Zgodność z regulacjami to dziś najczęstszy powód, dla którego firmy zamawiają testy bezpieczeństwa — najczęściej z konkretnym terminem i ryzykiem kar. Realizuję testy penetracyjne spełniające wymagania kluczowych regulacji i norm oraz dostarczam raport gotowy do przedstawienia audytorowi lub organowi nadzoru.
Dyrektywa NIS2 (w Polsce wdrażana nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa) obejmuje „podmioty kluczowe i ważne" w wielu sektorach gospodarki. Wymaga m.in. zarządzania ryzykiem, regularnego testowania i oceny skuteczności zabezpieczeń oraz obsługi i zgłaszania incydentów. Za brak zgodności grożą dotkliwe kary — dla podmiotów kluczowych nawet do 10 mln EUR lub 2% rocznego obrotu.
Przeprowadzam testy penetracyjne aplikacji, infrastruktury i sieci, które dostarczają wymaganego dowodu skuteczności zabezpieczeń, oraz raport z konkretnymi rekomendacjami — gotowy do przedstawienia podczas audytu lub kontroli.
Rozporządzenie DORA (obowiązuje od 17 stycznia 2025) nakłada na podmioty sektora finansowego obowiązek regularnego testowania odporności cyfrowej, w tym testów penetracyjnych; dla największych instytucji — zaawansowane testy oparte na scenariuszach realnych zagrożeń (TLPT).
Mam praktyczne doświadczenie z sektora finansowego (bankowość, fundusze inwestycyjne). Przeprowadzam testy bezpieczeństwa wymagane przez DORA i dostarczam dokumentację wspierającą wykazanie zgodności.
Standard PCI DSS (dla organizacji przetwarzających dane kart płatniczych) wymaga regularnych testów penetracyjnych — zewnętrznych i wewnętrznych, na poziomie sieci i aplikacji (m.in. wymóg 11.4) — co najmniej raz w roku oraz po istotnych zmianach.
Wykonuję pentesty zgodne z metodyką PCI DSS i dostarczam raport, który możesz przedstawić audytorowi QSA podczas oceny zgodności.
Norma ISO/IEC 27001 (System Zarządzania Bezpieczeństwem Informacji) oczekuje regularnej oceny technicznej podatności — testy penetracyjne są standardowym sposobem wykazania skuteczności zabezpieczeń (m.in. zabezpieczenia A.8.8 oraz A.8.29).
Dostarczam testy oraz raport wspierające certyfikację i utrzymanie systemu zgodnego z ISO 27001.
Działam jako niezależny wykonawca testów penetracyjnych — dostarczam testy i raporty wspierające zgodność z powyższymi regulacjami i normami. Nie pełnię roli jednostki certyfikującej ani audytora QSA; ostateczną ocenę zgodności wydaje właściwy audytor lub organ nadzoru.
