Czy PreScan naprawdę jest bezpłatny?

Tak, bez zobowiązań i bez instalacji niczego u was. Cel: dać wam podstawowy obraz powierzchni ataku, żebyście mogli świadomie zdecydować, czy potrzebujecie pełnego audytu. Nie sprzedajemy nadrabianych ofert po PreScan.

Co odróżnia PreScan od CyberAudyt?

PreScan to pasywny skan - patrzymy tylko na to, co widoczne publicznie (DNS, certyfikaty, wycieki). CyberAudyt to aktywny skan z próbami sondowania portów, analizą wersji oprogramowania, sprawdzeniem konfiguracji DMARC. CyberAudyt daje znacznie głębszy obraz i pełen plan naprawczy.

Czy jeśli PreScan nic nie znajdzie, mogę pominąć VA?

PreScan widzi tylko warstwę powierzchni atakującą. Wiele krytycznych podatności (nieaktualne CMS, słabe hasła administratorów, błędne uprawnienia plików) wymaga aktywnego skanowania. PreScan to nie alternatywa dla VA, to wprowadzenie.

Czy mogę przejść od razu na pentest bez VA?

Technicznie tak, ale to marnotrawstwo. Pentest na nieprzygotowanej infrastrukturze generuje długą listę słabości, których nie zdążycie naprawić. Lepsza ścieżka: PreScan -> VA -> remediacja -> pentest po 12 miesiącach.

Który pakiet wymaga NIS2?

Sam NIS2 nie wymaga konkretnego pakietu. Art. 21(2)(d) wymaga 'oceny skuteczności środków' - CyberAudyt zwykle wystarcza. Pentest dodajcie, gdy audytor zewnętrzny lub klient korporacyjny wprost wymagają.

Co jeśli mam tylko stronę WWW na hostingu?

Wystarczy PreScan + ewentualnie CyberAudyt. Pentest ma sens, gdy macie własną infrastrukturę (serwery pocztowe, VPN, RDP, aplikacje webowe) i wymóg regulacyjny lub korporacyjny. Dla 'tylko strona na shared hostingu' szeroki audyt jest przesadą.

PreScan vs ocena podatności vs pentest - który pakiet wybrać

PreScan to bezpłatne 24-godzinne skanowanie pasywne pokazujące, co widzi atakujący przed wejściem - bez instalacji niczego u was. Ocena podatności (CyberAudyt) to płatny, dogłębny audyt z raportem po polsku i planem naprawczym. Pentest to symulowany atak sprawdzający, czy obrona faktycznie działa. Większość MŚP zaczyna od PreScan, potem VA raz w roku, pentest co 2-3 lata.

Autor: Iwo Wojciechowski

CEO, CyberCerber 28 maja 2026

Tabela porównawcza

Kryterium	PreScan	VA	Pentest
Co robi	Pasywne skanowanie powierzchni ataku - DNS, certyfikaty, MX, otwarte porty, wycieki haseł	Aktywny skan + ręczna weryfikacja podatności wg CVSS i OWASP Top 10	Symulowany atak z próbami eksploatacji wybranych podatności
Czas	24 godziny	5 dni roboczych	10-15 dni roboczych
Cena	Bezpłatne, bez zobowiązań	Stałocenowo od kilku tysięcy zł	Pentest CyberCerber lub osobne zlecenie 15-50 tys. zł rynkowo
Co dostajecie	Krótki raport PDF z listą widocznych ryzyk	Pełen raport po polsku z priorytetami CVSS, planem naprawczym, konsultacją 30 min	Raport ze ścieżkami ataku, dowodami koncepcji, planem naprawczym + konsultacją
Inwazyjność	Zero - tylko publicznie dostępne dane	Niska - skan, ale bez prób eksploatacji	Średnia - planowane próby eksploatacji w oknach off-peak
Dla kogo	Każda firma chcąca punkt wyjścia bez zobowiązań	MŚP wdrażające pierwsze 12 miesięcy higieny cyber	Podmioty regulowane (NIS2), wymogi klienta korporacyjnego, dojrzała postawa cyber
Częstotliwość	Jednorazowo lub przed odnowieniem audytu (raz na 6-12 mies.)	Co rok	Co 2-3 lata

Trzy poziomy głębokości - jak myśleć o wyborze

PreScan, VA i pentest to trzy różne pytania o waszą infrastrukturę.

PreScan pyta: “Co świat zewnętrzny może o was zobaczyć?” Patrzy na rekordy DNS, certyfikaty, otwarte porty z perspektywy bota skanującego cały polski Internet. Pasywne, bezpłatne, bez instalacji niczego u was.

VA pyta: “Które słabości naprawdę macie i które trzeba naprawić w jakiej kolejności?” Aktywny skan łączony z ręczną weryfikacją OWASP Top 10 (w CyberAudyt i Pentest). Wynik to mapa z priorytetami.

Pentest pyta: “Czy obrona faktycznie wytrzyma realny atak?” Próby eksploatacji wybranych podatności w kontrolowanym scenariuszu. Wynik to dowód (lub jego brak), że teoretyczne słabości można praktycznie wykorzystać.

Każde pytanie ma swoją wartość. Nie potrzebujecie wszystkich trzech od razu.

Sekwencja rekomendowana dla MŚP

Miesiąc 0: PreScan. Bezpłatny, w 24 godziny. Daje obraz powierzchni ataku.

Miesiąc 1-3: Remediacja ustaleń z PreScan + wdrożenie MFA, backupów, SPF/DKIM/DMARC.

Miesiąc 3: Ocena podatności CyberAudyt (CyberCerber). Pełen raport, plan naprawczy.

Miesiąc 4-6: Remediacja krytycznych i wysokich ustaleń z VA.

Miesiąc 12: Powtórna VA (rok później). Demonstracja poprawy. Standardowy cykl audytu.

Miesiąc 24-36: Pierwszy pentest - dopiero gdy macie 2 cykle VA za sobą i klient/regulator wprost wymaga.

Ta sekwencja minimalizuje koszt na rzecz realnej redukcji ryzyka. Skoki ponad sekwencję (np. od PreScan do pentestu) marnują pieniądze, bo pentest na niezhardenowanej infrastrukturze daje listę zbyt długą do naprawy.

Przykład: gabinet stomatologiczny 4 fotele

Solo-gabinet w Łodzi, jedna lekarka + 3-osobowy zespół. Sierpień 2025 r. - zamówiła PreScan. Wynik: nieaktualna wersja Estomed, brak DMARC, RTG na tej samej sieci co recepcja, hasło “Admin1234” do panelu hostingu.

Wrzesień-październik 2025 r.: remediacja własnymi siłami + zewnętrznym informatykiem. Aktualizacja Estomed, DMARC od p=none do p=reject po 5 tygodniach, segmentacja RTG na osobny VLAN.

Listopad 2025 r.: CyberAudyt CyberCerber. Raport wykazał dwie dodatkowe podatności w panelu administracyjnym strony WWW + brak EDR na stacjach. Pełen plan naprawczy w 12 dni.

Marzec 2026 r.: pacjentka korporacyjna (członek zarządu lokalnej firmy NIS2) zażądała “dowodu audytu cyber” w deklaracji RODO. Gabinet wysłał raport z listopada - akceptowane bez uwag.

Sekwencja: bezpłatny PreScan → DIY remediacja → audyt CyberAudyt CyberCerber → klient akceptuje. Bez konieczności drogiego pentestu na tym etapie.