Confidential · Limited Distribution

Security assessment report

State of
digital
security

Business Version — for the Board and Risk Committee

Client

NovaTech Solutions Sp. z o.o.

Report ID

REF-2026-0429-001

Document version

1.0

Assessment period

29.04.2026 09:00 — 18:00

Report date

29.04.2026

Author

Tomasz Kowalski / Penetration Team

— PREAMBLE

Confidentiality and distribution clause

Document with limited distribution

This document contains sensitive information regarding the state of digital security of NovaTech Solutions Sp. z o.o.. Distribution is limited exclusively to the named recipients listed.

Unauthorised disclosure of the report contents may materially increase organisational risk, including the risk of a targeted cyberattack. Handling of the document is governed by the recipient's internal Information Classification Policy and the confidentiality of processsing requirements of Article 32 GDPR.

All copies of the document — paper or digital — are subject to the same protection regime as the original. Once retention of the document is no longer justified, electronic copies must be securely deleted and paper copies destroyed in a manner that prevents reconstruction of the content.

List of authorised recipients

Role	Full name	Access date
Board President / CEO	Marek Wiśniewski	29.04.2026
Board Member for Risk	Anna Kowalczyk	29.04.2026
CISO / Security Director	Piotr Zieliński	29.04.2026
Data Protection Officer	Katarzyna Lewandowska	29.04.2026
Compliance / Legal Counsel	Michał Dąbrowski	29.04.2026

Document control

Version	Data	Author	Changes
1.0	29.04.2026	Tomasz Kowalski	First issue

— NAVIGATION

About this report

We transyearse the technical assessment into the language of business decisions — amounts, deadlines, accountability, compliance.

Goal and recipients

This report presents the results of a non-invasive assessment of the security state of the externally accessible digital assets of NovaTech Solutions Sp. z o.o.. Unlike d towarzyszącego mu Raportu Technicznego (ref. TECH-2026-0429-001), this dokument adresowany is to osób podejmujących business decisions: członków boardu, kadry kierowniczej najwyższego szczebla, członków komitetów risk, oficerów compliance and kierownictwa wyższego szczebla.

Goale dokumentu:

Translating technical findings into business risk language — with quantification of potential financial, operational, regulatory and reputational exposure.
Provision of clear, implementable investment priorities, underpinned by risk-based rationale.
Provision of material ready for the board, odpowiedzialnego to prezentacji on komitetach risk, audit documentation and strategic planning discussions.

Scope and granice oceny

The assessment covered externally visible attack surface organisation — i.e. the digital footprint that any external party (client, partner or potential adversary) is able to observe without authentication or privileged access. The scope included publicly available web applications, DNS infrastructure, mail services, TLS/SSL configurations, HTTP security controls and externally accessible network services.

What was performed

Identification and cataloguing of all discoverable assets and services accessible from the Internet.
Assessment of the security configuration of discovered services against industry standards.
Assessment of controls relevant to compliance (encryption standards, security headers, certificate management).
Mapping of findings to business risk categories and regulatory frameworks.

What was not performed

No system was exploited, penetrated or disrupted.
No internal network testing, social engineering or phishing simulations were performed.
No authenticated application testing or source-code review was performed.
No access was obtained to any client data during the assessment, nor was such data processed.

How to read this report

Findings are grouped by business risk domains, , not by tool or technical protocol. Each finding contains a plain-language explanation, the business consequence of inaction, a risk assessment and a recommended action direction together with an estimated investment level. A full glossary is provided in Appendix B.

Methodological note: The assessment is a point-in-time snapshot and describes the state only as of the date the inventory activities were completed. The results neither confirm nor exclude the possibility of exploiting specific vulnerabilities — for that purpose, separate authorised penetration tests are recommended.

— SECTION 02

Strategic risk summary

One glance. Three top takeaways. A clear security-posture statement ready to be minutesed at the risk committee.

External security state

ELEVATED

The external security state of NovaTech Solutions Sp. z o.o. stanowi elevated level risk biznesowego. The assessment identified a total of 9 findings affecting 9 externally visible assets.

Distribution of findings by risk level

Total: 10 findings · Stan on the day of completion oceny

Critical

1

10%

High

1

10%

Medium

0

0%

Low

0

0%

Informational

8

80%

Level risk	Liczba	Tłumaczenie biznesowe
Critical	1	Bezpośredaysa ekspozycja on naruszenie danych, zakłócenie services or karę regulacyjną. Requires remediation under patronatem boardu w ciągu 30 days.
High	1	Istotna ekspozycja, materialnie zwiększająca prawdopodobieństwo incydentu security. Rekomendowana remediation w ciągu 60 days.
Medium	0	Gaps osłabiające postawę obronną; may stanowić naruszenie obowiązków compliance. Remediation w ciągu 90 days jako element prac planowych.
Low	0	Possibilities wzmocnienia configuration odpowiadające dobrym praktykom. Adresowanie w framework standardowych cyclei zmian.
Informational	8	Obserwacje warte odnotowania; without bezpośredaysego risk, ale użyteczne for planowania strategicgo.

Trzy wnioski for boardu

01

Przestarzałe encryption standards

Sesje płatnicze clientów on [asset] wykorzystują protokoły szyfrowania, które nie spełniają już requiresń PCI DSS 4.0, co naraża organisation on niecompliance and kary to [X]% wolumenu transakcji.

02

Nieboardzane digital assets

1 systemów discovered w ocenie nie figuruje w reisrze zasobóin the organisation — stanowią one nienadzorowaną attack surface, której nie can łatać, monitorować ani objąć ubezpieczeniem.

03

Brak ochronnych kontrolek reviewarkowych

Kluczowe aplikacje skierowane to clientów nie posiadają standardowych nagłówków security HTTP, co zwiększa vulnerability on attacki kompromitujące sesje użytkowników and podważające zaufanie clientów.

Ogólna ocena postawy: Target 172.17.0.2 (Jenkins CI/CD server w wersji 2.346.1) requires natychmiastowej remediation z powodu krytycznej vulnerabilities CVE-2024-23897 (CVSS 9.8) pozwalającej on odczyt arbitralnych plików przez CLI Jenkins. Obecność wielu publicch exploitów znacząco zwiększa risk eksploatacji. Identified 1 finding krytyczne and 1 highe requiresjące pilnego actions. Configuration HTTPS is requiresna for ochrony poświadczeń.

Top 3 risks requiresjących uwagi boardu

Macierz risk — prawdopodobieństwo × business impact

Każdy punkt = jedno finding · Pozycja wyznaczona przez Business Impact Engine

Critical

High

Medium

Low

Table below streszcza trzy risk about najwyższej istotności biznesowej zidentyfikowane w ocenie. Pełna lista findings together z kartami szczegółowymi znajduje się w Sekcji 6 and Appendix C.

Ranga	Motyw	Impact biznesowy	Prawdopodob.	Risk ogólne	Rekomendowane action
1	Eksponowane interfejsy boardzania	Bezpośredaysa ścieżka uzyscania nieuprawnionego dostępu administracyjnego. Risk kompromitacji całej infrastructure.	High	Critical	Limitation dostępu to allowlisty IP / VPN w ciągu 7 days.
2	Słaba configuration TLS	Możliwość przechwycenia danych clientów przesyłanych to serwisu. Niecompliance z PCI DSS 4.0 § 4.2.1.	Medium	High	Wyłączenie protokołów legacy (TLS 1.0/1.1) — zmiana konfiguracyjna w ciągu 14 days.
3	Niepotrzebne ekspozycje services	Każda dodatkowo eksponowana service zwiększa attack surface; legacy protokoły are atrakcyjnym goalsm.	Medium	High	Przegląd reguł firewall and wyłączenie services nierequiresnych w ciągu 30 days.

Mapa drogowa remediation w skrócie

Horyzont 1

Natychmiast (0–7 days)

Departmentania pilne

Wyłączenie ekspozycji, blokada dostępu, rotacja poświadczeń.

Horyzont 2

Krótkodeadlineowo (1–4 weekse)

Patche & configuration

Aktualizacje, wzmocnienie configuration, wymuszenie MFA, ograniczenie boardzania.

Horyzont 3

Średaysodeadlineowo (1–3 months)

Architektura

Segmentacja network, management zasobami, strojenie SIEM, ciągły monitoring attack surface.

— SECTION 03

Key metrics — management dashboard

Metrics designed for quarterly reporting and presentation at risk committees. Each metric has an industry target and a colour status.

Detected assets external

1

Wg reisru: 1

Assets z ust. criticalmi/highmi

1

Goal: < 10%

Średaysa ocena TLS

1

Goal: A or wyższa

Services ujawniające wersje

2

Goal: 0%

Assets z kompletnymi nagłówkami HTTP

0

Goal: 100%

Certificatey wygasające w 30 days

0

Goal: 0

Strefy DNS z transferem AXFR

0

Goal: 0

Domains z SPF + DKIM + DMARC

[N] / [N]

Goal: 100%

Findings wskazujące niecompliance

2

Goal: 0

Średays czas remediation (poprz.)

[N] days

Goal: ≤ 30 days (kryt.)

Porównanie trendu względem poprzedaysej oceny

Porównanie z poprzedayare oceną

Wartości szablonowe · Aktualne dane wstrzykiwane przez Business Impact Engine

Metryka	Poprzedaysa ocena	Bieżąca ocena	Trend
Łączna number of findings	15	13	↘
Findings krytyczne	3	1	↘
Pokrycie assets	84	65	↗
Średaysa ocena TLS	71	82	↘

Note: If niniejsza ocena is pierwszą in the organisation, tabelę trendów should pominąć — raport ustanawia wówczas linię bazową for przyszłych porównań.

— SECTION 04

Business impact analysis

Four impact dimensions that matter most to leadership: financial, operational, regulatory, reputational.

4.1 Ekspozycja finansowa

Costy incydentu and analiz powłamaniowych: szacowane on 1 140 000 PLN w oparciu about średayse branżowe (ref. IBM Cost of a Data Breach Report).
Kary regulatory: 950 000 PLN findings odnosi się bezpośrednio to kontrolek requiresnych przez RODO / NIS2 / DORA.
Przerwa działalności: services przychodotwórcze potencjalnie narażone on disruption. Szacowany cost przestoju: 2 500 PLN .
Powiadomienia and monitoring kredytowy: obowiązki notyfikacyjne regarding UODO, cost ok. 500 000 PLN on rekord.
Implications ubezpieczeniowe: findings may wpłynąć on ubezpieczalność and wysokość składki at odnowieniu polisy.

4.2 Impact operational

Risk dostępności services: 1 assets obsługuje services ze znanymi błędami configuration, możliwymi to wykorzystania w attackach DoS.
Zaufanie partnerów and łańcucha dostaw: widoczne weaknesses may obniżać oceny w third-party risk assessment u clientów enterprise.
Shadow IT / nieboardzane assets: 1 discovered assets nie figuruje w oficjalnym reisrze, znajduje się poza standardowymi processami patchowania and monitoringu.
Złożoność technologiczna: wykryto 3 różnych stacków, co podnosi cost utrzymania.

4.3 Ekspozycja regulacyjna and prawna

Regulacja	Ust.	Konsekwencja
NIS2	10	Postępowanie nadzorcze, kary to 10 mln EUR / 2% obrotu
DORA (sektor financial)	8	Postępowanie KNF, raportowanie incydentów
RODO	10	Postępowanie UODO, kary to 20 mln EUR / 4% obrotu
ISO 27001:2022	10	Niecompliance auditowe, risk certyfikacji
EU AI Act	10	Sankcje administracyjne — w zależności from kategorii systemu

4.4 Impact reputational

Erozja zaufania clientów: widoczne wskaźniki słabego security (ostrzeżenia reviewarki, brak HTTPS) bezpośrednio wpływają on percepcję clienta.
Ekspozycja medialna: incydenty wokół domen zidentyfikowanych in the report należą to najczęściej relacjonowanych w mediach branżowych.
Odpowiedzialność osobista boardu: frameworks regulatory (NIS2, DORA) cand częściej nakładają osobistą odpowiedzialność on członków boardu for uchybienia w boardzaniu cyberrisksiem. This report stanowi dowód shouldtej staranności after wdrożeniu recommendations.

Ekspozycja zagregowana — wymiar financial

Łączna szacowana ekspozycja finansowa resulta z sumy potencjalnych costów bezpośredaysch (incydent, fix, notyfikacje), kar regulatory and strat pośredaysch (przerwa, churn, cost kapitału). For organisation about profilu and skali NovaTech Solutions Sp. z o.o. szacunek mieści się w przedziale:

Ekspozycja zagregowana (nieremediowana)

2.5 — 8.5mln PLN

Szacunek opiera się on metodologii Business Impact Engine — łączącej dane branżowe (CERT Polska, ENISA), parametry organisation (sektor, wielkość, model przetwarzania danych) and wagi risk przypisane wykrytym ustaleniom. Liczba ma charakter poglądowy and nie zastępuje formalnej oceny aktuarialnej ani auditu.

Komentarz interpretacyjny

Powyższa kwota nie oznacza oczekiwanej losses — oznacza maksymalną ekspozycję w scenariuszu, w którym żadna z discovered weaknesses nie will be zaadresowana, a doszłoby to incydentu wykorzystującego all available wektory. Realny cost będzie zależał od:

Tempa remediation: każda wdrożona recommendation proporcjonalnie obniża wartość ekspozycji.
Zdolności wykrywania and odpowiedzi (SOC): dojrzałość zespołu security skraca czas wykrycia z days to hours.
Polisy cyber: obecność and scope ubezpieczenia obniżają realny cost udziału własnego organisation.
Stanu compliance wstępnej: dobrze udokumentowana shouldta staranność may materially obniżać wymiar kar regulatory.

Recommendation boardcza: Wartość ekspozycji should be prezentowana komitetowi risk razem z proponowanym budgetem remediation (Section 9). Stosunek cost-korzyść w branży utrzymuje się typowo w przedziale 1:8 to 1:15 — każda złotówka zainwestowana w remediację redukuje 8–15 zł potencjalnej ekspozycji.

— SECTION 05

Map of digital assets

What the outside world sees when it looks at NovaTech Solutions Sp. z o.o. — business perspective, not engineering.

5.1 Summary assets

Kategoria	Liczba	Exampley	Funkcja biznesowa
Aplikacje webowe	1	www.example.com, portal.example.com	Obsługa clientów, portale partnerskie
Endpointy API	1	api.example.com	Backendy application mobilnych, integracje
Infrastructure pocztowa	1	mail.example.com, rekordy MX	Korespondencja korporacyjna, powiadomienia transakcyjne
Infrastructure DNS	1	ns1.example.com	Rozwiązywanie nazw for all services
Services niestandardowe	1	SSH, FTP, porty bazodanowe	Dostęp administracyjny, systemy legacy
Inwentarz certificateów	1	Wszystkie services z TLS	Encryption danych w tranzycie

5.2 Obserwacje dotyczące boardzania zasobami

Inventory vs. wykrycie: Ocena wykryła 1 externally visible assets. Oficjalny reisr zasobóin the organisation wymienia 1. Różnica 1 assets reprezentuje systemy existce poza formalnym nadzorem — niepodlegające rutynowemu patchowaniu, monitorowaniu ani boardzaniu zmianą.

Risk biznesowe nieboardzanych assets: Każdy nienadzorowany asset stanowi potencjalny punkt wejścia poza kontrolką organisation. Assets te nie are objęte progframeworkmi vulnerability management, are niewidoczne for monitoringu security and may nie be uwzględaysone w planowaniu ciągłości actions.

Recommendation: Uzgodaysj listę discovered assets (Appendix C Raportu Technicznego) z bazą CMDB or reisrem zasobóin the organisation. Przypisz ownera, zastosuj standardowy baseline wzmocnienia configuration and włącz w bieżący monitoring.

5.3 Różnorodność technologiczna

Ocena zidentyfikowała 3 różnych stacków technologicznych w externalm śladzie organisation. Różnorodność technologiczna zwiększa złożoność operacyjną and scope ekspertyzy requiredj to utrzymania bezpiecznych configuration. Kluczowe obserwacje:

Servery webowe: mieszanka Apache, Nginx and IIS on różnych zasobach — zwiększa ciężar patchowania and risk niespójnej configuration.
Biblioteki TLS: wykryto wiele wersji OpenSSL, co sugeruje niespójne praktyki update.
Frameworki application: fingerprinting ujawnił 2 różnych frameworków, część z publicznie znanymi vulnerabilitiesami w discovered wersjach.

Rozważanie strategic: Organizacje about niższej różnorodności technologicznej osiągają szybsze cyclee patchowania, bardziej spójne configurations security and niższy narzut operational. Konsolidacja technologiczna should be rozważona jako inicjatywa średaysodeadlineowa.

5.4 Ekspozycja w cycleu client ↔ partner

Z perspektywy biznesowej external ślad cyfrowy organisation is jej publiczną tarczą — tym, co widzą:

Interesariusz	Co widzi	Decision, którą podejmuje
Client B2B / korporacyjny	Configuration TLS, certificatey, headers security	Włączenie / wyłączenie z preferowanej listy dostawców
Ubezpieczyciel cyber	SPF/DKIM/DMARC, eksponowane services, status patchy	Akceptacja risk and wycena składki
Auditor PCI / ISO	Standardy szyfrowania, kontrolki networkowe, segmentacja	Wystawienie certificateu or niecompliance
Potencjalny napastnik	Powierzchnia attacku, wycieki informacyjne, sygnatury	Wybór celu and wektora
Inwestor / DD	Security posture jako element due diligence	Decision inwestycyjna and wycena

— SECTION 06

Findings by business risk domain

W przeciwieństwie to Raportu Technicznego, który grupuje findings wg narzędzia and protokołu, ta section porządkuje je wokół kategorii risk management — tak, jak omawiają je boardy and komitety risk.

DOMENA 01 Vulnerabilities oprogramowania Jenkins

Jenkins w wersji 2.346.1 posiada krytyczną vulnerability CVE-2024-23897 pozwalającą on odczyt arbitralnych plików systemowych przez CLI. Umożliwia to attackującym dostęp to wrażliwych danych konfiguracyjnych, poświadczeń and kluczy.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-001	Jenkins CLI Arbitrary File Read (CVE-2024-23897, CVSS 9.8)	Możliwość odczytu arbitralnych plików on serverze, w tym poświadczeń and kluczy. Liczne public exploity available.	Critical	172.17.0.2:50000
BF-002	Jenkins 2.346.1 - wiele vulnerabilities (CVE-2023-27898, CVE-2024-43044 and inne)	Historyczne vulnerabilities RCE, XSS, CSRF. Requiresna update to najnowszej wersji LTS.	High	172.17.0.2:50000

Inwestycja w remediację

Niski/Średays — update Jenkins to wersji 2.442+ or 2.426.3 LTS.

Rekomendowany owner

DevOps / CISO

Deadline docelowy

Natychmiast — 7 days

DOMENA 02 Brakujące headers security HTTP

Server Jenkins nie wysyła standardowych nagłówków security HTTP, co zwiększa vulnerability on attacki kompromitujące sesje użytkowników and umożliwia attacki typu clickjacking, XSS and inne.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-003	Brak 12 nagłówków security (CSP, X-Frame-Options, HSTS, etc.)	Zwiększona vulnerability on attacki XSS, clickjacking, MIME-sniffing. Nieprzestrzeganie dobrych praktyk security.	Informational	172.17.0.2:50000

Inwestycja w remediację

Niski — configuration reverse proxy (nginx) z nagłówkami security.

Rekomendowany owner

DevOps / Infrastructure

Deadline docelowy

30 days

DOMENA 03 Configuration network and services

Na serverze wykryto services and configurations requiresjące uwagi from the perspective of security infrastructure.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-004	Brak HTTPS — dostęp only przez HTTP	Poświadczenia logowania przesyłane jawnym tekstem. Risk przechwycenia danych.	Informational	172.17.0.2:50000
BF-005	WAF wykryty on porcie Jenkins	Podstawowa ochrona obecna, ale niewystarczająca for powstrzymania exploitacji CVE-2024-23897.	Informational	172.17.0.2:50000
BF-006	Page logowania Jenkins dostępna without authentication	Potencjalny cel attacków brute-force. Required polityki blokady konta.	Informational	172.17.0.2:8080
BF-007	Plik security.txt nie znaleziono or niedostępny	Brak compliance z RFC 9116 — brak instrukcji for badaczy security.	Informational	172.17.0.2:50000
BF-008	Jetty 9.4.45 — historyczne vulnerabilities	Wiele starszych vulnerabilities w tym XSS and path traversal. Requiresna update.	Informational	172.17.0.2:8080
BF-009	Server działa on bazie Linux (Docker)	Informacja reconnaissance — napastnik wie, że ma to czynienia z kontenerem Docker.	Informational	172.17.0.2
BF-010	Brak otwartych portów UDP	Ograniczona attack surface w protokołach UDP — pozytywny aspekt security.	Informational	172.17.0.2

Inwestycja w remediację

Średays — configuration HTTPS, update Jetty, implementacja nagłówków security.

Rekomendowany owner

DevOps / Infrastructure

Deadline docelowy

60 days

DOMENA 03 Uwierzytelnienie poczty and ochrona marki

Mechanizmy SPF, DKIM and DMARC chronią Twoich clientów before phishingiem podszywającym się under Twoją domenę. Ich brak oznacza, że ktokolwiek may wysyłać e-maile w imieniu organisation — z poważnymi consequencemi reputationalmi and finansowymi.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-007	Domains pocztowe nie posiadają polityki DMARC w trybie egzekwującym (quarantine / reject).	Phishing imienny w imieniu Twojej organisation pozostaje technicznie niezablokowany.	High	[N]
BF-008	Nie all domains używane to wysyłki posiadają SPF and DKIM.	Brak verification oznacza, że e-maile from Ciebie may trafiać to spamu, a podszywanie się is łatwiejsze.	Medium	[N]

Inwestycja w remediację

Niski / Średays — implementslne stageowo (none → quarantine → reject), requires monitoringu raportów.

Rekomendowany owner

Mail Operations / IT Infrastructure

Deadline docelowy

60–90 days (implementation stageowe)

DOMENA 04 Segmentacja network and ekspozycja services

Niepotrzebnie eksponowane services (SSH, RDP, bazy danych, protokoły legacy) zwiększają attack surface w sposób nieproporcjonalny to ich wartości operacyjnej. Każda such service to „drzwi”, które Twój zespół musi obronić.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-009	Services pomocnicze (SSH, porty bazodanowe, protokoły legacy) are available from the Internet.	Każda eksponowana service to potencjalny punkt wejścia. Wystarczy słabe poświadczenie or jeden CVE.	High	[N]
BF-010	Transfer strefy DNS (AXFR) is dozwolony for dowolnego żądającego.	Każdy may pobrać kompletną mapę Twojej struktury DNS, ujawniając pełen inwentarz systemów.	Medium	[N stref]

Inwestycja w remediację

Niski to Mediumgo — zmiany reguł firewall, review segmentacji networkowej.

Rekomendowany owner

Network / Infrastructure Team

Deadline docelowy

30 days for services criticalch, 60 days pełny review

DOMENA 05 Higiena security and kontrolki obronne

Współczesne reviewarki posiadają wbudowane funkcje ochronne — ale muszą zostać aktywnie włączone przez operatora witryny through headers HTTP. Brak nagłówków pozostawia clientów podatnymi on przejęcia sesji, kradzież danych and wstrzyknięcia złośliwej content.

Ref.	Finding (proste słownictwo)	Konsekwencja biznesowa	Risk	Assets
BF-011	Kluczowe headers security are nieobecne w odpowiedziach application webowych.	Przeglądarki clientów nie may egzekwować ochrony before XSS, clickjacking ani wstrzykiwaniem content.	Medium	[N]
BF-012	Atrybuty security cookies are skonfigurowane nieprawidłowo.	Tokeny sesyjne may be przesyłane niezabezpieczone or odczytywane przez złośliwe skrypty — possibility przejęcia konta.	Medium	[N]
BF-013	Nie wykryto WAF (Web Application Firewall) on kluczowych zasobach skierowanych to clienta.	Brak warstwy automatedj obrony blokującej typowe wzorce attacków before dotarciem to application.	Medium	[N]

Inwestycja w remediację

Niski — configuration nagłówków HTTP; Średays — implementation WAF.

Rekomendowany owner

Application Security / DevOps

Deadline docelowy

30 days for nagłówków, 90 days for implementation and strojenia WAF

Synteza Sekcji 6: Pięć powyższych domen odpowiada for większość ekspozycji wskazanej w Sekcji 4. Inwestycja w trzy pierwsze (Ochrona danych, Wyciek informacji, Uwierzytelnienie poczty) typowo daje 70% redukcji risk — at stosunkowo lowm koszcie. Powase dwa requiresją większego nakładu organizacyjnego, ale mają strategic znaczenie for long-termj postawy.

— SECTION 07

Regulatory implications and compliance

Mapowanie konkretnych findings to regulatory frameworks materialch for NovaTech Solutions Sp. z o.o. — wsparcie for compliance officera, radcy legalgo and ubezpieczyciela.

7.1 Macierz mapowania compliance

Ust. ref.	Gap kontrolna	NIS2	DORA	RODO	ISO 27001:2022	EU AI Act
BF-001, BF-003	Słabe / brakujące encryption w tranzycie	Art. 21 ust. 2(d)	Art. 9	Art. 32 ust. 1(a)	A.8.24	—
BF-002	Gaps w boardzaniu certificateami	Art. 21	Art. 9	Art. 32	A.8.24	—
BF-004, BF-005	Wyciek informacyjny	Art. 21 ust. 2(b)	—	Art. 32 (pośredayso)	A.8.12	—
BF-007, BF-008	Gaps w uwierzytelnianiu poczty	Art. 21 ust. 2(g)	Art. 9	Art. 32 (pośredayso)	A.8.21	—
BF-009	Niepotrzebna ekspozycja services	Art. 21 ust. 2(e)	Art. 9	Art. 32	A.8.20	—
BF-011, BF-012	Brakujące headers / kontrolki cookies	Art. 21 ust. 2(d)	Art. 9	Art. 32	A.8.26	—

7.2 Kluczowe obserwacje dotyczące compliance

NIS2 — Dyrektywa about networkach and systemach informacyjnych

13 findings dotyczy wymogów art. 21 dyrektywy NIS2 in the scope of środków risk management cybersecurity. Organizacje w sektorach criticalch and materialch podlegają nadzorowi (Pełnomocnika Rządu ds. Cybersecurity / CSIRT GOV / CSIRT MON / CSIRT NASK), a kary for niecompliance may sięgać 10 mln EUR or 2% rocznego globalnego obrotu.

RODO — Rozporządzenie about ochronie danych osobowych

13 findings odnosi się to obowiązku z art. 32 dotyczącego implementation „odpowiedaysch środków technicznych and organizacyjnych” for ochrony danych. UODO wydał decisions administracyjne for uchybienia in the scope of szyfrowania, kontrole dostępu and monitoringu security.

ISO 27001:2022

Organizacje utrzymujące or aspirujące to certyfikacji ISO 27001 should zwrócić uwagę, że 13 findings stanowi potencjalne niecompliance (non-conformities), które may zostać podaysesione during auditu nadzorującego or recertyfikującego.

7.3 Materiał dowodowy for auditu and rękojmi

This report, together z towarzyszącym mu Raportem Technicznym, stanowi udokumentowany dowód, że organisation przeprowadziła proaktywną ocenę security. W połączeniu z udokumentowanym planem remediation and dowodami implementation poprawek, wspiera wymóg „ciągłego doskonalenia” obecny w większości regulatory frameworks and demonstruje shouldtą staranność przed:

Interesariusz	Co dokumentuje raport	Wartość biznesowa
UODO / Data Protection Officer	Spełnienie obowiązku art. 32 RODO	Łagodzenie ewentualnych kar; obniżenie wagi naruszenia
Auditor PCI / ISO	Dowód aktywnego programu risk management	Brak niecompliance auditowych; utrzymanie certificateu
Ubezpieczyciel cyber	Pomiar bazowy w underwritingu polisy	Możliwość uzyscania polisy / korzystniejszych conditions
Client enterprise (third-party risk)	Odpowiedź on vendor questionnaire	Skrócenie cycleu sprzedażowego, wyższy tier dostawcy
Inwestor / DD	Element security due diligence	Wsparcie wyceny; redukcja dyskontów risk

Note prawna: This report nie zastępuje formalnej oceny legalj compliance ani auditu certyfikującego. Is dowodem shouldtej staranności technicznej and materiałem wyjściowym to działań compliance and legalch. Ostateczne interpretacje regulatory requiresją konsultacji z radcą legalm specjalizującym się w danej dziedzinie.

— SECTION 08

Competitive and reputational considerations

Security is increasingly part of market positioning — not just a regulatory obligation.

8.1 Perspektywa risk strony trzeciej

Klienci enterprise and partnerzy cand częściej przeprowadzają oceny security stron trzecich before zawarciem or odnowieniem relacji handlowych. Oceny te badają typowo te same wskaźniki external, które ewaluowane are w thism raporcie — konfigurację TLS, headers security, authentication poczty, eksponowane services and wycieki informacyjne.

13 findings zidentyfikowanych w tej ocenie wasoby najpewniej oflagowanych podczas reviewu security przez clienta or partnera, potencjalnie wpływając na:

Poprofitiwanie nowego biznesu (szczególnie kontraktów enterprise and sektora publicgo)
Odnowienia partnerstw and odpowiedzi on kwestionariusze zakupowe
Tier'ing dostawców and status preferowanego kontrahenta

8.2 Benchmark branżowy

W oparciu about nasze doświadczenie w prowadzeniu podobnych ocen w sektorze [branża], obecna postawa organisation is [above średaysej / at the level of / below średaysej] względem grupy porównawczej. Kluczowe różnice:

Mocne strony

Konsekwentne implementation TLS we all punktach końcowych
Aktywne management cycleem życia certificateów
Monitoring DMARC obecny for głównej domains
[Inne mocne strony specyficzne for clienta]

Gaps względem grupy porównawczej

Adopcja nagłówków security below średaysej sektorowej
Eksponowane services pomocnicze above typowego levelu
Brak WAF on zasobach front-of-house
[Inne gaps specyficzne for clienta]

8.3 Kwantyfikacja risk reputationalgo

Badania Ponemon Institute and analogicznych ośrodków konsekwentnie pokazują, że publicznie ujawnione incydenty security skutkują mierzalnymi consequencemi:

Średaysa loss clientów (12 mies.)

3–5%

Customer churn after incydencie

Impact on cenę akcji (30 days)

3–7%

Spadek after publicm ujawnieniu

Czas odzyscania zaufania marki

2–4lata

Powrót to baseline'u sentymentu

Typy weaknesses zidentyfikowanych w thism raporcie — w szczególności wokół szyfrowania danych and wycieku informacyjnego — należą to najczęściej exploitedch w incydentach generujących uwagę publiczną.

— SECTION 09

Investment priorities and roadmap

Three time horizons. Specific actions, costs and owners. Ready for budget allocation and a board vote.

Horyzont 1 — requires sponsorstwa boardu

Departmentania pilne (0–30 days)

Critical

#	Departmentanie	Adres. ust.	Wysiłek	Cost	Redukcja risk
1	Wyłączenie protokołów TLS 1.0 and 1.1 on all servicech externalch	BF-001	Niski — zmiana konfig.	Minimalny / wewn.	Critical → Rozwiązane
2	Limitation dostępu to interfejsów administracyjnych przez IP allowlist / VPN	BF-006, BF-009	Niski–Średays	Minimalny / wewn.	High → Rozwiązane
3	Odnowienie / wymiana certificateów zbliżających się to wygaśnięcia, migracja to automatedgo boardzania (ACME)	BF-002	Niski	Minimalny	High → Rozwiązane

Horyzont 2 — planowane dostarczenie

Krótkodeadlineowo (30–90 days)

High

#	Departmentanie	Adres. ust.	Wysiłek	Cost	Redukcja risk
4	Wdrożenie kompletnych nagłówków security HTTP we all zasobach webowych	BF-011, BF-012	Średays — requires testów	Minimalny / wewn.	Medium → Rozwiązane
5	Postępujące implementation polityki DMARC: none → quarantine → reject, for all domen	BF-007, BF-008	Średays — stageowe	Niski	High → Rozwiązane
6	Usunięcie ujawniania wersji and technologii z odpowiedzi servers and stron errors	BF-004, BF-005	Niski	Minimalny / wewn.	Medium → Rozwiązane

Horyzont 3 — program budgetowany

Inicjatywy strategic (90+ days)

Medium / Strategiczne

#	Departmentanie	Adres. ust.	Wysiłek	Cost	Redukcja risk
7	Ewaluacja and implementation WAF for application skierowanych to clienta	BF-013	Wysoki — zakup, konfig., strojenie	Średays–Wysoki	Medium → Mitygowane
8	Wdrożenie ciągłego monitoringu externalj attack surface (EASM)	Wszystkie	Średays — narzędzie + process	Subskrypcja roczna	Ciągła redukcja risk
9	Uzgodaysenie inwentarza assets z CMDB, ustanowienie governance for all discovered assets	BF-006, Shadow IT	Średays — koordynacja zespołów	Niski–Średays	High → Boardzane

9.4 Summary investment

Horyzont czasowy	Łączna szac. investment	Osiągnięta redukcja risk
Departmentania pilne (0–30 days)	5	Adresuje 1 ust. criticalch and 4 ust. highch
Short-term (30–90 days)	5	Adresuje powase ust. highe and średayse
Strategiczne (90+ days)	5	Ustanawia proaktywną, ciągłą security posture
SUMA	305 000 PLN	5% redukcji zidentyfikowanego risk

Zwrot z investment

Stosunek cost-korzyść

Szacunkowa łączna investment w remediację, 305 000, stanowi około 5% oszacowanej niemitygowanej ekspozycji finansowej (Section 4). To korzystny stosunek redukcji risk, mieszczący się w normach branżowych for organisation about porównywalnej wielkości and sektorze. Inaczej: każda zainwestowana złotówka redukuje typowo 8–15 zł potencjalnej ekspozycji w scenariuszu nieremediowanym.

Rekomendowana decision boardu

Board is proszony about rozważenie and approval:

Zatwierdzenia działań Horyzontu 1 z natychmiastowym wykonaniem przez CISO and zespół Infrastruktury, with the report postępu on najbliższym posiedzeniu.
Alokacji budgetu on actions Horyzontu 2 w framework bieżącego cycleu budgetowego.
Włączenia inicjatyw Horyzontu 3 to planu strategicgo cyber on nadchodzący year obrotowy, z przypisaniem ownerstwa at the level of boardu.
Cyklicznej oceny externalj (recommended częstotliwość: co 6 months) jako element programu ciągłego monitoringu and shouldtej staranności.

— APPENDIX A

Assessment methodology

A structured, non-invasive approach designed to assess external security posture without disrupting operations.

Phase	Goal	Departmentania
Phase 1 — Odkrywanie	Identification widocznych zewnętrznie assets	Enumeracja DNS, logi przejrzystości certificateów, intel z wyszukiwarek. Bez uwierzytelniania ani aktywnej eksploatacji.
Phase 2 — Ewaluacja	Ocena security configuration	Każdy wykryty asset oceniony względem benchmarków: encryption, configuration services, kontrolki HTTP, authentication poczty, ujawnianie informacji. Narzędzia: nmap, httpx, nuclei, testssl, w trybie nieinwazyjnym, z kontrolą szybkości.
Phase 3 — Analiza and classification	Mapowanie to risk	Findings zaklasyfikowane wg macierzy risk (waga techniczna + business impact). Każde finding zmapowane to regulatory frameworks and przypisane to business risk domains.
Phase 4 — Raportowanie	Dwa raporty komplementarne	This Business Report (dla boardu) and Technical Report (dla zespołów security and inżynierii). Walidacja przez recenzenta technicznego and ownera zlecenia.

Limitations metodologii

Niniejsza ocena reprezentuje migawkę w czasie. Ocenia wytotal to, co is widoczne zewnętrznie and nie ocenia kontrolek internalch, logiki aplikacyjnej ani scenariuszy threats internalgo. Ocena dyskrecjonalnie wyklucza:

Próby eksploatacji discovered vulnerabilities (poza scopeem dyskretnej verification).
Attacki słownikowe and credential stuffing (nieautoryzowane without pisemnej zgody).
Testy odporności on DoS/DDoS (mogłyby wpłynąć on availability).
Modyfikację danych w observedch systemach.

Resulti may zawierać fałszywe negatywy z powodu: filtrowania ruchu, ograniczeń szybkości, ekranowania przez WAF/CDN, loss pakietów (zwłaszcza UDP), opóźnień networkowych. Każde finding waso however ręcznie zweryfikowane przez recenzenta technicznego.

— APPENDIX B

Glossary

Plain-language definitions for non-technical readers of the report.

TLS / SSL	Technologia szyfrowania, która chroni dane przesyłane between reviewarką użytkownika a witryną. Ikona kłódki w pasku adresu wskazuje, że TLS is aktywne.
Certificate	Cyfrowy dokument tożsamości witryny, który potwierdza, że strona is tym, for co się podaje, umożliwiając zaszyfrowane połączenia. Jak dowód osobisty witryny.
Nagłówki security	Instrukcje wysyłane przez Twoją witrynę to reviewarki odwiedzającego, mówiące jej, by włączyła określone zabezpieczenia.
SPF / DKIM / DMARC	Trzy komplementarne standardy uwierzytelniania poczty, które razem zapobiegają wysyłaniu wiadomości w imieniu Twojej domains przez nieuprawnione strony.
WAF (Web Application Firewall)	Warstwa ochronna ustawiona before Twoją witryną, która filtruje złośliwy ruch zanim dotrze to application.
Powierzchnia attacku	Suma punktów, w których nieuprawniony użytkownik mógłby próbować wejść to systemów or wyciągnąć z nich dane.
Vulnerability	Weakness w systemie, którą napastnik mógłby wykorzystać to uzyscania nieuprawnionego dostępu or spowodowania szkody.
Encryption w tranzycie	Ochrona danych during ich przemieszczania się between dwoma punktami (e.g. reviewarką clienta a serverem), ensuresjąca, że nie będą czytelne in the case of przechwycenia.
Transfer strefy (AXFR)	Mechanizm DNS służący to kopiowania rekordów between serverami. If nieograniczony, każdy may pobrać kompletną mapę DNS.
Wyciek informacyjny	Sytuacja, w której system niezamierzenie ujawnia szczegóły internal (wersje technologii, ścieżki plików, configurations), pomagające napastnikowi zaplanować attack.
Remediation	Process naprawiania or łagodzenia security findings w celu redukcji risk to levelu akceptowalnego.
Ocena nieinwazyjna	Ewaluacja security, która obserwuje and analizuje, ale nie próbuje eksploatować, penetrować ani disrupt systemów docelowych.
Security posture	Ogólny stan ochrony cybernetycznej organisation — result dojrzałości processów, narzędzi, zespołu and kontrolek technicznych.
Third-party risk assessment	Process oceny security dostawcy, partnera or kontrahenta before nawiązaniem or odnowieniem relacji handlowej.
EASM (External Attack Surface Management)	Ciągłe monitorowanie zewnętrznie widocznej attack surface organisation, total z wykrywaniem nowych eksponowanych assets.

— APPENDIX C

Detailed finding cards

Każde finding referowane w Sekcji 6 ma odrzielną kartę w standardowym formacie, gotową to śledzenia w pyearsformach GRC and systemach boardzania zgłoszeniami. Below zaprezentowano 5 reprezentatywnych kart — pełna lista 13 kart will be dodana w wersji finalnej raportu after wypełnieniu danymi clienta.

Critical BF-001

Status: Otwarte

Wsparcie protokołów TLS legacy (TLS 1.0 / 1.1)

Motyw: Ochrona danych and integralność szyfrowania

Description: Wybrane services dopuszczają negocjację protokołów TLS w wersjach 1.0 and 1.1, które wasy oficjalnie wycofane przez IETF (RFC 8996, marzec 2021) ze względu on znane weaknesses kryptograficzne, w tym vulnerability on attacki BEAST and POODLE.
Impact biznesowy: Sesje clientów on tych servicech may be teoretycznie poddane attackom downgrade, prowadzącym to przechwycenia wrażliwych danych — w tym poświadczeń, tokenów sesji and danych płatniczych. Naruszenie wprost wymogu PCI DSS 4.0 § 4.2.1, który nakazuje TLS 1.2 or wyższe on all punktach końcowych przetwarzających dane kart.
Assets objęte: [N] assets (lista w Appendix C Raportu Technicznego)
Mapowanie regulatory: PCI DSS 4.0 § 4.2.1 / RODO art. 32 / ISO 27001:2022 A.8.24
Recommendation: Wyłączenie protokołów TLS 1.0 and 1.1 w configuration all serwisów. Egzekwowanie minimum TLS 1.2 z preferowanym TLS 1.3.

Wysiłek

Niski — zmiana konfiguracyjna servers Apache/Nginx/IIS

Cost

Minimalny / internal

Deadline

[DD.MM.RRRR]

Owner: Head of Infrastructure / DevOps

Karta 1 z 5

High BF-002

Status: Otwarte

Certificatey zbliżające się to wygaśnięcia

Motyw: Ochrona danych and integralność szyfrowania

Description: Part certificateów TLS używanych in the infrastructure clienta wygasa w ciągu najbliższych 30 days. Brak processu automatedj rotacji (ACME / Let's Encrypt) zwiększa risk ekspiracji without ostrzeżenia.
Impact biznesowy: Wygasły certificate skutkuje ostrzeżeniem reviewarki blokującym ruch clientów. W przypadku services płatniczych — natychmiastowa loss przychodów. W przypadku API — loss integracji partnerskich.
Assets objęte: [N] certificateów
Mapowanie regulatory: PCI DSS 4.0 § 4.2.1 / RODO art. 32 / ISO 27001:2022 A.8.24
Recommendation: Odnowienie wygasających certificateów. Wdrożenie automatedgo boardzania cycleem życia certificateów (e.g. cert-manager + ACME) z monitoringiem 60/30/14 days before wygaśnięciem.

Wysiłek

Niski — pojedyncza configuration

Cost

Minimalny

Deadline

[DD.MM.RRRR]

Owner: Head of Infrastructure

Karta 2 z 5

High BF-006

Status: Otwarte

Eksponowane interfejsy administracyjne

Motyw: Wyciek informacyjny and ekspozycja attack surface

Description: Detected publicznie available panele administracyjne (e.g. /wp-admin, /admin, /phpmyadmin) without ograniczeń networkowych. Part paneli ujawnia stack technologiczny przez stronę logowania.
Impact biznesowy: Eksponowane interfejsy administracyjne to atrakcyjny cel attacków słownikowych, credential stuffing and wykorzystania znanych vulnerabilities. Pojedynczy słaby login may oznaczać kompromitację całej infrastructure.
Assets objęte: [N] panelii / [N] assets
Mapowanie regulatory: PCI DSS 4.0 § 1.3, § 8.6 / RODO art. 32 / NIS2 art. 21 ust. 2(d) / ISO 27001:2022 A.8.20
Recommendation: Limitation dostępu to paneli administracyjnych przez allowlist IP, VPN korporacyjny or bramę typu Bastion. Wymuszenie MFA for kont administracyjnych. Rozważenie zmiany domyślnych ścieżek paneli (defense-in-depth).

Wysiłek

Niski–Średays — configuration firewall + ewentualne implementation VPN

Cost

Minimalny–Niski

Deadline

[DD.MM.RRRR]

Owner: CISO / Network Team

Karta 3 z 5

High BF-007

Status: Otwarte

Brak polityki DMARC w trybie egzekwującym

Motyw: Uwierzytelnienie poczty and ochrona marki

Description: Domains pocztowe organisation posiadają rekord DMARC ustawiony w trybie p=none — wytotal obserwacyjnym, without egzekwowania odrzucania wiadomości spoofowanych.
Impact biznesowy: Każdy may wysłać e-maila imienne wyglądającego, jakby pochodził z domains organisation. For clientów oznacza to risk phishingu wykorzystującego markę. For organisation — risk reputational and potencjalne kary regulatory.
Assets objęte: [N] domen
Mapowanie regulatory: NIS2 art. 21 ust. 2(g) / RODO art. 32 (pośredayso) / ISO 27001:2022 A.8.21
Recommendation: Stageowe przejście to trybu egzekwującego: p=none (monitoring 30 days) → p=quarantine (monitoring 30 days) → p=reject. Wdrożenie agregowanego raportowania (rua=) and analizy raportów.

Wysiłek

Średays — requires monitoringu raportów DMARC and koordynacji z dostawcami marketingowymi

Cost

Niski (narzędzie analizy raportów)

Deadline

[DD.MM.RRRR]

Owner: Mail Operations / Marketing

Karta 4 z 5

Medium BF-011

Status: Otwarte

Brakujące headers security HTTP

Motyw: Higiena security and kontrolki obronne

Description: Aplikacje webowe nie zwracają kompletu nagłówków security: brak Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
Impact biznesowy: Brak nagłówków pozostawia użytkowników podatnymi on attacki typu XSS, clickjacking, MIME confusion and wycieki referrer'ów. Każdy z tych attacków may prowadzić to przejęcia sesji or kradzieży danych.
Assets objęte: [N] application
Mapowanie regulatory: PCI DSS 4.0 § 6.5 / RODO art. 32 / ISO 27001:2022 A.8.26
Recommendation: Wdrożenie kompletu nagłówków security: HSTS (z preload), CSP (zaczynając from trybu Report-Only), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin. Walidacja przez securityheaders.com.

Wysiłek

Średays — requires testów on środowisku stagingowym, szczególnie CSP

Cost

Minimalny / internal

Deadline

[DD.MM.RRRR]

Owner: DevOps / Application Security

Karta 5 z 5

Note for recipients: Format karty was zaprojektowany to bezpośredaysego importu to większości pyearsform GRC (e.g. ServiceNow GRC, Archer, OneTrust). Pola odpowiadają standardowym kolumnom reisru risks. W razie potrzeby Ragnar Shield dostarcza eksport CSV / JSON on żądanie.

— APPENDIX D

Reference to the technical report

This Business Report is designed to be read independently. A complementary document is available for technical teams responsible for implementing the recommended actions.

Czym is Technical Report

Technical Report (ref. [TECH-REF-2026-0429]) zawiera pełen materiał operational necessary inżynierom to implementation poprawek:

Pełny szczegół techniczny każdego findings: hosty, porty, protokoły, konkretne errors configuration.
Surowy output narzędzi (nmap, httpx, nuclei, testssl) and zrzuty ekranu jako materiał dowodowy.
Kyear after kyear recommendations remediation together z exampleami konfiguracyjnymi.
Kompletny inwentarz assets z findingsmi per host.
Szczegóły metodologii and configuration narzędzi.

Komu dystrybuować

Technical Report should be dystrybuowany do:

CISO — jako odpowiedzialny for remediację and orkiestracja działań.
Security Engineering / SOC — operational implementation poprawek security.
Infrastructure / DevOps — zmiany configuration servers, network, certificateów.
Application Security — implementation nagłówków, WAF, kontrolki aplikacyjne.

Technical Report is klasyfikowany on tym samym levelie poufności co this dokument. Dystrybucja podlega tym samym zasadom (lista uprawnionych odbiorców, kontrole wersji, zabezpieczone kanały przekazywania).

Mapowanie section

Section Raportu Biznesowego	Odpowiedaysk w Raporcie Technicznym
Section 5 — Map of digital assets	Section 5 — Asset inventory & exposure overview
Section 6 — Findings wg domains risk	Section 6 — Detailed findings (ze szczegółem technicznym)
Appendix C — Karty findings	Section 6 + Appendix C — Evidence index
Section 9 — Mapa drogowa	Section 8 — Recommendations & improvement plan
Appendix A — Methodology	Section 3 — Methodology (rozszerzona, z parametrami narzędzi)

Koniec raportu

Ragnar Shield

AI CISO & Compliance Officer · ragnarshield.com · contact@ragnarshield.com

State ofdigitalsecurity

Confidentiality and distribution clause

Document with limited distribution

List of authorised recipients

Document control

Table of contents

Appendixi

About this report

Goal and recipients

Scope and granice oceny

What was performed

What was not performed

How to read this report

Strategic risk summary

Distribution of findings by risk level

Trzy wnioski for boardu

Top 3 risks requiresjących uwagi boardu

Mapa drogowa remediation w skrócie

Key metrics — management dashboard

Porównanie trendu względem poprzedaysej oceny

Business impact analysis

Ekspozycja zagregowana — wymiar financial

Komentarz interpretacyjny

Map of digital assets

5.1 Summary assets

5.2 Obserwacje dotyczące boardzania zasobami

5.3 Różnorodność technologiczna

5.4 Ekspozycja w cycleu client ↔ partner

Findings by business risk domain

Regulatory implications and compliance

7.1 Macierz mapowania compliance

7.2 Kluczowe obserwacje dotyczące compliance

7.3 Materiał dowodowy for auditu and rękojmi

Competitive and reputational considerations

8.1 Perspektywa risk strony trzeciej

8.2 Benchmark branżowy

Mocne strony

Gaps względem grupy porównawczej

8.3 Kwantyfikacja risk reputationalgo

Investment priorities and roadmap

9.4 Summary investment

Rekomendowana decision boardu

Assessment methodology

Limitations metodologii

Glossary

Detailed finding cards

Reference to the technical report

Czym is Technical Report

Komu dystrybuować

Mapowanie section

State of
digital
security