Przed NIS2: jak wyglądają podstawowe sygnały bezpieczeństwa największych firm?

NIS2 zobowiązuje organizacje do poważnego traktowania cyberbezpieczeństwa, a odpowiedzialność spoczywa na kadrze zarządzającej. Przeprowadziliśmy sześć podstawowych, PUBLICZNYCH testów bezpieczeństwa stron głównych i ustawień poczty e-mail największych firm na rynku. Tego rodzaju testy może wykonać każdy z zewnątrz, bez dostępu do systemów wewnętrznych. Stanowią one poziom minimalny, a nie pełny audyt bezpieczeństwa: pozytywny wynik oznacza, że oczywiste podstawy są zachowane, negatywny zaś, że istnieją luki widoczne dla każdego atakującego.

33 firm sprawdzonych pomyślnie, spośród 45 największych na rynku; pozostałe blokowały automatyczny dostęp i zostały wykluczone ze wszystkich danych.

Najważniejsze ustalenia

55%
badanych firm nie spełnia co najmniej jednego podstawowego sygnału bezpieczeństwa
30%
nie ma wymuszonego DMARC, co oznacza, że ich domena pocztowa może być używana do podszywania się w phishingu
21%
nie posiada podstawowych nagłówków bezpieczeństwa dla stron internetowych
15%
nie wymusza HSTS

Wyniki według testu

Publiczny test bezpieczeństwaOdsetek firm, których dotyczy problem
Brak wymuszonego DMARC (domena pocztowa może być używana do podszywania się w phishingu wyglądającym jak wiadomości pochodzące od danej firmy)30%
Brak podstawowych nagłówków bezpieczeństwa dla stron internetowych (zabezpieczenia przed clickjackingiem i ochrona typu treści)21%
Brak HSTS (przeglądarki nie są zmuszane do korzystania z szyfrowanej wersji strony)15%
Brak rekordu SPF (podstawowa kontrola zapobiegająca podszywaniu się w poczcie e-mail jest nieobecna)3%
Strona główna nie wymusza HTTPS3%
Wersja oprogramowania serwera ujawniona w nagłówkach (ułatwia atakującym wykorzystanie znanych podatności)0%

Najlepiej wypadające firmy

Uznanie tam, gdzie jest należne: te firmy przeszły pomyślnie wszystkie lub prawie wszystkie nasze podstawowe testy.

Metodologia

Dla każdej firmy wysłaliśmy jedno zwykłe zapytanie do publicznej strony głównej i odczytaliśmy nagłówki odpowiedzi istotne dla bezpieczeństwa, a także przeprowadziliśmy publiczne zapytania DNS dla rekordów uwierzytelniania poczty SPF i DMARC. To te same informacje, które otrzymuje każda przeglądarka internetowa lub serwer pocztowy. Nie skanowaliśmy portów, nie badaliśmy systemów wewnętrznych, nie próbowaliśmy uzyskać żadnego dostępu ani nie wysyłaliśmy więcej niż jednego zwykłego zapytania. Jest to podstawowa zewnętrzna analiza stanu higieny bezpieczeństwa, a nie test penetracyjny ani pełna ocena bezpieczeństwa, i nie zawiera żadnych twierdzeń na temat wewnętrznego bezpieczeństwa poszczególnych firm. Firmy, które blokowały automatyczny dostęp, zostały wykluczone ze wszystkich obliczeń procentowych.

Przygotowujesz się do wdrożenia NIS2?

Sprawdź, które narzędzia do zarządzania zgodnością pomagają spełnić wymogi bezpieczeństwa określone w NIS2, i zweryfikuj, czy Twoja organizacja podlega temu obowiązkowi.

Zobacz porównanie narzędzi NIS2 →

Dla dziennikarzy

Metodologia oraz zbiorcze dane dla poszczególnych testów są dostępne na żądanie w celach weryfikacji. Nie publikujemy informacji o tym, które konkretne firmy uzyskały wynik negatywny. Kontakt: [email protected]

Niniejszy raport jest niezależnym zewnętrznym badaniem danych, a nie oceną bezpieczeństwa ani oskarżeniem wobec jakiejkolwiek wymienionej firmy.

Nie wiesz czy Twoja firma podlega KSC? Bezpłatny quiz zajmuje 2 minuty.

Zrób quiz →

Pobierz bezpłatny przewodnik NIS2

Dowędz się dokładnie co musisz zrobić przed 3 października 2026. Przewodnik krok po kroku dla polskich firm.

Bez spamu. Wypisz się w każdej chwili.

NIS2 v dalších zemích EU / NIS2 in other EU markets: