Blog

Audyt IT, co to jest, ile kosztuje i jak się przygotować

Audyt IT to niezależna ocena stanu informatyki w firmie: infrastruktury, bezpieczeństwa, kopii zapasowych, legalności oprogramowania i zgodności z przepisami. Kończy się raportem z listą ryzyk i planem naprawczym, dzięki któremu wiesz, co działa dobrze, a co jest tykającą bombą. Dla większości małych i średnich firm to pierwszy świadomy krok do uporządkowania środowiska, zanim zrobi to za nich awaria albo atak. A takich ataków jest coraz więcej. W 2024 roku CERT Polska obsłużył 103 449 incydentów cyberbezpieczeństwa, o 29% więcej niż rok wcześniej, a według raportu VECTO z cyberatakiem zetknęło się już 76,2% polskich firm. Problem w tym, że gotowy scenariusz działania na wypadek incydentu ma tylko 30,8% z nich. W tym artykule tłumaczymy, co dokładnie obejmuje audyt IT, ile kosztuje, kiedy jest obowiązkowy i jak się do niego przygotować.

Audyt IT - administrator systemów w serwerowni

Co to jest audyt IT i co obejmuje

Audyt IT to niezależna, uporządkowana ocena tego, w jakim stanie jest informatyka w firmie, w porównaniu z tym, jak być powinno według dobrych praktyk i przepisów. Obejmuje zarówno stronę techniczną, serwery, sieć, stacje robocze, pamięć masową, jak i organizacyjną: procedury, uprawnienia, polityki bezpieczeństwa, zarządzanie dostępem i dokumentację.

W praktyce dobry audyt odpowiada na kilka prostych pytań, na które większość firm nie zna odpowiedzi. Czy kopie zapasowe naprawdę działają i czy ktoś kiedykolwiek sprawdził, że da się z nich odzyskać dane? Kto ma dostęp do których systemów i czy nie ma zapomnianych kont po byłych pracownikach? Czy oprogramowanie jest legalne i aktualne? Czy firma spełnia wymogi RODO dotyczące bezpieczeństwa danych? Efektem jest raport, który te odpowiedzi porządkuje i priorytetyzuje.

Rodzaje audytów IT

Pod hasłem „audyt IT" kryje się kilka różnych badań o różnym zakresie i celu.

Typ audytuCo badaKiedy warto
Audyt infrastruktury (techniczny)serwery, sieć, stacje, wydajność, konfiguracjaprzy przejęciu obsługi IT, przed rozbudową lub migracją
Audyt bezpieczeństwapodatności, dostępy, hasła, MFA, aktualizacje, backup, procedurycyklicznie, po incydencie, pod wymogi NIS2 i RODO
Test penetracyjnykontrolowana próba włamania (symulacja realnego ataku)po większych zmianach, dla kluczowych systemów
Audyt legalności oprogramowaniazgodność liczby licencji z instalacjami, dokumenty zakupuprewencyjnie, wobec ryzyka kontroli producenta
Audyt zgodności (RODO, NIS2, ISO 27001)dokumentacja, procedury, analiza ryzyka, zgodność z normąpod certyfikację, wymóg prawny lub kontrahenta

Firmy najczęściej zaczynają od audytu infrastruktury lub bezpieczeństwa, a pozostałe zamawiają wtedy, gdy pojawia się konkretna potrzeba, certyfikacja, kontrola albo wymóg klienta.

Audyt a test penetracyjny, czym się różnią

To dwie różne rzeczy, które łatwo pomylić, a różnica ma wpływ na cenę. Audyt opiera się na porównaniu stanu firmy z formalnym wzorcem (normą, przepisem, dobrą praktyką) i kończy się oceną zgodności. Test penetracyjny to praktyczna, kontrolowana próba przełamania zabezpieczeń z perspektywy atakującego.

Najprostsza analogia: audyt jest jak inspekcja budynku według projektu i pozwoleń, a pentest jak kontrolowana próba włamania, która sprawdza, czy zamki naprawdę trzymają. Oba podejścia się uzupełniają, audyt porządkuje wymagania, pentest weryfikuje realną odporność. Warto o tym pamiętać, bo test penetracyjny to osobna, droższa usługa i nie każda firma potrzebuje go na start.

Jak przebiega audyt i co dostajesz

Typowy audyt przebiega w kilku etapach: od ustalenia zakresu i celów (z podpisaniem umowy o poufności), przez inwentaryzację sprzętu, oprogramowania i uprawnień, analizę zabezpieczeń i konfiguracji, aż po raport i rekomendacje. Na końcu, opcjonalnie, następuje wdrożenie zaleceń i ponowna weryfikacja.

Najważniejsze jest to, co dostajesz na wyjściu. Dobry audyt to nie „raport do szuflady", lecz zwykle trzy dokumenty: szczegółowy raport techniczny z listą podatności i ich klasyfikacją (krytyczne, wysokie, średnie, niskie), zwięzłe podsumowanie dla zarządu pokazujące najważniejsze ryzyka i koszt ich usunięcia oraz konkretny plan naprawczy z priorytetami. Dzięki temu nawet nietechniczny właściciel wie, co zrobić najpierw i ile to będzie kosztować.

Kiedy warto zrobić audyt IT

Jest kilka momentów, w których audyt zwraca się najszybciej. Przed zmianą dostawcy IT lub przejęciem obsługi, żeby wiedzieć, co się naprawdę posiada i nie odziedziczyć cudzych zaniedbań. Po incydencie, takim jak atak czy wyciek, żeby ustalić przyczynę i luki. Przy szybkim wzroście firmy albo migracji do chmury, gdy infrastruktura rośnie szybciej niż wiedza o niej. Oraz pod konkretne wymogi prawne, o których za chwilę. Poza tymi sytuacjami warto traktować audyt profilaktycznie i powtarzać go co 12 do 24 miesięcy, tak jak robi się przegląd samochodu.

Czy audyt IT jest obowiązkowy?

Tu trzeba oddzielić fakty od marketingowego straszenia. Dla większości małych i średnich firm audyt IT nie jest bezpośrednio obowiązkowy. Obowiązek dotyczy konkretnych grup.

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2 i obowiązuje od 3 kwietnia 2026 roku, nakłada obowiązkowy audyt bezpieczeństwa (co najmniej raz na trzy lata) na tak zwane podmioty kluczowe. To firmy z wybranych sektorów, zwykle zatrudniające co najmniej 50 osób lub o obrocie powyżej 10 mln euro. Sektor finansowy podlega z kolei rozporządzeniu DORA, które od stycznia 2025 roku wymaga regularnego testowania odporności. Certyfikacja ISO 27001 jest dobrowolna, ale często wymagana przez kontrahentów i w przetargach.

Jest jednak jeden przepis, który dotyczy każdej firmy przetwarzającej dane osobowe: art. 32 RODO wymaga regularnego testowania i oceniania skuteczności zabezpieczeń. Nie nazywa tego wprost „audytem", ale w praktyce audyt bezpieczeństwa jest najprostszym sposobem, by ten obowiązek spełnić i mieć to udokumentowane. Innymi słowy: nawet jeśli NIS2 Cię nie dotyczy, RODO i tak oczekuje, że sprawdzasz, czy Twoje zabezpieczenia działają. (Stan prawny na 2026 rok.)

Ile kosztuje audyt IT

Cena zależy przede wszystkim od wielkości firmy, zakresu i tego, czy audyt obejmuje testy penetracyjne. Poniższe widełki to orientacyjne szacunki rynkowe (kwoty netto), a każda poważna wycena powstaje po poznaniu konkretnego środowiska.

ZakresOrientacyjny koszt (netto)Czas
Mała firma (do 30 stanowisk, bez serwerów)3 500–7 000 zł2–4 tygodnie
Średnia firma (30–100 stanowisk, serwery)8 000–18 000 zł2–4 tygodnie
Organizacja wielolokalizacyjna20 000–60 000 złkilka tygodni
Test penetracyjny (osobno)8 000–25 000 zł1–2 tygodnie

Na cenę wpływa liczba użytkowników, serwerów i lokalizacji, zakres (sama infrastruktura czy pełna zgodność), obecność testów penetracyjnych oraz złożoność środowiska, środowisko hybrydowe, łączące serwery lokalne z chmurą, jest droższe w audycie niż proste.

Jak się przygotować i co audyt wykrywa

Przygotowanie jest proste. Wyznacz osobę decyzyjną do kontaktu, zbierz dokumentację (polityki bezpieczeństwa, umowy, licencje i faktury na oprogramowanie, schemat sieci), przygotuj dostępy oraz inwentarz sprzętu i wskaż systemy krytyczne dla firmy. Im lepiej przygotowane materiały, tym sprawniej i taniej przebiega audyt.

Warto wiedzieć, co audyty wykrywają najczęściej, bo to zwykle te same zaniedbania. Kopie zapasowe, których nigdy nie przetestowano pod kątem odtworzenia danych, z badań wynika, że problem dotyczy sporej części firm. Nieaktualne, niewspierane już systemy, w których nie da się załatać luk. Nadmiarowe uprawnienia i zapomniane konta po byłych pracownikach. Brak uwierzytelniania wieloskładnikowego, które w większości kluczowych usług stosuje zaledwie co czwarta firma. Oraz brak podstawowej dokumentacji i domyślne hasła. Każda z tych rzeczy to otwarte drzwi, o których istnieniu firma zwykle nie wie, dopóki ktoś ich nie wskaże.

W IQ-Networks traktujemy audyt IT jako niskoryzykowy pierwszy krok współpracy. Jako firma łącząca obsługę IT z cyberbezpieczeństwem sprawdzamy infrastrukturę i bezpieczeństwo, a wynik przekazujemy w formie zrozumiałej także dla nietechnicznego właściciela: z listą priorytetów i szacunkiem kosztów. Obsługujemy firmy w całej Polsce z oddziałów w Poznaniu i Warszawie. Napisz do nas, a ustalimy zakres i wycenimy audyt dopasowany do Twojej firmy. Szczegóły znajdziesz też na stronie cennika, a aktualne komunikaty o zagrożeniach publikuje CERT Polska.

Najczęstsze pytania

Czym różni się audyt IT od bieżącej obsługi informatycznej?

Bieżąca obsługa dba o to, żeby IT działało na co dzień. Audyt to jednorazowa, niezależna ocena stanu i bezpieczeństwa całej informatyki, zakończona raportem z ryzykami i planem naprawczym. To zdjęcie sytuacji w danym momencie, a nie stała opieka.

Ile kosztuje audyt IT dla mojej firmy?

Orientacyjnie od 3 000–6 000 zł netto dla małej firmy do 7 000–15 000 zł dla średniej, w zależności od liczby stanowisk, serwerów i zakresu. Test penetracyjny to osobny koszt. Dokładną cenę podajemy po poznaniu środowiska.

Ile trwa audyt i czy zakłóci pracę firmy?

Zwykle od dwóch do czterech tygodni. Większość prac prowadzi się tak, by nie zakłócać bieżącej działalności, inwentaryzacja i analiza dzieją się w tle, a testy uzgadnia się na dogodny termin.

Czy audyt IT jest obowiązkowy? Czy dotyczy mnie NIS2?

Dla większości małych firm nie jest bezpośrednio obowiązkowy. Obowiązkowy audyt dotyczy podmiotów kluczowych z ustawy o krajowym systemie cyberbezpieczeństwa (zwykle firmy od 50 osób w wybranych sektorach) oraz sektora finansowego. RODO wymaga jednak od każdej firmy regularnego testowania skuteczności zabezpieczeń.

Co dostanę na koniec, raport zrozumiały dla nietechnicznego właściciela?

Tak. Poza szczegółowym raportem technicznym otrzymujesz podsumowanie dla zarządu: najważniejsze ryzyka, koszt ich usunięcia i priorytety, opisane językiem biznesowym, a nie technicznym.

Jak często powinienem robić audyt IT?

Profilaktycznie co 12 do 24 miesięcy, a dodatkowo po każdej większej zmianie (migracja, rozbudowa), po incydencie oraz przed zmianą dostawcy IT. Firmy objęte NIS2 mają obowiązek co najmniej raz na trzy lata.

Potrzebujesz wsparcia przy wdrożeniu audytu IT w Twojej firmie?

Powiedz nam, czego potrzebujesz, a doradzimy i wdrożymy całość. Pierwsza konsultacja jest bezpłatna, bez zobowiązań.

Zadzwoń Bezpłatny audyt