Checklist cyberbezpieczeństwa dla sektora finansowego — 2026

Jak korzystać z tego checklistu

Poniższy checklist obejmuje kluczowe obszary cyberbezpieczeństwa dla instytucji finansowych w 2026 roku, uwzględniając wymagania DORA, NIS2, PCI DSS v4.0 i rekomendacje KNF. Każdy punkt oceniaj w skali: wdrożone / częściowo wdrożone / brak / nie dotyczy.

Zalecenie: przeprowadź ten przegląd z zespołem IT, CISO i compliance raz na kwartał.

Zarządzanie ryzykiem ICT (DORA Filar 1)

• Inwentaryzacja zasobów ICT — wszystkie systemy, aplikacje i dane zmapowane
• Framework zarządzania ryzykiem ICT zatwierdzony przez zarząd
• Regularna ocena ryzyka (minimum raz w roku, po każdym incydencie)
• Zarząd bezpośrednio nadzoruje i zatwierdza strategię cyberbezpieczeństwa
• Budget na cyberbezpieczeństwo wydzielony i adekwatny do ryzyka
• Business Impact Analysis (BIA) dla krytycznych procesów finansowych
• Plany ciągłości działania (BCP) przetestowane w ciągu ostatnich 12 miesięcy

Zarządzanie tożsamością i dostępem (IAM)

• Wieloskładnikowe uwierzytelnianie (MFA) na wszystkich krytycznych systemach
• MFA dla bankowości elektronicznej (SCA zgodne z PSD2)
• Privileged Access Management (PAM) z nagrywaniem sesji i rotacją haseł
• Unikalne ID dla każdego użytkownika (bez kont współdzielonych)
• Zasada najmniejszych uprawnień (least privilege) wdrożona i egzekwowana
• Automatyczny onboarding/offboarding powiązany z HR
• Kwartalne certyfikacje dostępu (access review)
• Separacja obowiązków (SoD) w systemach transakcyjnych
• Polityka haseł zgodna z PCI DSS v4.0 i DORA

Bezpieczeństwo sieci

• Segmentacja sieci — strefy: DMZ, wewnętrzna, SWIFT/core banking, management
• Firewalle z aktualnymi regułami, przegląd reguł co 6 miesięcy
• Szyfrowanie TLS 1.2+ na wszystkich połączeniach przesyłających dane wrażliwe
• VPN z MFA dla dostępu zdalnego
• Ochrona przed DDoS — scrubbing, CDN, rate limiting
• Monitoring ruchu wschód-zachód (lateral movement detection)
• Regularne testy segmentacji sieci

Bezpieczeństwo aplikacji i API

• Bezpieczeństwo API Open Banking: OAuth 2.0, rate limiting, walidacja danych
• API Gateway centralnie zarządzający ruchem API
• Web Application Firewall (WAF) na bankowości elektronicznej
• Secure SDLC — code review bezpieczeństwa, testy SAST/DAST
• Regularne testy penetracyjne aplikacji webowych i mobilnych
• Ochrona przed OWASP Top 10 i OWASP API Top 10

Monitoring i detekcja (SOC)

• SOC działający 24/7 (in-house lub as a Service)
• SIEM zbierający logi z minimum 15+ źródeł
• Reguły korelacji specyficzne dla sektora finansowego (BEC, credential stuffing, fraud)
• Średni czas detekcji (MTTD) < 1 godziny dla krytycznych incydentów
• Playbooki SOAR dla scenariuszy: BEC, DDoS, ransomware, insider fraud
• Threat intelligence z feedów branżowych (FS-ISAC, CERT)
• Regularne ćwiczenia threat hunting

Raportowanie incydentów (DORA Filar 2)

• Procedura raportowania incydentów ICT zgodna z DORA (4h/72h/30 dni)
• Klasyfikacja incydentów wg wpływu na usługi finansowe
• Zespół Incident Response z przypisanymi rolami
• Plan komunikacji kryzysowej (klienci, regulatorzy, media)
• Post-incident review po każdym poważnym incydencie
• Rejestr incydentów z analizą trendów

Testowanie odporności (DORA Filar 3)

• Roczny plan testów cyberbezpieczeństwa
• Kwartalne skanowanie podatności (wewnętrzne i zewnętrzne)
• Roczne testy penetracyjne sieci, aplikacji i API
• Testy scenariuszowe: DDoS, ransomware, BEC, insider threat
• TLPT (Threat-Led Penetration Testing) co 3 lata (dla systemowo ważnych instytucji)
• Testy przełączania na infrastrukturę zapasową (failover)
• Testy odtwarzania z kopii zapasowych (RTO/RPO weryfikacja)

Zarządzanie dostawcami ICT (DORA Filar 4)

• Centralny rejestr wszystkich dostawców ICT
• Ocena ryzyka koncentracji dostawców
• Klauzule bezpieczeństwa w umowach z dostawcami ICT
• Prawo do audytu i testów penetracyjnych u dostawców
• Plany wyjścia (exit strategy) dla krytycznych dostawców
• SLA obejmujące wymagania bezpieczeństwa i dostępności
• Regularne przeglądy compliance dostawców

Ochrona danych kart (PCI DSS)

• Zakres PCI DSS zdefiniowany i zminimalizowany (tokenizacja, segmentacja)
• Dane kart szyfrowane w spoczynku i w tranzycie
• Kwartalny skan ASV (Approved Scanning Vendor)
• Roczny audyt PCI DSS (QSA lub SAQ)
• PAN maskowany w logach i interfejsach (pierwsze 6 / ostatnie 4 cyfry)
• Retencja danych kart ograniczona do minimum wymaganego

Szkolenia i awareness

• Szkolenia awareness cyberbezpieczeństwa dla wszystkich pracowników (minimum raz w roku)
• Dedykowane szkolenia dla treasury, compliance, IT
• Kwartalne symulacje phishingowe
• Szkolenia zarządu z odpowiedzialności DORA
• Szkolenia z rozpoznawania BEC dla pracowników obsługujących przelewy

Backup i odtwarzanie

• Strategia backup 3-2-1 (3 kopie, 2 media, 1 offline)
• Backup offline/air-gapped chroniony przed ransomware
• Regularne testy odtwarzania (minimum raz na kwartał)
• RTO i RPO zdefiniowane i przetestowane dla systemów krytycznych
• Kopie zapasowe szyfrowane i chronione kontrolą dostępu

Następne kroki

1. Przeprowadź self-assessment z użyciem tego checklistu
2. Zidentyfikuj punkty ocenione jako “brak” lub “częściowo wdrożone”
3. Priorytetyzuj wg ryzyka i wymagań regulacyjnych
4. Zamów audyt bezpieczeństwa dla profesjonalnej oceny
5. Opracuj roadmapę wdrożenia z terminami i budżetem

Umów bezpłatną konsultację — pomożemy ocenić Twój stan cyberbezpieczeństwa i opracować plan działania.

Cyberbezpieczeństwo w Twojej branży

Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:

• Cyberbezpieczeństwo dla branży: Finanse i bankowość

Tematy powiązane

Zobacz również:

• NIS2 w szpitalach — compliance
• NIS2 w JST — compliance
• Kalkulator wyceny audytu bezpieczeństwa