Cyberbezpieczeństwo w języku biznesu, pulpit nadzoru dla zarządu

✦

DLA ZARZĄDU · 4 MINUTY

Executive cut

Stawka, pięć decyzji zarządu i pięć czerwonych flag

Stawka. Średni koszt naruszenia danych to 4,88 mln USDIBM 2024, a atak na Jaguar Land Rover z 2025 roku kosztował firmę około 196 mln funtów bezpośrednio (Tata Motors) i około 1,9 mld funtów w skali gospodarki (CMC 2025). Po nowelizacji uKSC (od 3 kwietnia 2026) i pod dyrektywą NIS2 kierownik podmiotu odpowiada osobiście, z karą do 300% wynagrodzenia (w podmiotach publicznych do 100%), a sam podmiot do 10 mln EUR lub 2% obrotu. Cyberbezpieczeństwo przestało być delegowalne.

5Decyzje zarządu

Wyznaczyć imiennego członka zarządu odpowiedzialnego za cyberbezpieczeństwo (uKSC art. 8c, odpowiedzialność osobista).
Przyjąć stanowisko wobec okupu zawczasu, przed incydentem, ze świadomością, że zapłata grupie objętej sankcjami narusza prawo USA.
Wymagać wyceny top 3 ryzyk w złotych (model ALE) i kwartalnego raportu dziesięciu wskaźników (pięć KPI skuteczności, pięć KRI ryzyka) na dashboardzie zarządu.
Ustanowić minimum techniczne jako warunek brzegowy: MFA na kontach uprzywilejowanych 100%, kopie odporne na nadpisanie z przetestowanym odtworzeniem.
Zatwierdzić roczny cykl weryfikacyjny: audyt zgodności, pentest i ćwiczenie reakcji na incydent (tabletop) z udziałem zarządu.

5Czerwone flagi

„To działka IT”. Cyber zepchnięty w dół, bez właściciela w zarządzie.
„Mamy certyfikaty zgodności”. Zgodność to podłoga, nie sufit.
CISO, który na każde pytanie odpowiada „tak”. Brak miejsca na złe wiadomości fałszuje cały nadzór.
Kopie, których nigdy nie odtworzono, i plan reakcji, którego nie przećwiczono.
Systemy AI bez inwentaryzacji, właściciela i klasyfikacji danych.

To skrót decyzyjny. Pełne uzasadnienie, dane źródłowe i interaktywny kalkulator znajdują się w dalszej części opracowania.

☣︎

STUDIUM PRZYPADKU

Maersk i NotPetya: dziesięć dni za 300 mln USD

Jak lider światowej logistyki stracił całą infrastrukturę w kilka minut i czego nauczył się zarząd

27 czerwca 2017 roku Maersk przewoził mniej więcej co piąty kontener na świecie. Statek tej firmy cumował w którymś porcie średnio co piętnaście minut. Tego dnia, w ciągu kilku minut, ta machina stanęła. Nie z powodu sztormu ani awarii sprzętu, lecz z powodu złośliwego oprogramowania NotPetya, cyberbroni wymierzonej w Ukrainę, która rozlała się po świecie przez zainfekowaną aktualizację ukraińskiego programu księgowego. Maersk nie był celem. Był przypadkową ofiarą.

Skala była totalna. W kilka minut NotPetya unieruchomił około 45 tysięcy komputerów, 4 tysiące serwerów i 2,5 tysiąca aplikacji. Najgorsze przyszło później: kopie zapasowe leżały w tej samej sieci co systemy produkcyjne, więc zostały skasowane razem z nimi. Zniknęły wszystkie kontrolery domeny Active Directory, czyli rejestr, bez którego firmowa sieć nie wie, kto jest kim i co ma prawo działać. Firma została bez infrastruktury i bez backupu naraz.

Odzyskanie wisiało na jednym przypadku. Jeden kontroler domeny, w biurze w Akrze w Ghanie, akurat był wyłączony przez awarię prądu, więc malware go nie dosięgnął. Na nim ocalała jedyna nienaruszona kopia Active Directory. Łącze w Ghanie nie udźwignęło przesłania danych przez internet, więc zorganizowano fizyczną sztafetę: pracownik z Ghany poleciał do Nigerii, żeby przekazać dysk osobie lecącej do Wielkiej Brytanii. Samo Active Directory odtwarzano około dziewięciu dni. Pełną infrastrukturę odbudowano w dziesięć dni, w trybie, który prezes nazwał później heroicznym wysiłkiem. Wolumeny spadły o około 20 procent, a ludzie ręcznie obsłużyli około 80 procent pracy.

Dziewięć dni na odtworzenie Active Directory to za długo. Celem powinny być dwadzieścia cztery godziny. Jeśli tego nie potrafisz, nie naprawisz niczego innego.

Andy Powell, dyrektor bezpieczeństwa Maersk, o wnioskach po ataku (parafraza)

Dlaczego zarząd nie wiedział o tym wcześniej? Bo nikt nie zadał właściwego pytania. Po fakcie prezes przyznał, że w cyberbezpieczeństwie firma była przeciętna i, jak to ujął, naiwna. Nikt na poziomie zarządu nie wiedział, czy backupy w ogóle dadzą się odtworzyć ani jak szybko wstanie Active Directory. To nie była luka technologiczna. To była luka nadzorcza, dokładnie ta, o której jest ten przewodnik.

Co zmieniłby model z tego przewodnika? Trzy rzeczy, z których każda jest opisana dalej. Po pierwsze, kopie zapasowe w schemacie 3-2-1-1-0, z jedną kopią niezmienną i odciętą od sieci produkcyjnej, oraz wskaźnik testu backupu sto procent na kwartał. Czy Maersk miał backupy? Nie miał backupów, które przeżyłyby atak na sieć, w której leżały. Po drugie, segmentacja sieci, żeby ograniczyć boczne rozprzestrzenianie. Po trzecie, przetestowany plan reagowania i ćwiczenie typu tabletop raz w roku, żeby czas odtworzenia był znany, a nie improwizowany. Wtedy zarząd nie pyta inżyniera, czy jesteśmy bezpieczni, tylko: jeśli dziś w nocy padną nasze kontrolery domeny, w ile godzin wracamy. Ta liczba trafia na dashboard.

I jedno zastrzeżenie, w duchu całego tego przewodnika. Maersk uratował się nie dzięki planowi, tylko dzięki wyłączonemu serwerowi w Ghanie, czyli dzięki szczęściu. Cały sens nadzoru polega na tym, żeby zaprojektować to, co Maersk dostał przez przypadek. Na szczęściu nie da się zbudować ani budżetu, ani strategii.

ROZDZIAŁ 05

Kwantyfikacja ryzyka i wskaźniki dla zarządu

Model ALE, od emocji do rachunku

Klasyczne zarządzanie ryzykiem opiera się na dwóch wymiarach: prawdopodobieństwie i skutku. Dla większości ryzyk operacyjnych wystarczy macierz 5×5 z etykietami „niski / średni / wysoki”. Dla cyberryzyka, nie wystarczy. Bezpośrednim powodem jest fakt, że cyberryzyko można i należy wyrażać w jednostkach finansowych, a macierz ukrywa tę informację za uznaniowymi etykietami.

ALE=SLE×ARO

ALEANNUALIZED LOSSRoczna oczekiwana strata w PLN. Decyduje o budżecie i polisie cyber.

SLESINGLE LOSSStrata z incydentu: AV × EF.

ARORATE / YEARCzęstotliwość roczna. 0,1 = raz na 10 lat.

FIG.15SCHEMAT

Single Loss ExpectancySLEStrata z pojedynczego incydentu (PLN)= AV × EF

Annualized Rate of OccurrenceAROCzęstotliwość roczna0,1 = raz na 10 lat

Annualized Loss ExpectancyALE = SLE × ARO

Roczna oczekiwana strata (PLN)

Decyzja budżetowa

Uzasadnienie kontroli

Cyber insurance

Akceptacja ryzyka

Schemat 15. Model ALE, kwantyfikacja ryzyka w pieniądzach.

KONSOLA RYZYKA · LIVE

Rachunek opłacalności

Schemat 15 i szablon z Aneksu B w wersji liczącej. Ustaw parametry, model policzy ALE i ROI kontroli.

Rachunek opłacalności (ALE i ROI)

Wyraża cyberryzyko w złotych: roczną oczekiwaną stratę ALE oraz zwrot z inwestycji w kontrolę.

Ustaw AV, czyli wartość aktywa narażonego na incydent.
Ustaw EF (jaką część wartości niszczy zdarzenie) oraz ARO (ile razy w roku).
Podaj koszt kontroli i ARO po jej wdrożeniu.
Odczytaj ALE, redukcję, ROI i krzywą przekroczenia straty.
Wyeksportuj wynik paskiem poniżej (HTML, PDF, Excel).

Jak oszacować: AV to przychód zależny od dostępności plus koszt odtworzenia i ekspozycja regulacyjna; ARO bierz z danych sektorowych (ENISA, Verizon DBIR, CERT Polska). Przykład: AV 20 mln zł, EF 0,5, ARO 0,2 daje ALE 2 mln zł.

AV · wartość aktywa 20 000 000 zł EF · ekspozycja 0,50 ARO · częstotliwość 0,20 · raz na 5 lat

KOSZT kontroli / rok 1 000 000 zł ARO po kontroli 0,05 · raz na 20 lat

SLE = AV × EF10 000 000 zł

ALE = SLE × ARO2 000 000 zł

ALE po kontroli500 000 zł

Redukcja / rok1 500 000 zł

KOSZT

REDUKCJA

ROI = (REDUKCJA − KOSZT) / KOSZT+50%

ROZKŁAD ROCZNEJ STRATY · KRZYWA PRZEKROCZENIApojedyncza liczba ALE to średnia tego rozkładu

przed kontroląpo kontrolipróg 10% (P90)

Średnia roczna (ALE)0 zł

Typowy rok (mediana)0 zł

Rok pesymistyczny (P90)0 zł

Wzór ALE jest prosty, ale jego wartość nie leży w samym mnożeniu, tylko w jakości dwóch szacunków, które do niego wprowadzamy. Współczynnik ekspozycji oraz roczna częstotliwość zdarzenia to wielkości, których nikt nie zna z pewnością, a które łatwo podać z pozorną precyzją. Na tym właśnie polega pułapka kwantyfikacji: pojedyncza liczba na wyjściu sugeruje dokładność, której w danych wejściowych nie ma. Douglas Hubbard i Richard Seiersen w książce „How to Measure Anything in Cybersecurity Risk” pokazują, że popularne macierze ryzyka oraz oceny punktowe nie redukują tej niepewności, lecz ją maskują, i proponują w zamian metody ilościowe oparte na skalibrowanych przedziałach zamiast na pojedynczych punktach. Dla zarządu płynie z tego konkretny wniosek: liczbę ALE należy prezentować razem z założeniami, które ją wytworzyły, ponieważ dopiero jawne założenia pozwalają tę liczbę kwestionować i aktualizować, gdy zmienia się rzeczywistość.

Aby pokazać, jak ten rachunek działa w praktyce, prześledźmy go na przykładzie, którego wszystkie wartości są wyłącznie ilustracyjne i służą demonstracji metody, a nie opisowi konkretnej firmy. Załóżmy, że krytycznym aktywem spółki jest system obsługujący sprzedaż wraz z bazą klientów, a jego łączną wartość, obejmującą przychód zależny od dostępności, koszt odtworzenia oraz ekspozycję regulacyjną, oszacowano ostrożnie na 20 mln zł. Przyjmijmy dalej, że poważny incydent, na przykład skuteczny atak ransomware połączony z wyciekiem danych, degraduje połowę tej wartości, czyli współczynnik ekspozycji wynosi 0,5. Strata z pojedynczego zdarzenia, oznaczana jako SLE, równa się wtedy 10 mln zł. Jeżeli na podstawie danych branżowych i własnej historii organizacja ocenia, że zdarzenie tej klasy materializuje się średnio raz na pięć lat, to roczna częstotliwość ARO wynosi 0,2, a roczna oczekiwana strata ALE to 2 mln zł. Dopiero ta ostatnia liczba jest językiem, w którym zarząd potrafi rozmawiać, ponieważ wyraża cyberryzyko w tej samej jednostce co budżet, marża i składka ubezpieczeniowa.

Sam poziom ekspozycji nie rozstrzyga jeszcze, czy konkretną inwestycję w zabezpieczenia warto ponieść. Decyzję domyka dopiero zestawienie kosztu kontroli z redukcją oczekiwanej straty, którą ta kontrola przynosi. Kontynuując przykład, przyjmijmy, że wdrożenie pakietu obejmującego uwierzytelnianie wieloskładnikowe, ochronę stacji końcowych klasy EDR oraz segmentację sieci kosztuje 1 mln zł rocznie i obniża częstotliwość poważnego incydentu z raz na pięć lat do raz na dwadzieścia lat, czyli ARO spada z 0,2 do 0,05. Roczna oczekiwana strata maleje wówczas z 2 mln zł do 0,5 mln zł, więc redukcja ALE wynosi 1,5 mln zł rocznie. Po odjęciu kosztu kontroli organizacja zyskuje 0,5 mln zł netto, co odpowiada zwrotowi z inwestycji na poziomie pięćdziesięciu procent. Tę samą logikę można odwrócić i wyznaczyć próg opłacalności, ponieważ kontrola przestaje bronić się ekonomicznie w chwili, w której jej koszt zrównuje się z redukcją oczekiwanej straty; powyżej tej granicy organizacja płaci za ograniczanie ryzyka więcej, niż realnie odzyskuje. Czytelnik może prześledzić ten rachunek i podstawić własne wartości aktywa, ekspozycji oraz częstotliwości w interaktywnym kalkulatorze ALE zamieszczonym w tym opracowaniu.

Model ALE w postaci pojedynczego iloczynu jest jednak progiem kwantyfikacji, a nie jej metą. Jego ograniczeniem jest charakter deterministyczny, który sprowadza całe spektrum możliwych strat do jednej liczby i milcząco zakłada, że potrafimy trafnie wskazać wartość średnią. Tymczasem rozkład strat z incydentów jest silnie asymetryczny, gdyż zdecydowana większość zdarzeń kończy się kosztem umiarkowanym, lecz rzadkie zdarzenia katastrofalne odpowiadają za nieproporcjonalnie dużą część łącznej ekspozycji. Bardziej dojrzałe podejścia, w szczególności model FAIR oraz symulacje Monte Carlo, które Hubbard i Seiersen opisują jako praktyczny standard, zastępują pojedynczy punkt rozkładem prawdopodobieństwa i pozwalają mówić nie o jednej oczekiwanej stracie, lecz o przedziale możliwych wyników wraz z prawdopodobieństwem przekroczenia zadanego progu. Dla zarządu wartością nie jest przy tym sama statystyka, tylko zdanie, które z niej wynika i które brzmi mniej więcej tak: z prawdopodobieństwem dziewięćdziesięciu procent roczna strata nie przekroczy określonej kwoty, a ryzyko, że przekroczy ona granicę zagrażającą płynności, jest mniejsze niż przyjęty apetyt na ryzyko. Tak ujęta informacja przekłada cyberryzyko na decyzję o kapitale, rezerwie i polisie, czyli na grunt, na którym rada nadzorcza czuje się pewnie. Skalę tego, jak bardzo skutek potrafi wykraczać poza bilans samej ofiary, unaocznia incydent Jaguar Land Rover z 2025 roku, w którym bezpośrednie koszty nadzwyczajne firmy wyniosły około 196 milionów funtów, podczas gdy łączną stratę dla gospodarki oszacowano na około 1,9 miliarda funtów.

Model ALE szacuje stratę oczekiwaną w skali roku, ale gdy incydent już się wydarzy, jego koszt jest konkretną kwotą złożoną z wielu pozycji. Poniższy kalkulator rozkłada ten koszt na trzy warstwy: bezpośrednią obsługę, warstwę regulacyjno-prawną oraz skutki biznesowe. Druga warstwa, kary i pozwy, jest w praktyce najczęściej pomijana, co zaniża wariant pesymistyczny. Trzecia warstwa, skutki pośrednie, zwykle przewyższa to, co widać na fakturze za reagowanie. Wynik to szacunek do rozmowy zarządu, nie wycena księgowa.

Kalkulator kosztów obsługi incydentu

Szacuje pełny koszt incydentu bezpieczeństwa w trzech warstwach i pokazuje, jaką część stanowią najczęściej niedoszacowane skutki pośrednie.

Uzupełnij pozycje w trzech warstwach (godziny i stawki albo kwoty).
Współczynniki wariantów zostaw domyślne albo dostosuj do swojej niepewności.
Odczytaj sumę bazową, trzy warianty i wykres rozbicia na warstwy.
Porównaj wynik z benchmarkiem IBM 2024 (kurs widoczny i edytowalny).
Wyeksportuj do HTML, PDF lub Excela paskiem poniżej.

Wskazówka: stawkę godzinową forensics oszacuj z ofert, przychód na godzinę przestoju policz jako roczny przychód podzielony przez godziny pracy w roku.

Warstwa 1 · koszty bezpośrednie obsługi

Reagowanie na incydent i forensics	h ×PLN/h	192 000 PLN
Obsługa prawna i regulacyjna (koszt obsługi)		250 000 PLN
Komunikacja kryzysowa i PR		180 000 PLN
Powiadomienia i wsparcie poszkodowanych		120 000 PLN
Przestój operacyjny	h ×PLN/h	10 000 000 PLN
Odtworzenie systemów i danych		600 000 PLN
Ewentualny okup		0 PLN
Domyślnie 0. Zapłata nie gwarantuje odzysku danych i bywa prawnie problematyczna (m.in. ryzyko sankcji i przepisy AML).
Razem warstwa 1		11 342 000 PLN

Warstwa 2 · koszty regulacyjne i prawne

Kary administracyjne RODO		0 PLN
Maksymalnie do 4% globalnego rocznego obrotu albo 20 mln EUR, w zależności która kwota jest wyższa.
Sankcje NIS2 / uKSC		0 PLN
Pozwy i ugody		0 PLN
Razem warstwa 2		0 PLN

Warstwa 3 · skutki biznesowe

Utrata klientów	klientów ×PLN LTV	2 160 000 PLN
Utrata kontraktów		900 000 PLN
Spadek sprzedaży	PLN ×% spadku	3 200 000 PLN
Koszt reputacyjny		1 500 000 PLN
Wzrost składki ubezpieczeniowej po incydencie		150 000 PLN
Wymuszone nakłady na podniesienie bezpieczeństwa		800 000 PLN
Razem warstwa 3		8 710 000 PLN

Suma bazowa (trzy warstwy): 20 052 000 PLN

57% bezpośrednie 0% regulacyjno-prawne 43% biznesowe

Ostrożny12 031 200 PLN

Bazowy20 052 000 PLN

Pesymistyczny32 083 200 PLN

Punkt odniesienia · IBM Cost of a Data Breach 2024

Benchmark: 4 880 000 USD × kurs PLN/USD = 18 544 000 PLN

Przyjęty kurs jest założeniem (edytowalny). Globalna średnia międzysektorowa, czyli punkt odniesienia, a nie predykcja dla tej firmy.

Skutki pośrednie (warstwa biznesowa) stanowią 43% sumy bazowej. To właśnie ta warstwa jest najczęściej niedoszacowana, bo nie pojawia się na fakturze za obsługę incydentu.

Trzy warianty mnożą sumę bazową przez przyjęte współczynniki niepewności. To szacunek do rozmowy zarządu, nie wycena księgowa.

Transfer ryzyka, gotowość ubezpieczeniowa

Skoro znamy koszt incydentu i roczną ekspozycję, naturalnym narzędziem zarządu staje się przeniesienie części ryzyka na ubezpieczyciela. Polisa cyber nie jest jednak automatyczna: ubezpieczyciel najpierw oceni nasz profil i dopiero na tej podstawie zaproponuje składkę, zakres i limity. Te same kontrole, które obniżają ALE, decydują też o tym, czy ochrona w ogóle zostanie udzielona i na jakich warunkach. Poniższy kalkulator liczy ten profil, pokazuje, które wymogi twarde ubezpieczyciela są jeszcze niespełnione, i podpowiada, czym argumentować niższą składkę.

Kalkulator gotowości ubezpieczeniowej

Ocenia, jak ubezpieczyciel zobaczy Twoją organizację, i wskazuje, co domknąć przed rozmową o polisie cyber oraz czym argumentować niższą składkę.

Dla każdej kontroli wpisz stopień wdrożenia od 0 do 100%.
Pozycje oznaczone „wymóg" to kontrole twarde, których ubezpieczyciele zwykle wymagają.
Odczytaj wynik profilu, pasmo i niespełnione wymogi.
Wykorzystaj listę mocnych stron jako argumenty negocjacyjne, a luki jako plan przed odnowieniem.
Wyeksportuj wynik paskiem poniżej (HTML, PDF, Excel).

Jak oceniać: 100% oznacza pełne, potwierdzone pokrycie; przykładowo MFA tylko na części kont uprzywilejowanych to nie 100%. Wagi odzwierciedlają typowy ciężar danej kontroli w ocenie ubezpieczyciela.

Kontrola	Waga	Wdrożenie
MFA na kontach uprzywilejowanych i dostępie zdalnymwymóg	16	%
EDR/XDR na stacjach i serwerachwymóg	14	%
Kopie immutable z przetestowanym odtwarzaniemwymóg	16	%
Plan reakcji na incydent przetestowany (12 mies.)wymóg	12	%
Zarządzanie podatnościami i łatanie	10	%
Bezpieczeństwo poczty (anty-phishing, filtrowanie)	8	%
Segmentacja sieci	8	%
Szkolenia świadomości i testy phishingowe	6	%
Centralne logowanie i monitoring (SIEM/SOC)	6	%
Ocena ryzyka dostawców z dostępem do danych	4	%

70/ 100 · profil gotowości

Profil z brakami krytycznymiNiespełnione wymogi twarde ubezpieczyciela. Realne ryzyko odmowy ochrony albo wąskich warunków, sublimitów i wyłączeń, dopóki braki nie zostaną zamknięte.

Niespełnione wymogi ubezpieczyciela

Kopie immutable z przetestowanym odtwarzaniem

Argumenty negocjacyjne (mocne strony)

MFA na kontach uprzywilejowanych i dostępie zdalnym
EDR/XDR na stacjach i serwerach

Luki do domknięcia przed odnowieniem

Kopie immutable z przetestowanym odtwarzaniem cel 80%, jest 70%

Profil jest narzędziem do rozmowy z brokerem i ubezpieczycielem, nie ofertą ani gwarancją warunków. Wymogi i wagi różnią się między ubezpieczycielami; tu przyjęto typowy zestaw kontroli oczekiwanych przy ubezpieczeniu cyber.

Policzona ekspozycja nie jest przy tym wielkością jednorazową, lecz liczbą, którą trzeba odświeżać w miarę, jak zmieniają się aktywa, krajobraz zagrożeń i skuteczność wdrożonych kontroli. Stąd naturalne przejście od jednorazowego rachunku ryzyka do stałego zestawu wskaźników, dzięki któremu zarząd widzi, czy ekspozycja rośnie, czy maleje, oraz czy środki wydane na bezpieczeństwo faktycznie przynoszą zakładany skutek.

Zarząd nie potrzebuje pięćdziesięciu wskaźników operacyjnych. Potrzebuje dziesięciu: pięciu KPI (skuteczność kontroli) i pięciu KRI (ekspozycja na ryzyko) pokrywających wszystkie cztery filary modelu i wszystkie sześć funkcji NIST CSF 2.0.

Tabela 2. Dashboard zarządczy, pięć KPI i pięć KRI z progami alarmowymi
Wskaźnik	Cel benchmarkowy	Próg alarmowy
KPI-1 · MFA Coverage	100% kont uprzywilejowanych	<98% kont pozostałych
KPI-2 · Patch SLA	≥95% w 30 dni	<90% = ryzyko CVE
KPI-3 · MTTD / MTTR	<24h / <8h dla P1	Powyżej = przegląd SOC
KPI-4 · Phishing CTR	<5% (program dojrzały)	>15% = pilna interwencja
KPI-5 · Backup Test	100% kwartalnie	<100% = nieznana odporność
KRI-1 · Krytyczne incydenty	0 / kwartał	≥1 = pełna analiza
KRI-2 · Niezamknięte CVE krytyczne >30 dni	0 systemów	>5 = red flag
KRI-3 · 3rd Party Risk Score	≥750 (skala 0-1000)	<600 = audyt dostawcy
KRI-4 · Open Audit Findings (H)	0 powyżej 90 dni	>3 = ryzyko regulacyjne
KRI-5 · ALE roczna w PLN	<risk appetite zarządu	Powyżej = decyzja inwestycyjna

Wskaźnik KRI-5 wymaga przy tym świadomego czytania. Roczna ALE trafia do pulpitu jako pojedyncza liczba, więc jest wartością uśrednioną i heurystyczną, a nie precyzyjną prognozą. Zgodnie z logiką rozkładu strat opisaną wcześniej, docelowym kierunkiem jest raportowanie ekspozycji nie jednym punktem, lecz krzywą przekroczenia strat (loss exceedance curve), która pokazuje prawdopodobieństwo przekroczenia kolejnych progów i wprost łączy się z apetytem na ryzyko zarządu.

FIG.16SCHEMAT

Cykl kwartalnyDashboard cyber dla zarządu

Skuteczność kontroliKPI

MFA coverage % kont z MFA · cel 100%

Patch SLA % w 30 dni · cel ≥95%

MTTR średni czas recovery · cel <8h

Phishing CTR % klikających · cel <5%

Backup test % udanych odtworzeń · cel 100%

Ekspozycja na ryzykoKRI

Incydenty krytyczne na kwartał

CVE krytyczne niezamknięte >30 dni

3rd party risk score ocena dostawców

Otwarte findings audytowe

ALE roczna ekspozycja w PLN

Schemat 16. KPI i KRI dla zarządu, dashboard kwartalny.

Cykl życia SZBI, roczna weryfikacja i ciągłe doskonalenie

Wskaźniki z pulpitu nie są pomiarem jednorazowym. Mają sens dopiero wtedy, gdy krążą w stałym cyklu życia systemu zarządzania bezpieczeństwem informacji, w którym organizacja planuje, wdraża, sprawdza i poprawia. Ten rytm, znany jako cykl ciągłego doskonalenia (Plan, Do, Check, Act), jest sercem normy ISO/IEC 27001 i jednocześnie tym, czego NIS2 oczekuje od dojrzałego podmiotu, czyli nie jednorazowej zgodności, lecz procesu, który sam się koryguje.

S1SCHEMAT · SZBI

PlanCele i ocena ryzykaapetyt na ryzyko, plan postępowania

DoWdrożenie zabezpieczeńkontrole z Deklaracji Stosowania

CheckAudyt i przegląd zarządzaniamonitorowanie wskaźników

ActDziałania korygującedoskonalenie, powrót do Plan

Schemat S1. Cykl życia SZBI (PDCA) jako rytm rocznej weryfikacji.

Dla zarządu cykl ten zamyka się raz w roku w dwóch wydarzeniach: audycie wewnętrznym, który niezależnie sprawdza, czy system działa zgodnie z założeniami, oraz przeglądzie zarządzania, na którym organ zarządzający ocenia wyniki, zatwierdza działania korygujące i decyduje o zmianach. Pomiędzy nimi toczy się bieżąca obsługa niezgodności i działań korygujących, czyli mechanizm zamieniający każdy wykryty błąd w trwałą poprawę, a nie w powtarzalny incydent.

Aby organ zarządzający mógł śledzić ten proces bez wchodzenia w szczegóły techniczne, wystarczą dwa proste zestawy liczb. Poziom dojrzałości mówi, jak ułożony jest sam system, a wskaźniki postępu mówią, czy w danym roku posuwa się on naprzód.

Tabela S1. Pięć poziomów dojrzałości SZBI w języku zarządu
Poziom	Co oznacza	Co widzi zarząd
1 · początkowy	Działania doraźne, brak procesu	Gaszenie pożarów, brak dowodów
2 · powtarzalny	Podstawowe procesy, nieformalne	Część kontroli działa, ale zależy od osób
3 · zdefiniowany	Procesy opisane i przyjęte	Polityki, role i rejestry istnieją
4 · zarządzany	Procesy mierzone wskaźnikami	Pulpit KPI/KRI, decyzje na danych
5 · optymalizowany	Ciągłe doskonalenie	System sam się koryguje, audyty bez istotnych uwag

Skala dojrzałości jest ramą porządkującą, a nie pomiarem ilościowym, dlatego poziom przypisuje się na podstawie dowodów, nie odczucia. Obok niej zarząd śledzi kilka wskaźników postępu, które w cyklu rocznym pokazują kierunek: udział zabezpieczeń z Deklaracji Stosowania faktycznie wdrożonych, udział działań korygujących zamkniętych w terminie, liczbę otwartych niezgodności z audytu wraz z trendem, datę i wynik ostatniego przeglądu zarządzania oraz udział ryzyk z rejestru z aktualną, nie starszą niż dwanaście miesięcy, oceną. Te pięć liczb mieści się na jednym slajdzie i wystarcza, by ocenić, czy SZBI żyje, czy tylko istnieje na papierze.

Raport pentestu na poziomie executive summary musi zawierać: (1) kontekst biznesowy, (2) CVSS score dla każdego findingu, (3) priorytety remediation, (4) plan retest. Brak któregokolwiek z tych elementów = czerwona flaga jakości dostawcy.

Audyt vs pentest: audyt sprawdza zgodność z normą (ISO 27001, NIS2), pentest sprawdza odporność na atak. Audyt bez pentestu daje fałszywe poczucie bezpieczeństwa. Pentest bez audytu daje fragmentaryczny obraz. Każda organizacja w reżimie NIS2 powinna mieć roczny cykl: audyt + pentest + remediation + retest.

FIG.17SCHEMAT

otrzymany przez zarządRaport pentestu

Tak

Czy raport ma Executive Summary?

Nie

Czerwona flagaDostawca nie umie komunikować

Tak

Czy luki mają CVSS score?

Nie

Czerwona flagaBrak standardowej klasyfikacji

Tak

Czy raport zawiera kontekst biznesowy?

Nie

Żółta flagaWymaga sesji z CISO

Tak

Czy są rekomendacje z priorytetami?

Nie

Czerwona flagaTest bez wartości operacyjnej

Tak

Czy zawiera retest plan?

Nie

Żółta flagaBrak weryfikacji napraw

Tak

Raport spełnia standardZielone światło

Schemat 17. Jak czytać raport pentestu, drzewo decyzyjne.