Testy penetracyjne sektora publicznego: NIS2, krajowe bazy i cyberbezpieczeństwo administracji

Cyberbezpieczeństwo administracji publicznej jest obowiązkowe wg NIS2 (podmioty kluczowe), krajowych baz (BSI IT-Grundschutz Niemcy, ENS Hiszpania, BIO Holandia, ANSSI RGS Francja) oraz wymagań audytu rządowego. Matproof Sentinel wykonuje ukierunkowane pentesty sektora publicznego z jednoznacznym mapowaniem do wszystkich kluczowych unijnych krajowych baz bezpieczeństwa, od 149 EUR.

Rozpocznij darmowy skan

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego sektor publiczny stoi przed unikalnymi wyzwaniami pentestu

Podmioty administracji publicznej stoją przed krzyżującymi się regulacjami cyberbezpieczeństwa: NIS2 (UE) wyznacza administrację publiczną jako 'podmioty kluczowe' od października 2024. Krajowe bazy nakładają specyficzne wymagania techniczne: BSI IT-Grundschutz (Niemcy) jest obowiązkowy dla organów federalnych, ENS Real Decreto 311/2022 (Hiszpania) dla administracji publicznej, BIO 2.0 (Holandia) dla gmin i ministerstw, ANSSI RGS (Francja) dla organizacji państwowych. Poza zgodnością podmioty sektora publicznego stoją przed unikalnymi zagrożeniami: ransomware celujący w usługi municypalne (Augusta Georgia 2024, Münster 2023), ataki sponsorowane przez państwa na rządowe IT, naruszenia danych obywateli z poważnymi konsekwencjami politycznymi. Specyficzne wzorce ataków obejmują: eksploitację systemów legacy (wiele systemów ma 10+ lat), kompromitacje federacji/SSO (DigiD NL, ID.me USA, Cl@ve Hiszpania), błędną konfigurację API open data wyciekającą PII obywateli oraz ataki łańcucha dostaw przez rządowych dostawców IT.

NIS2 (UE): podmioty administracji publicznej wyznaczone jako 'podmioty kluczowe' od października 2024, art. 21 nakazuje okresowe testy bezpieczeństwa, kary do 10 mln EUR.
BSI IT-Grundschutz (Niemcy): obowiązkowa baza dla organów federalnych (BSI-Standard 200-2); operatorzy KRITIS muszą wykazać zgodność.
ENS Real Decreto 311/2022 (Hiszpania): zaktualizowana hiszpańska Krajowa Schema Bezpieczeństwa, administracja publiczna musi wykazać zgodność techniczną.
BIO 2.0 (Holandia): Baseline Informatiebeveiliging Overheid obowiązkowy dla gmin, zarządów wodnych, ministerstw, coroczna samoocena ENSIA obejmuje dowód pentestu.
ANSSI RGS (Francja): Référentiel Général de Sécurité, obowiązkowy dla organizacji państwowych; kwalifikacja PASSI dla wrażliwych systemów.
Naruszenia danych obywateli: w 2024 naruszenia municypalne dotknęły 100K-1M obywateli każde, polityczne konsekwencje zazwyczaj poważniejsze niż kary finansowe.
Bezpieczeństwo open data: publiczne API (inicjatywy data.gov) często wyciekają PII obywateli przez błędną konfigurację.

Co konkretnie testujemy w aplikacji sektora publicznego

Uwierzytelnianie portalu obywatela: bezpieczeństwo integracji krajowych eID (DigiD NL, Cl@ve ES, FranceConnect FR, BundID DE), implementacja multi-factor.
Uwierzytelnianie federacyjne: przepływy SAML / OIDC, walidacja podpisu, whitelista redirect_uri, minimalizacja zakresu.
Dostęp do danych obywateli: IDOR na rekordach obywateli (SSN/AHV/INSEE/CPR-equivalent), enumeracja ID administracyjnych, audit logging.
API open data: wyciek PII w 'zanonimizowanych' zbiorach danych, weryfikacja k-anonymity, ryzyko pośredniej reidentyfikacji.
Przepływy usług publicznych: manipulacja składania PIT, manipulacja uprawnień do świadczeń, bezpieczeństwo wniosków o licencje/zezwolenia.
Integracja systemów legacy: bezpieczeństwo usług SOAP, zarządzanie certyfikatami X.509, bezpieczeństwo interfejsów mainframe.
Zarządzanie dokumentami: wyciek metadanych PDF, bezpieczeństwo przesyłania plików, walidacja podpisu cyfrowego.
Systemy informacji geograficznej (GIS): prywatność danych lokalizacyjnych, kontrola dostępu do informacji katastralnych.
Portale zamówień publicznych: manipulacja oferty przetargowej, uwierzytelnianie dostawcy, detekcja konfliktu interesów.
Integralność audit log: tamper-evident logging, zgodność GDPR art. 32 i krajowych przepisów archiwalnych, egzekwowanie okresu przechowywania.

Sample finding

High

Portal obywatela umożliwia enumerację ID administracyjnych, czyli masowe ujawnienie danych GDPR

Nasz pentest municypalnego portalu obywatela wykrył enumerację użytkowników przez endpoint resetu hasła. Endpoint /api/auth/reset zwraca różne odpowiedzi w zależności od tego, czy ID obywatela istnieje w systemie: 'Email wysłany, jeśli konto istnieje' (istniejące) vs 'Brak pasującego konta' (nieistniejące). W połączeniu z sekwencyjną numeracją ID obywatela (inkrementacja od 1 dla nowych rejestracji) atakujący może enumerować pełną zarejestrowaną populację obywateli. Test wykazał: 2,5 godziny automatycznej enumeracji potwierdziło 47 823 zarejestrowanych ID obywateli w 150K populacji gminnej (ok. 32% dorosłej populacji). Choć indywidualne dane nie są bezpośrednio ujawniane, enumeracja umożliwia ukierunkowaną inżynierię społeczną przeciw potwierdzonym użytkownikom. Kombinacje ID obywatela i nazwiska są powszechnie używane w weryfikacji tożsamości w innych usługach rządowych.

Fix: Działanie natychmiastowe: wdrożenie jednolitej odpowiedzi dla endpointu resetu hasła, zawsze zwracaj 'Jeśli konto istnieje, email wysłany' niezależnie od tego, czy konto istnieje. Ten sam timing dla obu przypadków (czas stały, by zapobiec atakom kanałem bocznym czasowym). Rate limit per IP. Audytuj logi /api/auth/reset z ostatnich 90 dni pod kątem wzorców enumeracji (duża liczba żądań z jednego IP, sekwencyjne żądania ID). Dla dotkniętych obywateli (potwierdzeni zarejestrowani) powiadomienie o potencjalnym ryzyku ukierunkowanego phishingu. Przejdź z sekwencyjnych na UUID dla identyfikatorów rekordów obywateli.

Reference: CWE-204 Observable Response Discrepancy · OWASP A07:2021 Identification and Authentication Failures · GDPR art. 32 · NIS2 art. 21 · BSI IT-Grundschutz APP.3.1

Porównanie opcji pentestu sektora publicznego

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Pakiety pentestów sektora publicznego

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęściej zadawane pytania o pentest sektora publicznego

Czy jesteście upoważnieni do testowania systemów rządowych?

Testujemy systemy sektora publicznego z jednoznaczną autoryzacją od odpowiedzialnego organu. NIE testujemy krytycznej infrastruktury krajowej bez właściwego procesu autoryzacji (kwalifikacja PASSI we Francji, akredytacja BSI w Niemczech). Dla wrażliwych systemów bezpieczeństwa narodowego rekomendujemy wykwalifikowanych krajowych partnerów PASSI/PASSI-LPM.

Czy wspieracie dokumentację zgodności BSI IT-Grundschutz?

Tak. Nasz raport zawiera jednoznaczne mapowanie modułów BSI IT-Grundschutz (APP.3.1 aplikacje webowe, APP.4.3 aplikacje klient-serwer, NET.1.1 projektowanie sieci). Wystarczający dla certyfikacji ISO 27001 'na bazie IT-Grundschutz'.

Czy testujecie integracje rządowych eID (DigiD, Cl@ve, FranceConnect, BundID)?

Tak. Każdy system eID ma specyficzne implementacje protokołów (DigiD = SAML 2.0, FranceConnect = OIDC, BundID = eIDAS). Testujemy integrację po waszej stronie, a nie sam system eID.

Jaki jest koszt w porównaniu do tradycyjnego audytu PASSI / wykwalifikowanego?

Tradycyjny audyt PASSI / BSI-kwalifikowany: 30 000-100 000 EUR za zaangażowanie. Matproof Sentinel: 149-799 EUR/mc dla ciągłego pokrycia. Rekomendujemy kombinację: Matproof Sentinel ciągły + wykwalifikowany krajowy pentest rocznie.

Czy potraficie testować systemy legacy (SOAP, interfejsy mainframe)?

Tak w ramach zakresu. Rządowe systemy legacy często mają unikalne protokoły (SOAP, X.400, starsze RPC). Adaptujemy skanery do wsparcia protokołów legacy w ramach naszego zakresu pentestu.

Jak obsługujecie PII obywateli podczas testów?

Używamy wyłącznie środowisk testowych, nigdy prawdziwych danych obywateli. Dla testów środowiska produkcyjnego (gdy nie do uniknięcia) pracujemy z syntetycznymi testowymi kontami obywateli i jednoznacznymi umowami o obsłudze danych.

Go deeper — related blog articles

Zgodność NIS2 dla administracji publicznej

Pierwszy skan w 3 minuty, kompletny pentest sektora publicznego z mapowaniem NIS2 / krajowych baz (BSI, ENS, BIO, ANSSI). Od 149 EUR.