Twoje dokumenty opuszczają
firmę 50 razy dziennie
Każdy e-mail z załącznikiem, każdy plik udostępniony w chmurze, każdy pendrive — to potencjalny wyciek. Pytanie nie brzmi czy, ale kiedy niezaszyfrowany dokument trafi w niepowołane ręce.
Szyfrowanie i klasyfikacja danych to nie luksus — to wymóg NIS2/KSC 2.0 (art. 21 ust. 2 lit. h) i fundament ochrony informacji w każdej firmie.
Kontekst regulacyjny
Dlaczego to ważne w 2026
Szyfrowanie danych nie jest nowym tematem. Nowe jest to, że od wejścia w życie KSC 2.0 brak szyfrowania danych wrażliwych to naruszenie prawa — z karami do 10 mln EUR.
Art. 21 ust. 2 lit. h NIS2
Dyrektywa NIS2 wprost wymaga wdrożenia polityki kryptografii i szyfrowania. KSC 2.0 przenosi ten wymóg do polskiego prawa. To nie rekomendacja — to obowiązek.
68% wycieków to dane wewnętrzne
Według raportu Verizon DBIR, większość wycieków dotyczy danych firmowych — dokumentów, arkuszy, prezentacji. Nie baz danych, ale zwykłych plików wysyłanych e-mailem.
Praca hybrydowa = więcej ryzyka
Pracownicy korzystają z firmowych dokumentów na prywatnych urządzeniach, w kawiarniach, w podróży. Bez szyfrowania każdy punkt dostępu to potencjalny wektor wycieku.
Proces
Jak to działa
Szyfrowanie danych to więcej niż hasło na pliku. To system klasyfikacji, ochrony i kontroli dostępu, który działa automatycznie — bez angażowania użytkowników.
Klasyfikacja danych
Definiujemy etykiety wrażliwości: publiczne, wewnętrzne, poufne, ściśle poufne. Etykiety mogą być nadawane ręcznie lub automatycznie na podstawie treści dokumentu.
Szyfrowanie w spoczynku
Dokumenty na dyskach, w SharePoint i OneDrive są szyfrowane kluczami zarządzanymi przez Twoją organizację. Fizyczny dostęp do dysku nie oznacza dostępu do danych.
Szyfrowanie w transmisji
E-maile z załącznikami, pliki udostępniane partnerom — automatyczne szyfrowanie na podstawie etykiety. Odbiorca musi się uwierzytelnić, żeby otworzyć dokument.
Zarządzanie uprawnieniami
Rights management określa kto może czytać, edytować, drukować czy przekazywać dokument — nawet po tym, jak plik opuścił organizację. Uprawnienia można cofnąć w każdej chwili.
Najlepsze praktyki
Jak robią to dobrze zarządzane firmy
Zacznij od klasyfikacji, nie od szyfrowania
Nie da się chronić danych, których nie rozumiesz. Pierwszym krokiem jest zawsze inwentaryzacja i klasyfikacja — dopiero potem wdrażasz odpowiedni poziom ochrony dla każdej kategorii.
Automatyzuj etykietowanie wrażliwych treści
Reguły automatycznego etykietowania wykrywają numery PESEL, dane finansowe, informacje medyczne i oznaczają dokumenty bez angażowania użytkownika. Eliminujesz czynnik ludzki.
Zaplanuj scenariusz odejścia pracownika
Rights management oznacza, że dokumenty są chronione nawet po opuszczeniu firmy. Uprawnienia powiązane z kontem — konto dezaktywowane = dostęp cofnięty.
Szyfruj komunikację z partnerami zewnętrznymi
Nie ufaj, że partner ma takie same standardy bezpieczeństwa. Szyfrowane e-maile i dokumenty z kontrolą uprawnień chronią niezależnie od infrastruktury odbiorcy.
Nie zapomnij o danych w spoczynku
Szyfrowanie transmisji to dopiero połowa. Dane na laptopach, dyskach sieciowych i w chmurze muszą być szyfrowane kluczami, do których nie ma dostępu administrator infrastruktury.
W pakiecie
Co dostajesz w SecIQ
Szyfrowanie i klasyfikacja danych to element każdego pakietu ochrony. Zakres zależy od wielkości organizacji i poziomu wrażliwości danych.
Audyt i inwentaryzacja typów danych w organizacji
Definicja etykiet klasyfikacji dopasowanych do firmy
Wdrożenie Microsoft Purview Information Protection
Konfiguracja automatycznego etykietowania na podstawie treści
Szyfrowanie e-maili i załączników (Exchange Online)
Ochrona dokumentów w SharePoint i OneDrive
Rights management — kontrola uprawnień po opuszczeniu firmy
Polityka szyfrowania zgodna z art. 21 ust. 2 lit. h NIS2
Szkolenie dla pracowników z klasyfikacji dokumentów
Comiesięczny raport: ile dokumentów sklasyfikowano, ile incydentów zablokowano
Porównanie kosztów
Koszt rynkowy vs SecIQ
| Element | Cena rynkowa (jednorazowo) | W pakiecie SecIQ |
|---|---|---|
| Audyt i klasyfikacja danych | 8 000 – 15 000 PLN | W cenie pakietu |
| Wdrożenie Purview Information Protection | 10 000 – 25 000 PLN | W cenie pakietu |
| Polityka szyfrowania (dokumentacja) | 3 000 – 8 000 PLN | W cenie pakietu |
| Szkolenie pracowników | 2 000 – 5 000 PLN | W cenie pakietu |
| Utrzymanie i monitoring | 2 000 – 5 000 PLN/mies. | W cenie pakietu |
Łączny koszt rynkowy: 15 000 – 45 000 PLN jednorazowo + koszty utrzymania. W SecIQ — element comiesięcznego pakietu ochrony.
Pytania i odpowiedzi
Najczęstsze pytania
Nie. Nowoczesne rozwiązania Microsoft szyfrują dokumenty transparentnie — użytkownik pracuje normalnie w Word, Excel czy Outlook. Szyfrowanie działa w tle, bez dodatkowych kroków. Jedyną widoczną zmianą jest etykieta klasyfikacji na dokumencie.
Jeśli dokumenty były chronione przez rights management, były pracownik traci do nich dostęp w momencie dezaktywacji konta. Nawet jeśli skopiował pliki na pendrive lub prywatny dysk — bez autoryzacji w Entra ID nie otworzy ich. To kluczowa różnica między szyfrowaniem a zwykłym hasłem.
Tak. Art. 21 ust. 2 lit. h NIS2 wprost wymaga polityki kryptografii i szyfrowania. KSC 2.0 przenosi ten wymóg do polskiego prawa. Szyfrowanie danych wrażliwych nie jest opcjonalne — to obowiązek prawny dla podmiotów kluczowych i ważnych.
Wszystkie dokumenty Office (Word, Excel, PowerPoint), pliki PDF, wiadomości e-mail, a także dowolne inne pliki przez szyfrowanie ogólne. Dodatkowo etykiety klasyfikacji mogą automatycznie wymuszać szyfrowanie na podstawie treści — np. gdy dokument zawiera numery PESEL lub dane finansowe.
Dane Twojej firmy zasługują na spokojny sen
Szyfrowanie i klasyfikacja to fundament ochrony informacji. Porozmawiajmy o tym, jak to wygląda w praktyce dla Twojej organizacji.