfikat ISO 27001 jest obowiązkowy w Polsce?

Nie ma obowiązku ustawowego. KRI § 20 [2] wymaga "oparcia o ISO 27001" - nie certyfikatu. NIS2 [3] nie wymaga ISO. Certyfikat jest dobrowolny, choć w niektórych kontekstach (B2B enterprise, niektóre kontrakty publiczne) - de facto wymagany.

Czy mogę mieć SZBI bez SoA?

Nie. Statement of Applicability jest obowiązkowy dla SZBI zgodnego z ISO 27001 (klauzula 6.1.3 ust. d). Bez SoA audytor nie ma punktu odniesienia, co właściwie sprawdzać.

Czy ISO 27002 jest też potrzebne?

ISO/IEC 27001 definiuje co SZBI ma robić. ISO/IEC 27002:2022 [5] opisuje jak wdrażać 93 kontrolki. 27001 jest certyfikowane, 27002 jest przewodnikiem. Praktyczne wdrożenie wymaga obu (plus ISO 27003 [8] dla implementacji, ISO 27004 [4] dla metryk, ISO 27005 dla zarządzania ryzykiem).

Co jeśli wykryjemy poważną niezgodność w audycie wewnętrznym?

Standardowa ścieżka (klauzula 10): 1) zgłoszenie, 2) ocena, 3) root cause analysis, 4) plan działań korygujących, 5) wdrożenie, 6) weryfikacja skuteczności. Nigdy nie ukrywaj niezgodności - audyt jest po to, żeby je wykrywać.

Czy SZBI obejmuje też ochronę danych osobowych?

Częściowo. SZBI z ISO 27001 dotyczy informacji w szerokim sensie. Dla danych osobowych można rozszerzyć o ISO/IEC 27701 - Privacy Information Management System (PIMS) - który dostarcza dodatkowych kontrolek RODO-specyficznych. Zob. Audyt RODO.

Czy mogę pominąć kontrolki w SoA bez konsekwencji?

Tak - z uzasadnieniem. ISO 27001:2022 klauzula 6.1.3 lit. d [1] wymaga uzasadnienia wyłączeń. Dopuszczalne powody:

  • Brak zastosowania kontekstowo - np. A.7.10 (ang. Storage media) jeśli organizacja jest w pełni cloud-native i nie posiada nośników fizycznych.
  • Spełnienie przez kontrolę kompensującą - np. własna kontrola jest bardziej rygorystyczna niż wymóg ISO.
  • Adresowanie ryzyka w inny sposób - formalna decyzja w ramach planu postępowania z ryzykiem.

Niedopuszczalne: "kosztowne" lub "kłopotliwe" bez analizy ryzyka. Audyt certyfikujący odrzuca wyłączenia bez uzasadnienia. Z praktyki - w typowej polskiej JST 90-95% kontrolek się stosuje; wyłączenia są rzadkie i głównie kontekstowe (np. brak własnego data center → pewne kontrole fizyczne A.7).

Certyfikat ISO 27001 - kto wystawia w Polsce?

Tylko jednostki akredytowane przez PCA (Polskie Centrum Akredytacji). Lista aktualna (2026):

  • DEKRA Certification Sp. z o.o. (Warszawa)
  • PCBC (Polskie Centrum Badań i Certyfikacji, Warszawa)
  • BSI Group Polska Sp. z o.o.
  • TÜV Rheinland Polska
  • TÜV NORD Polska
  • Bureau Veritas Polska
  • SGS Polska
  • Lloyd's Register Quality Assurance

Pełna lista - w bazie PCA (pca.gov.pl). Cena audytu certyfikującego dla średniej organizacji (50-100 osób): 30-80 tys. zł za pierwszy + 15-30 tys. zł nadzorcze (corocznie). Certyfikat z innej jurysdykcji (np. niemiecki TÜV SÜD, hiszpański AENOR) jest w pełni uznawany w Polsce.

Mały zespół 5 osób - jak rozdzielić role wymagane przez ISO 27001?

ISO 27001:2022 klauzula 5.3 [1] mówi o "rolach", nie "osobach" - jedna osoba może łączyć kilka ról, o ile nie tworzy to konfliktu interesów. Praktyczne rozwiązanie 5-osobowej organizacji:

  • Top management / Owner - CEO/wspólnik (klauzula 5.1) - zatwierdza PBI, prowadzi przegląd kierownictwa.
  • Koordynator SZBI / Information Security Manager - jedna osoba dedykowana (zwykle CTO lub COO) - operacyjnie utrzymuje SZBI.
  • IOD (jeśli wymagany RODO art. 37) - musi być niezależny od ról decyzyjnych w przetwarzaniu danych. Często rozwiązanie: IOD zewnętrzny na umowie zlecenia (1-2 tys. zł/mies. dla małej firmy).
  • Audytor wewnętrzny - nie może być koordynatorem SZBI (konflikt interesów, ISO 19011 [7]). Często: zewnętrzny audytor na umowie raz w roku.
  • Risk owner dla każdego krytycznego ryzyka - przypisany do osoby (CEO, CTO, kierownik IT).
Continuous compliance vs audit wizyta - model 2026?

Continuous compliance (Vanta, Drata, SecureFrame, Sprinto, OneTrust, Hyperproof) automatyzuje zbieranie evidence (Connection do AWS, GitHub, Okta, M365) i stałe monitorowanie zgodności kontrolek SZBI w czasie rzeczywistym. 2026 trend: większość cloud-native organizacji certyfikujących się na ISO 27001 używa GRC platform - audyt certyfikacyjny staje się zdalny, z platformą jako single source of truth.

Tradycyjny audyt wizyta - nadal dominuje w sektorze publicznym, finansowym, ochronie zdrowia (regulacyjne wymogi dotyczące wizyty fizycznej). ISO/IEC 27007:2020 [9] dopuszcza oba modele. Zob. Audyt IT.

Co jeśli wykryjemy poważną niezgodność w audycie wewnętrznym tuż przed audytem certyfikacyjnym?

Nie ukrywaj - to kompromituje cały system zarządzania. ISO 27001:2022 klauzula 10.2 [1] wymaga root cause analysis i działań korygujących. Dwa scenariusze:

  1. Krytyczna niezgodność wykryta > 30 dni przed certyfikacją - wykonaj remediation, udokumentuj (jako działania korygujące zgodne z klauzulą 10.2), audytor certyfikujący widzi ślad poprawki - nadal certyfikujący.
  2. < 30 dni - porozmawiaj z jednostką certyfikującą, prawdopodobnie przesunięcie terminu audytu o 4-8 tygodni jest lepsze niż negatywna decyzja.

Audyt wewnętrzny ma odkrywać niezgodności zanim zrobi to audytor certyfikujący - to jego główny cel.

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  2. [2]regulationRada Ministrów RP (2012). Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI). Dz.U. 2012 poz. 526 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20120000526
  3. [3]regulationParlament Europejski, Rada UE (2022). Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
  4. [4]standardInternational Organization for Standardization (2016). ISO/IEC 27004:2016 - Monitoring, measurement, analysis and evaluation. ISO/IEC · https://www.iso.org/standard/64120.html
  5. [5]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  6. [6]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). NIS Investments Report 2024. ENISA, Heraklion · https://www.enisa.europa.eu/publications/nis-investments-2024
  7. [7]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  8. [8]standardInternational Organization for Standardization (2017). ISO/IEC 27003:2017 - ISMS implementation guidance. ISO/IEC · https://www.iso.org/standard/63417.html
  9. [9]standardInternational Organization for Standardization (2020). ISO/IEC 27007:2020 - Guidelines for information security management systems auditing. ISO/IEC · https://www.iso.org/standard/77802.html
  10. [10]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  11. [11]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  12. [12]standardInternational Organization for Standardization (2017). ISO/IEC 27003:2017 - Information security management systems - Guidance. ISO/IEC · https://www.iso.org/standard/63417.html
  13. [13]standardInternational Organization for Standardization (2016). ISO/IEC 27004:2016 - Information security management - Monitoring, measurement, analysis and evaluation. ISO/IEC · https://www.iso.org/standard/64120.html
  14. [14]standardInternational Organization for Standardization (2022). ISO/IEC 27005:2022 - Guidance on managing information security risks. ISO/IEC · https://www.iso.org/standard/80585.html
  15. [15]standardInternational Organization for Standardization (2020). ISO/IEC 27007:2020 - Guidelines for information security management systems auditing. ISO/IEC · https://www.iso.org/standard/77802.html
  16. [16]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  17. [17]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  18. [18]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  19. [19]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  20. [20]peer-reviewedVielberth, M., Böhm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  21. [21]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes