Srivakula Gov Affairs
Infrastruktura IT

Audyt zgodności z NIS2 dla krakowskiego centrum danych

Przeprowadziliśmy pełną weryfikację procedur. Wykryliśmy 12 krytycznych braków przed oficjalną kontrolą, oszczędzając klientowi potencjalne kary.

0 uchybień w kontroli
KlientKrakowData Hub
BranżaInfrastruktura IT
HarmonogramListopad–Grudzień 2024

KrakowData Hub musiał dostosować się do dyrektywy NIS2 przed końcem 2024 roku. W Srivakula Gov Affairs prześwietliliśmy ich dokumentację i realne procedury, aby uniknąć kar finansowych sięgających milionów złotych. Skupiliśmy się na faktach, a nie na teorii.

NIS2Audyt ITCyberbezpieczeństwoZgodność prawnaZarządzanie ryzykiem

Wyzwanie

Klient operował na dokumentacji z marca 2019 roku, która kompletnie nie przystawała do nowych wymogów cyberbezpieczeństwa. Największym problemem był brak procedur zarządzania ryzykiem w łańcuchu dostaw — firma współpracowała z 24 zewnętrznymi dostawcami IT bez żadnej kontroli ich bezpieczeństwa.

Zarząd obawiał się kar, które według nowych przepisów mogą wynosić do 1,4% globalnego obrotu. Czasu było mało, bo państwowa kontrola zapowiedziała się na połowę stycznia 2025 roku. Systemy techniczne były sprawne, ale na poziomie papierów i procedur panował chaos, który dyskwalifikował firmę w świetle prawa.

Podejście

Wysłaliśmy 3-osobowy zespół do siedziby klienta przy ul. Medweckiego w Krakowie na 14 dni intensywnej pracy. Zamiast pisać ogólne raporty, przeprowadziliśmy wywiady z 9 kluczowymi pracownikami, od adminów po dział kadr.

Zastosowaliśmy naszą zasadę: sprawdzamy fakty, nie domysły. Przeanalizowaliśmy logi dostępowe z ostatnich 6 miesięcy i porównaliśmy je z deklarowaną polityką haseł. Okazało się, że teoria mijała się z praktyką w 47% przypadków. Pracowaliśmy bezpośrednio z działem IT, by naprawić te błędy w locie, a nie tylko o nich napisać.

Rozwiązanie

Przygotowaliśmy 8 konkretnych polityk bezpieczeństwa, które faktycznie da się wdrożyć, a nie tylko podpisać. Przebudowaliśmy schemat zgłaszania incydentów tak, aby mieścił się w ustawowym czasie 24 godzin od wykrycia ataku.

Wprowadziliśmy system oceny dostawców IT, dzieląc ich na 3 grupy ryzyka. Każdy z 24 kontrahentów musiał wypełnić naszą autorską ankietę zgodności, co pozwoliło wyeliminować 2 firmy o rażąco niskim poziomie zabezpieczeń. Przeszkoliliśmy też 43 pracowników z zakresu ochrony przed phishingiem, używając przykładów z ich codziennej pracy, a nie slajdów z internetu.

Rezultaty

Styczniowa kontrola państwowa zakończyła się wynikiem pozytywnym bez żadnych zastrzeżeń. KrakowData Hub stał się liderem zgodności w regionie, co wykorzystali do pozyskania 2 nowych klientów z sektora finansowego.

12
krytycznych luk usuniętych
0 zł
kar finansowych
14 dni
czas trwania audytu
43
przeszkolonych pracowników

Harmonogram

  1. Listopad 2024
    Warsztaty otwierające i weryfikacja 24 dostawców zewnętrznych.
  2. Listopad 2024
    Techniczny przegląd procedur dostępu w centrum danych.
  3. Grudzień 2024
    Wdrożenie 8 nowych polityk i szkolenia personelu.
  4. Grudzień 2024
    Raport końcowy i symulacja kontroli urzędowej.

"Srivakula Gov Affairs znalazło błędy w naszych umowach z dostawcami, o których nie mieliśmy pojęcia. Dzięki nim przeszliśmy kontrolę bez stresu i nie straciliśmy ani złotówki na kary."

Marek Brzeziński Dyrektor Techniczny, KrakowData Hub Styczeń 2025
← Powrót do realizacji

Informacje prawne

Wszystkie treści na tej stronie służą wyłącznie celom informacyjnym. Nie są one opinią prawną ani oficjalną interpretacją przepisów dotyczących zamówień publicznych. Każdy projekt Digital GR ma swoje specyficzne wymogi, dlatego nie należy podejmować działań wyłącznie na podstawie artykułów tutaj zamieszczonych bez dodatkowej weryfikacji.

Srivakula Gov Affairs nie gwarantuje, że podane tu dane są zawsze aktualne, bo prawo cyfrowe w Polsce zmienia się bardzo szybko. Przed startem w konkretnym przetargu lub wysłaniem petycji do urzędu, sugerujemy bezpośredni kontakt z naszym zespołem. Działanie na własną rękę w relacjach z państwem bywa ryzykowne i kosztowne.

Legal entity

Company:
Srivakula Gov Affairs Sp. z o.o.
Address:
al. Jerozolimskie 81, 02-001 Warszawa, PL
Reg:
NIP: 5272921043 · KRS: 0000831201 · REGON: 385544321 · Kapitał zakładowy: 15 000 PLN · Zarząd: Tomasz Mazur

Contact

© 2025 Srivakula Gov Affairs — wszelkie prawa zastrzeżone.