BezpieczeństwoUstawa KSC: zarządzanie urządzeniami przestaje być opcją, staje się obowiązkiem > Robert Kamiński Opublikowane 21 maja 20260 0 171 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Przez lata hasło „zadbaj o bezpieczeństwo IT” funkcjonowało w polskich firmach jako jeden z tych postulatów, które wszyscy rozumieją, wszyscy popierają i prawie nikt nie wdraża. Przynajmniej nie systemowo, nie konsekwentnie, nie tak żeby można było pokazać to audytorowi. W kwietniu 2025 roku coś się zmieniło. Weszła w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca unijną dyrektywę NIS2. I nagle to samo hasło ma datę, stawki i podpis ministra. Świadomość jest. Gotowości nie ma.Zaczniemy od liczby, która powinna niepokoić każdego prezesa firmy objętej nowymi przepisami: 19%. Tyle podmiotów spośród ankietowanych przez Mediarecovery i Safesqr — we współpracy z PMR Market Experts — oceniło w raporcie „Incydenty pod kontrolą” z 2025 roku, że w znacznym stopniu spełnia wymogi NIS2. Reszta, czyli 81%, albo jest w trakcie, albo jest na początku drogi, albo jeszcze nie ruszyła.To nie jest wynik ignorancji. Aż 91% respondentów słyszało o dyrektywie i uznało, że dotyczy ich bezpośrednio lub pośrednio. Problemem nie jest brak wiedzy — problemem jest przepaść między świadomością a działaniem. Średnia samoocena gotowości wyniosła 3,27 w skali od 1 do 5. Solidna trójka z plusem. W szkole taka ocena pozwala przejść do następnej klasy. W regulacyjnym środowisku KSC może oznaczać grzywnę.Co dokładnie nakazuje ustawaKSC nie jest kolejną rekomendacją dobrych praktyk. To wymóg operacyjny z konkretnymi obowiązkami. Firmy objęte przepisami muszą aktywnie zarządzać flotą urządzeń i być w stanie wykazać, że robią to w sposób ciągły i spójny. Zakres jest szeroki: monitorowanie urządzeń w czasie rzeczywistym, uwierzytelnianie wieloskładnikowe, zarządzanie aktualizacjami i podatnościami, rejestrowanie zdarzeń bezpieczeństwa, a do tego prowadzenie pełnej dokumentacji wdrożonych środków ochrony.Ten ostatni punkt bywa niedoceniany. Ustawa nie pyta tylko o to, czy coś zrobiłeś — pyta, czy możesz to udowodnić. Tymczasem według danych z raportu Mediarecovery i Safesqr jedynie 5% organizacji przygotowuje raporty poincydentalne i prowadzi analizę przyczyn źródłowych, mimo że to jeden z kluczowych wymogów dyrektywy. Pięć procent. W firmach, które w większości deklarują, że wiedzą, o czym mowa.Konsekwencje, które boląAgnieszka Wachowska, radca prawny i Co-Managing Partner w kancelarii Traple Konarski Podrecki i Partnerzy, nie pozostawia złudzeń co do skali ryzyka. Podmioty kluczowe mogą zostać ukarane administracyjną karą pieniężną do 10 milionów euro lub 2% całkowitego rocznego globalnego obrotu — zależnie od tego, która kwota jest wyższa. Dla podmiotów ważnych limit wynosi 7 milionów euro lub 1,4% obrotu.Ale to nie wszystko. KSC wprowadza coś, czego polskie regulacje dotąd raczej unikały: odpowiedzialność personalną osób zarządzających. Członkowie zarządów mogą zostać ukarani grzywną do trzykrotności miesięcznego wynagrodzenia. W szczególnych przypadkach — przy rażącym naruszeniu obowiązków — możliwy jest czasowy zakaz pełnienia funkcji kierowniczych. A jeśli zostanie wykazane, że zaniechanie było szkodliwe dla spółki, w grę wchodzi też odpowiedzialność cywilna, a nawet karna.Krótko mówiąc: to nie jest problem działu IT. To jest problem zarządu.MDM jako fundament zgodnościJak więc w praktyce wypełnić wymogi, które ustawa nakłada? Mariusz Pik, ekspert ds. wdrożeń w iMad — autoryzowanym partnerze Apple — wskazuje na centralne zarządzanie urządzeniami mobilnymi, czyli MDM (Mobile Device Management), jako narzędzie, które adresuje większość kluczowych obowiązków jednocześnie. Chodzi o uzyskanie pełnej widoczności floty: które urządzenia działają w sieci, jaki jest ich stan bezpieczeństwa, czy mają włączone wymagane mechanizmy ochrony i czy są zgodne z polityką firmy.Dobrze wdrożone MDM pozwala zdalnie wymuszać aktualizacje, stosować MFA, wdrażać polityki bezpieczeństwa i blokować urządzenia w przypadku ich utraty. Co istotne z perspektywy KSC — automatyzuje logowanie zdarzeń i tworzenie dokumentacji wymaganej przy audytach. To nie eliminuje konieczności zatrudnienia kogoś do myślenia o bezpieczeństwie, ale eliminuje sytuację, w której firma nie wie, co się dzieje z jej własnymi urządzeniami.Bariera budżetowa i sposób na jej ominięcieNajwiększa przeszkoda we wdrażaniu tych rozwiązań jest brutnie prosta: 77% firm wskazuje jako główną barierę ograniczony budżet IT. To zrozumiałe, szczególnie w sektorze MŚP, gdzie dział IT często oznacza jedną osobę robiącą wszystko naraz.Dlatego coraz częściej mówi się o outsourcingu zarządzania flotą jako alternatywie dla budowania własnych kompetencji. Zewnętrzny partner przejmuje konfigurację, monitorowanie i bieżącą administrację urządzeniami — firma płaci za usługę, nie za infrastrukturę. Wybór spójnego ekosystemu urządzeń dodatkowo upraszcza ten rachunek. Forrester szacuje, że Mac generuje oszczędności rzędu około 2 000 złotych na urządzenie w ciągu pięciu lat w porównaniu z alternatywami — głównie dzięki mniejszej liczbie problemów technicznych i niższemu obciążeniu wsparcia.Dane te dotyczą konkretnego środowiska, więc nie należy ich generalizować. Ale kierunek jest czytelny: wybór ekosystemu ma znaczenie kosztowe, nie tylko estetyczne.Nie ma już „za chwilę się zajmiemy”Wróćmy do tych 89% firm, które deklarują gotowość do inwestycji IT związanych z NIS2. To optymistyczna liczba. Problem w tym, że deklaracja inwestycji to nie to samo co inwestycja, a inwestycja to nie to samo co zgodność. Między „planujemy” a „spełniamy wymogi i jesteśmy w stanie to udowodnić” jest cały projekt wdrożeniowy, proces dokumentacyjny i kilka decyzji zarządowych.Firmy, które traktowały zarządzanie urządzeniami jako kwestię do rozwiązania kiedyś, mają teraz konkretny termin i konkretne konsekwencje za jego niedotrzymanie. To rzadki przypadek, gdy regulacja robi dokładnie to, do czego służy: zamienia dobrowolną dobrą praktykę w egzekwowalny obowiązek.Pytanie nie brzmi już: czy zarządzać urządzeniami systemowo. Brzmi: ile czasu zostało na wdrożenie i czy ktoś w firmie już zaczął to liczyć.Related PostsPrzeczytaj również! Siedem modeli AI w firmie. Kto to ogarnął? Microsoft 365 Copilot: narzędzie z potencjałem, ale czy na pewno? Co oznacza „zero trust”?