Audyt IT to niezależna ocena stanu informatyki w firmie: infrastruktury, bezpieczeństwa, kopii zapasowych, legalności oprogramowania i zgodności z przepisami. Kończy się raportem z listą ryzyk i planem naprawczym, dzięki któremu wiesz, co działa dobrze, a co jest tykającą bombą. Dla większości małych i średnich firm to pierwszy świadomy krok do uporządkowania środowiska, zanim zrobi to za nich awaria albo atak. A takich ataków jest coraz więcej. W 2024 roku CERT Polska obsłużył 103 449 incydentów cyberbezpieczeństwa, o 29% więcej niż rok wcześniej, a według raportu VECTO z cyberatakiem zetknęło się już 76,2% polskich firm. Problem w tym, że gotowy scenariusz działania na wypadek incydentu ma tylko 30,8% z nich. W tym artykule tłumaczymy, co dokładnie obejmuje audyt IT, ile kosztuje, kiedy jest obowiązkowy i jak się do niego przygotować.
Audyt IT to niezależna, uporządkowana ocena tego, w jakim stanie jest informatyka w firmie, w porównaniu z tym, jak być powinno według dobrych praktyk i przepisów. Obejmuje zarówno stronę techniczną, serwery, sieć, stacje robocze, pamięć masową, jak i organizacyjną: procedury, uprawnienia, polityki bezpieczeństwa, zarządzanie dostępem i dokumentację.
W praktyce dobry audyt odpowiada na kilka prostych pytań, na które większość firm nie zna odpowiedzi. Czy kopie zapasowe naprawdę działają i czy ktoś kiedykolwiek sprawdził, że da się z nich odzyskać dane? Kto ma dostęp do których systemów i czy nie ma zapomnianych kont po byłych pracownikach? Czy oprogramowanie jest legalne i aktualne? Czy firma spełnia wymogi RODO dotyczące bezpieczeństwa danych? Efektem jest raport, który te odpowiedzi porządkuje i priorytetyzuje.
Pod hasłem „audyt IT" kryje się kilka różnych badań o różnym zakresie i celu.
| Typ audytu | Co bada | Kiedy warto |
|---|---|---|
| Audyt infrastruktury (techniczny) | serwery, sieć, stacje, wydajność, konfiguracja | przy przejęciu obsługi IT, przed rozbudową lub migracją |
| Audyt bezpieczeństwa | podatności, dostępy, hasła, MFA, aktualizacje, backup, procedury | cyklicznie, po incydencie, pod wymogi NIS2 i RODO |
| Test penetracyjny | kontrolowana próba włamania (symulacja realnego ataku) | po większych zmianach, dla kluczowych systemów |
| Audyt legalności oprogramowania | zgodność liczby licencji z instalacjami, dokumenty zakupu | prewencyjnie, wobec ryzyka kontroli producenta |
| Audyt zgodności (RODO, NIS2, ISO 27001) | dokumentacja, procedury, analiza ryzyka, zgodność z normą | pod certyfikację, wymóg prawny lub kontrahenta |
Firmy najczęściej zaczynają od audytu infrastruktury lub bezpieczeństwa, a pozostałe zamawiają wtedy, gdy pojawia się konkretna potrzeba, certyfikacja, kontrola albo wymóg klienta.
To dwie różne rzeczy, które łatwo pomylić, a różnica ma wpływ na cenę. Audyt opiera się na porównaniu stanu firmy z formalnym wzorcem (normą, przepisem, dobrą praktyką) i kończy się oceną zgodności. Test penetracyjny to praktyczna, kontrolowana próba przełamania zabezpieczeń z perspektywy atakującego.
Najprostsza analogia: audyt jest jak inspekcja budynku według projektu i pozwoleń, a pentest jak kontrolowana próba włamania, która sprawdza, czy zamki naprawdę trzymają. Oba podejścia się uzupełniają, audyt porządkuje wymagania, pentest weryfikuje realną odporność. Warto o tym pamiętać, bo test penetracyjny to osobna, droższa usługa i nie każda firma potrzebuje go na start.
Typowy audyt przebiega w kilku etapach: od ustalenia zakresu i celów (z podpisaniem umowy o poufności), przez inwentaryzację sprzętu, oprogramowania i uprawnień, analizę zabezpieczeń i konfiguracji, aż po raport i rekomendacje. Na końcu, opcjonalnie, następuje wdrożenie zaleceń i ponowna weryfikacja.
Najważniejsze jest to, co dostajesz na wyjściu. Dobry audyt to nie „raport do szuflady", lecz zwykle trzy dokumenty: szczegółowy raport techniczny z listą podatności i ich klasyfikacją (krytyczne, wysokie, średnie, niskie), zwięzłe podsumowanie dla zarządu pokazujące najważniejsze ryzyka i koszt ich usunięcia oraz konkretny plan naprawczy z priorytetami. Dzięki temu nawet nietechniczny właściciel wie, co zrobić najpierw i ile to będzie kosztować.
Jest kilka momentów, w których audyt zwraca się najszybciej. Przed zmianą dostawcy IT lub przejęciem obsługi, żeby wiedzieć, co się naprawdę posiada i nie odziedziczyć cudzych zaniedbań. Po incydencie, takim jak atak czy wyciek, żeby ustalić przyczynę i luki. Przy szybkim wzroście firmy albo migracji do chmury, gdy infrastruktura rośnie szybciej niż wiedza o niej. Oraz pod konkretne wymogi prawne, o których za chwilę. Poza tymi sytuacjami warto traktować audyt profilaktycznie i powtarzać go co 12 do 24 miesięcy, tak jak robi się przegląd samochodu.
Tu trzeba oddzielić fakty od marketingowego straszenia. Dla większości małych i średnich firm audyt IT nie jest bezpośrednio obowiązkowy. Obowiązek dotyczy konkretnych grup.
Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2 i obowiązuje od 3 kwietnia 2026 roku, nakłada obowiązkowy audyt bezpieczeństwa (co najmniej raz na trzy lata) na tak zwane podmioty kluczowe. To firmy z wybranych sektorów, zwykle zatrudniające co najmniej 50 osób lub o obrocie powyżej 10 mln euro. Sektor finansowy podlega z kolei rozporządzeniu DORA, które od stycznia 2025 roku wymaga regularnego testowania odporności. Certyfikacja ISO 27001 jest dobrowolna, ale często wymagana przez kontrahentów i w przetargach.
Jest jednak jeden przepis, który dotyczy każdej firmy przetwarzającej dane osobowe: art. 32 RODO wymaga regularnego testowania i oceniania skuteczności zabezpieczeń. Nie nazywa tego wprost „audytem", ale w praktyce audyt bezpieczeństwa jest najprostszym sposobem, by ten obowiązek spełnić i mieć to udokumentowane. Innymi słowy: nawet jeśli NIS2 Cię nie dotyczy, RODO i tak oczekuje, że sprawdzasz, czy Twoje zabezpieczenia działają. (Stan prawny na 2026 rok.)
Cena zależy przede wszystkim od wielkości firmy, zakresu i tego, czy audyt obejmuje testy penetracyjne. Poniższe widełki to orientacyjne szacunki rynkowe (kwoty netto), a każda poważna wycena powstaje po poznaniu konkretnego środowiska.
| Zakres | Orientacyjny koszt (netto) | Czas |
|---|---|---|
| Mała firma (do 30 stanowisk, bez serwerów) | 3 500–7 000 zł | 2–4 tygodnie |
| Średnia firma (30–100 stanowisk, serwery) | 8 000–18 000 zł | 2–4 tygodnie |
| Organizacja wielolokalizacyjna | 20 000–60 000 zł | kilka tygodni |
| Test penetracyjny (osobno) | 8 000–25 000 zł | 1–2 tygodnie |
Na cenę wpływa liczba użytkowników, serwerów i lokalizacji, zakres (sama infrastruktura czy pełna zgodność), obecność testów penetracyjnych oraz złożoność środowiska, środowisko hybrydowe, łączące serwery lokalne z chmurą, jest droższe w audycie niż proste.
Przygotowanie jest proste. Wyznacz osobę decyzyjną do kontaktu, zbierz dokumentację (polityki bezpieczeństwa, umowy, licencje i faktury na oprogramowanie, schemat sieci), przygotuj dostępy oraz inwentarz sprzętu i wskaż systemy krytyczne dla firmy. Im lepiej przygotowane materiały, tym sprawniej i taniej przebiega audyt.
Warto wiedzieć, co audyty wykrywają najczęściej, bo to zwykle te same zaniedbania. Kopie zapasowe, których nigdy nie przetestowano pod kątem odtworzenia danych, z badań wynika, że problem dotyczy sporej części firm. Nieaktualne, niewspierane już systemy, w których nie da się załatać luk. Nadmiarowe uprawnienia i zapomniane konta po byłych pracownikach. Brak uwierzytelniania wieloskładnikowego, które w większości kluczowych usług stosuje zaledwie co czwarta firma. Oraz brak podstawowej dokumentacji i domyślne hasła. Każda z tych rzeczy to otwarte drzwi, o których istnieniu firma zwykle nie wie, dopóki ktoś ich nie wskaże.
W IQ-Networks traktujemy audyt IT jako niskoryzykowy pierwszy krok współpracy. Jako firma łącząca obsługę IT z cyberbezpieczeństwem sprawdzamy infrastrukturę i bezpieczeństwo, a wynik przekazujemy w formie zrozumiałej także dla nietechnicznego właściciela: z listą priorytetów i szacunkiem kosztów. Obsługujemy firmy w całej Polsce z oddziałów w Poznaniu i Warszawie. Napisz do nas, a ustalimy zakres i wycenimy audyt dopasowany do Twojej firmy. Szczegóły znajdziesz też na stronie cennika, a aktualne komunikaty o zagrożeniach publikuje CERT Polska.
Bieżąca obsługa dba o to, żeby IT działało na co dzień. Audyt to jednorazowa, niezależna ocena stanu i bezpieczeństwa całej informatyki, zakończona raportem z ryzykami i planem naprawczym. To zdjęcie sytuacji w danym momencie, a nie stała opieka.
Orientacyjnie od 3 000–6 000 zł netto dla małej firmy do 7 000–15 000 zł dla średniej, w zależności od liczby stanowisk, serwerów i zakresu. Test penetracyjny to osobny koszt. Dokładną cenę podajemy po poznaniu środowiska.
Zwykle od dwóch do czterech tygodni. Większość prac prowadzi się tak, by nie zakłócać bieżącej działalności, inwentaryzacja i analiza dzieją się w tle, a testy uzgadnia się na dogodny termin.
Dla większości małych firm nie jest bezpośrednio obowiązkowy. Obowiązkowy audyt dotyczy podmiotów kluczowych z ustawy o krajowym systemie cyberbezpieczeństwa (zwykle firmy od 50 osób w wybranych sektorach) oraz sektora finansowego. RODO wymaga jednak od każdej firmy regularnego testowania skuteczności zabezpieczeń.
Tak. Poza szczegółowym raportem technicznym otrzymujesz podsumowanie dla zarządu: najważniejsze ryzyka, koszt ich usunięcia i priorytety, opisane językiem biznesowym, a nie technicznym.
Profilaktycznie co 12 do 24 miesięcy, a dodatkowo po każdej większej zmianie (migracja, rozbudowa), po incydencie oraz przed zmianą dostawcy IT. Firmy objęte NIS2 mają obowiązek co najmniej raz na trzy lata.
Powiedz nam, czego potrzebujesz, a doradzimy i wdrożymy całość. Pierwsza konsultacja jest bezpłatna, bez zobowiązań.