Twoja drukarka może cię wpędzić w milionową karę. Oto co NIS2 mówi o kopiarkach

Kiedy ostatnio rozmawiałeś z działem IT o bezpieczeństwie drukarki?

Dokładnie. Nikt o tym nie rozmawia. Drukarka stoi w kącie biura, miga zielona lampka, papier się kończy co dwa tygodnie i to wszystko, czym się o niej martwisz. Tymczasem w Brukseli ktoś wpisał do dyrektywy NIS2 definicję, która bez cienia wątpliwości obejmuje każde urządzenie podłączone do sieci i automatycznie przetwarzające dane cyfrowe.

Twoja drukarka spełnia tę definicję. Twoja kopiarka też. I każde urządzenie wielofunkcyjne w każdym biurze każdej firmy objętej dyrektywą.

Polska ustawa o KSC, która implementuje NIS2, weszła w życie 2 kwietnia 2026 roku. Poniżej zebrałem najważniejsze wnioski, które, mam wrażenie, wciąż nie przebiły się do świadomości większości menedżerów i specjalistów IT w Polsce.

Dyrektywa nigdy nie wymienia drukarki z nazwy i właśnie dlatego jest tak groźna

Artykuł 6 NIS2 definiuje „system sieciowy i informacyjny" jako każde urządzenie, które automatycznie przetwarza dane cyfrowe. Celowo nie ma tu listy produktów. Celowo nie ma wyjątków dla urządzeń biurowych.

To technologicznie neutralna definicja, która starzeje się wolniej niż jakikolwiek katalog sprzętu. I która obejmuje dziś, w sposób niepozostawiający wątpliwości, drukarki, kopiarki, skanery i urządzenia wielofunkcyjne podłączone do sieci firmowej.

Paradoks polega na tym, że precyzyjne wyłączenie drukarek z zakresu dyrektywy byłoby łatwiejsze do zignorowania. Obecna definicja jest trudniejsza do obejścia prawnie i być może właśnie o to chodziło.

Kopiarka zgodna z NIS2 to nie marketing. To coś, co można sprawdzić

Kiedy producent mówi, że jego urządzenie jest „zgodne z NIS2", warto zapytać: zgodne z czym dokładnie?

NIS2 jest dyrektywą ramową, nie normą techniczną. Nie istnieje coś takiego jak oficjalny „certyfikat NIS2" dla drukarki. Istnieje natomiast hierarchia standardów bezpieczeństwa, które audytorzy uznają za dowód spełnienia wymogów Artykułu 21.

Najistotniejszy z nich to Common Criteria HCD-PP v1.0, czyli profil ochrony dla urządzeń drukujących, opracowany wspólnie przez amerykański NIAP i japoński IPA, uznawany przez ponad 30 krajów. Canon i Sharp posiadają certyfikowane modele z tej listy i są to publicznie weryfikowalne certyfikaty w rejestrze Common Criteria Portal.

Przy zakupie kopiarki zgodnej z NIS2 pytaj o numer certyfikatu, nie o teoretyczną zgodność z broszury reklamowej.

Twoja drukarka ma dysk twardy. I prawdopodobnie nikt go nigdy nie wyczyścił

To jeden z tych faktów, które paraliżują salę na każdej prezentacji o bezpieczeństwie druku.

Nowoczesne urządzenia wielofunkcyjne przechowują kopie przetwarzanych dokumentów na wewnętrznym dysku HDD lub SSD. Umowy, badania lekarskie, dane finansowe, korespondencja, wszystko, co kiedykolwiek przez urządzenie przeszło. Gdy kopiarka wraca do leasingodawcy lub idzie na złom, dane zostają.

NIS2 (Art. 21) wymaga zarządzania pełnym cyklem życia aktywów, w tym certyfikowanego niszczenia danych przy wycofaniu urządzenia z eksploatacji. Canon i Sharp oferują do 10-krotnego nadpisywanie losowymi liczbami zgodne ze standardem DoD 5220.22-M. Pytanie brzmi: kto z twoich klientów o tym wie?

Średni koszt naruszenia danych związanego z drukowaniem wynosi prawie milion euro — według raportu Quocirca Print Security Landscape 2025.

Drukarka to jeden z najłatwiejszych punktów wejścia do sieci firmowej

Niezmienione hasło administratora, firmware sprzed trzech lat, HTTP zamiast HTTPS, SNMPv1 z publiczną nazwą community, to standardowa konfiguracja drukarki w przeciętnej polskiej firmie.

Podatność PrintNightmare (CVE-2021-34527) pozwalała na zdalne wykonanie kodu na każdej maszynie z Windows Print Spooler. Inna podatność (CVE-2022-38028) była aktywnie eksploatowana przez rosyjską grupę APT Forest Blizzard, konkretnie przeciwko organizacjom rządowym i infrastrukturze krytycznej.

Drukarka bez aktualnego firmware i segmentacji sieciowej to otwarte drzwi. Ransomware, który dostanie się do sieci przez urządzenie drukujące, może spełniać kryteria „znaczącego incydentu" z Art. 23 NIS2, a to oznacza 24 godziny na wczesne ostrzeżenie do CSIRT i potencjalną karę do 10 mln EUR lub 2% globalnego obrotu.

NIS2 obejmuje twoich dostawców, nawet jeśli twoja firma nie jest podmiotem kluczowym

To być może najbardziej niedoceniany efekt domina całej dyrektywy.

Artykuł 21(2)(d) wymaga od podmiotów objętych NIS2, by oceniały bezpieczeństwo swojego łańcucha dostaw i umieszczały klauzule bezpieczeństwa w umowach z dostawcami. Szpital objęty NIS2 będzie pytał kancelarię prawną (nieobjętą NIS2) o certyfikaty bezpieczeństwa używanych przez nią drukarek. Zakład produkcyjny będzie wymagał od firmy sprzątającej dokumentacji dotyczącej urządzeń kopiujących obsługujących biura na terenie zakładu.

Ryzyko compliance rozkłada się przez całą sieć kooperantów. I jest to mechanizm, który producenci sprzętu biurowego (jak Sharp, który prowadzi dedykowaną ofertę NIS2 Compliance Services w Europie) zrozumieli szybciej niż większość dealerów.

Sharp był tu przed wszystkimi i mało kto o tym wie

W 2001 roku Sharp jako pierwszy producent na świecie uzyskał certyfikację Common Criteria dla urządzenia drukującego. W 2017 roku, jako pierwszy uzyskał certyfikację HCD-PP v1.0. Dziś seria BP posiada tę certyfikację dla ponad 25 modeli, opcjonalną integrację z Bitdefender wbudowaną w firmware oraz testy penetracyjne Keypoint Intelligence jako standardowy element procesu certyfikacji.

To nie jest powszechnie znana wiedza. W rozmowach o bezpieczeństwie druku dominują HP i Xerox, marki, które wydają więcej na marketing bezpieczeństwa niż Sharp. Tymczasem pod kątem historii certyfikacji i głębokości stosu bezpieczeństwa, Sharp jest pionierem tej dziedziny.

Canon imageFORCE ma algorytm ML, który ocenia twoje środowisko i sam dobiera ustawienia bezpieczeństwa

To brzmi jak feature, który pojawi się za 5 lat. Tymczasem jest już dostępny.

Nowa platforma Canon imageFORCE oferuje funkcję Security Environment Estimation — algorytm uczenia maszynowego, który analizuje konfigurację środowiska IT organizacji i automatycznie rekomenduje optymalne ustawienia bezpieczeństwa urządzenia. Łączy to z TPM 2.0, Secure Boot, whitelistingiem aplikacji Trellix (dawniej McAfee) i automatycznym przywracaniem z „Golden Master" w przypadku wykrycia manipulacji firmware.

Dla organizacji, które nie dysponują własnym SOC ani dedykowanym administratorem bezpieczeństwa IT, to różnica między teorią a praktyką. Większość firm nie wdroży optymalnych ustawień ręcznie, dlatego inteligentna automatyzacja konfiguracji ma realne znaczenie dla compliance.

„Zgodna z NIS2" flota drukarek to nie jednorazowy zakup. To ciągły proces

To ostatni, ale najważniejszy wniosek.

NIS2 nie pyta, jakie urządzenie kupiłeś. Pyta, jak nim zarządzasz. Czy aktualizujesz firmware? Czy monitorujesz logi? Czy masz procedury reagowania na incydenty obejmujące drukarki? Czy przy leasingu drukarki zawierasz umowę z klauzulami bezpieczeństwa?

Canon uniFLOW Online i Sharp Synappx Cloud Print to ekosystemy zarządzania flotą, które oferują centralny monitoring, image log wszystkich aktywności, alerty na anomalie i integrację z SIEM. Ale narzędzia to tylko połowa sukcesu, druga to regularne audyty, dokumentacja i kultura organizacyjna.

Ustandaryzowana, aktywnie zarządzana flota drukarek generuje 32% niższe koszty naruszeń bezpieczeństwa niż flota złożona z urządzeń wielu producentów — dane Quocirca 2025.

Na koniec: jedno pytanie do przemyślenia

Większość firm wydała w ostatnich dwóch latach znaczące budżety na firewalle, EDR, szkolenia antyphishingowe i polityki zerowego zaufania. Ile z tych firm uwzględniło kopiarki w ocenie ryzyka?

Drukarka przez dekady udawała, że jest meblem biurowym. NIS2 zakończyła tę grę. Pytanie nie brzmi już „czy drukarki podlegają cyberbezpieczeństwu". Brzmi: jak szybko organizacje zdadzą sobie z tego sprawę i czy zdążą przed pierwszym audytem.