Cztery regulacje, jedna zasada
NIS2, ISO/IEC 27001:2022, znowelizowana ustawa o KSC (UKSC2) i DORA – każda z tych regulacji mówi to samo: trzeba wiedzieć kto, do czego, kiedy i dlaczego ma dostęp – i umieć to udowodnić. NIS2 wprost wymienia kontrolę dostępu i MFA jako środki obowiązkowe. ISO 27001 wymaga dowodowego podejścia do każdej zmiany uprawnień. DORA wymusza terminy 24h/72h/1 miesiąc przy raportowaniu incydentów. UKSC2 obejmie ok. 38 tys. podmiotów – termin samoidentyfikacji jako podmiot kluczowy upływa 3 października 2026 r.
Najważniejsze funkcjonalności eAuditor IAM
System zamyka cały cykl życia dostępu (Joiner–Mover–Leaver) w jednym audytowalnym przepływie:
- Integracja z AD/LDAP – cykliczny import z dopasowaniem po UUID. Konto wyłączone w AD automatycznie traci prawa w IAM.
- Wnioski z wielopoziomową akceptacją – szablony zatwierdzeń wskazują akceptanta na podstawie parametrów (stanowisko, dział, system); wnioskodawca nie może go podmienić – realizuje to wymóg SoD.
- Profile „per stanowisko” lub pojedyncze role – ten sam zestaw uprawnień można złożyć w profil albo wnioskować osobno dla ról rozszerzonych.
- Weryfikacja formalna i faktyczna – dwuetapowa recertyfikacja: przełożony potwierdza zasadność biznesową, administrator systemu – techniczną.
- Dostęp czasowy zamiast PIM/PAM – daty ważności „od/do”, powiadomienia o wygaśnięciu, twardy limit do końca umowy dla pracowników kontraktowych.
- Panel Pracownika – pracownik widzi swoje uprawnienia, kierownik – uprawnienia podwładnych.
Trzy realne wdrożenia – najważniejsze wnioski z wdrożeń
Case 1: Mały urząd – „dwa systemy w jednym” system eAuditor IAM + Helpdesk
Z życia: przy pierwszej rozmowie usłyszeliśmy, że „rejestrem uprawnień” jest arkusz Excela u koleżanki z sekretariatu. Koleżanka tydzień wcześniej odeszła do urzędu wojewódzkiego. Wraz z hasłem do pliku.
Mały urząd nie ma osobnego budżetu na eAuditor IAM i osobnego na ITSM. Kluczowy okazał się fakt, że system IAM jest natywnie zintegrowany z modułem eHelpDesk – po akceptacji wniosku system automatycznie generuje zgłoszenie realizacyjne do właściwej grupy wsparcia. Klient kupił jeden produkt i otrzymał kompletny obieg: od wniosku do realizacji, z pełnym śladem w rejestrze. Efekt: jeden dostawca, jedno szkolenie, jedno SLA, niższe koszty. Weryfikacja uprawnień ruszyła od razu po wdrożeniu – gotowe narzędzie zgodne z wymogami NIS2 i ISO 27001.
Case 2: Duży urząd – nieaktywne konta i integracja z Active Directory
Z życia: w pierwszym przeglądzie wypadło konto pracownika X – aktywne, z dostępem do trzech systemów dziedzinowych. X odeszła na emeryturę w 2024 r. Konto miało więcej uprawnień niż obecny dyrektor wydziału – „bo było zaufane od lat”. Hasło ktoś znał. Nikt nie wiedział kto.
W dużym urzędzie (kilkuset użytkowników) problem był klasyczny: konta byłych pracowników aktywne miesiącami, „role creep” u długoletnich kadr, konta serwisowe bez właściciela. Wdrożenie zaczęliśmy od integracji z AD z dopasowaniem po UUID. Mechanizm RBAC od pierwszego cyklu importu deaktywuje w IAM użytkowników wyłączonych w Active Directory – luka „leaver” zamyka się w ciągu godzin.
Bilans Otwarcia (moduł BO) pozwolił zaimportować historyczne uprawnienia, zweryfikować je przez właścicieli systemów i dopiero potem przepiąć na listę bieżących – urząd po raz pierwszy zobaczył realny stan dostępów. Pierwsza kampania weryfikacji formalnej zwróciła kilkanaście procent kont z uprawnieniami nieuzasadnionymi biznesowo. Dla audytora to gotowy materiał dowodowy: kto/kiedy/co zweryfikował, ile potwierdzono, ile cofnięto.
Case 3: Klient rozszerza środowisko eAuditor o rozwiązanie IAM
Z życia:u klienta z eAuditor od pięciu lat dyrektor IT z dumą pokazał inwentaryzację, helpdesk, monitoring, patche – wszystko pod kontrolą. Zapytaliśmy: „a kto i na jakiej podstawie ma dziś dostęp do EZD?”. Cisza. „No właśnie. To jedyna rzecz, której nam tu brakuje.”.
Organizacja od lat korzysta z eAuditor (inwentaryzacja, monitoring, DLP, patch management), a teraz dochodzi konieczność spełnienia NIS2/KSC2. Dodanie modułu IAM jest naturalnym rozszerzeniem:
- Wspólne źródło prawdy – AD, HR i Panel Pracownika są te same w całym ekosystemie BTC. Znika synchronizacja między bazami różnych dostawców.
- Onboarding Joiner jako jeden workflow – HR → AD → IAM tworzy wnioski → eAuditor konfiguruje stację (oprogramowanie, polityki DLP, BitLocker, 2FA). Pracownik dostaje gotowe środowisko pierwszego dnia.
- Skrócony czas reakcji na incydent – eAuditor (SOC, DLP) wykrywa podejrzane działanie, IAM dostarcza kontekst „kto i kiedy zaakceptował ten dostęp” – realnie pomaga dotrzymać regulacyjnych terminów raportowania.
Klienci migrujący z konkurencyjnego IAM najczęściej wskazywali trzy bolączki: brak natywnej integracji z ITSM, słabą obsługę profili „per stanowisko” i brak modułu zastępstw – wnioski blokowały się na urlopach akceptantów. W eAuditor IAM to standard.
Identyfikacja niezgodności przed audytem
Każda akcja w eAuditor IAM zostawia pełny zapis: data, autor, kolumna, wartość przed i po zmianie. Audytor NIS2/ISO przychodzi po sześć rzeczy: politykę kontroli dostępu, inwentaryzację kont, wyniki recertyfikacji, konfigurację MFA, logi z 12 miesięcy, rejestr kont uprzywilejowanych. System daje to z jednego raportu – to różnica między „mamy procedurę” a „mamy udokumentowaną zgodność”.
Trzy pytania, które warto zadać sobie, zanim zada je ktoś inny: ile nieaktywnych kont kryje się w Twoim Active Directory? Jak długo trwa odebranie dostępu po odejściu pracownika – godzinę, dzień, miesiąc? Czy potrafisz pokazać w pięć minut, kto i dlaczego zatwierdził dostęp do krytycznego systemu?
Jeśli na którekolwiek z tych pytań odpowiedź brzmi „nie wiem” – warto to sprawdzić. Pierwszym krokiem jest godzinne spotkanie poświęcone eAuditor IAM.
To 60 minut, które może zmienić sposób, w jaki Twoja organizacja zarządza tożsamościami i dostępem.
Sprawdź, jak wygląda to w praktyce – umów prezentację:
https://www.eauditor.eu/identity-access-management
