Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Poradniki

KSC ustawa 2026 — wymagania techniczne i checklist wdrożeniowy NIS2 dla MŚP

Nowelizacja KSC z 2026 r. wdraża NIS2 i obejmuje 6000–10 000 firm w Polsce. Pokazujemy 10 obowiązkowych środków technicznych, dokumentację SZBI, konkretne produkty (MFA, EDR, SIEM), checklistę 90-dniową dla MŚP i kary do 10 mln EUR.

18 min czytania·Zaktualizowano dzisiaj
Autor:Katarzyna NowakSprawdzone przezPiotr ZielińskiAktualizacja: 31 maja 2026
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Czym jest Ustawa o KSC i co zmienia nowelizacja 2026

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) obowiązuje od 28 sierpnia 2018 r. — to implementacja unijnej dyrektywy NIS z 2016 r. Pierwotnie obejmowała wąską grupę operatorów usług kluczowych (energetyka, transport, banki, zdrowie, woda, infrastruktura cyfrowa) i dostawców usług cyfrowych — w praktyce kilkuset największych podmiotów.

Nowelizacja 2026 wszystko zmienia. Wdraża dyrektywę NIS2 (Dz. Urz. UE, grudzień 2022). Polska przekroczyła termin transpozycji (17 października 2024 r.) i jest w postępowaniu przed TSUE. Ustawę implementującą podpisał Prezydent, a kluczowe przepisy obowiązują od 3 kwietnia 2026 r. Obowiązki firm rozkładają się etapami przez 24 miesiące.

Najważniejsze zmiany:

  • Liczba objętych podmiotów rośnie z ~400 do 6000–10 000 — skok dziesięciokrotny
  • Dwie nowe kategorie: podmiot kluczowy i podmiot ważny
  • Samoidentyfikacja zamiast wyznaczania — firma sama sprawdza i zgłasza się do wykazu
  • Kary do 10 mln EUR lub 2% globalnego obrotu (poprzednio max 1 mln zł)
  • Osobista odpowiedzialność zarządu — nie dział IT
  • 10 obowiązkowych środków technicznych i organizacyjnych
  • Zgłoszenie incydentu poważnego w 24h (wstępne) i 72h (pełne)
  • Audyt zgodności co 24 mies. dla podmiotów kluczowych

Ten artykuł to praktyczna mapa drogowa na 90 dni — od sprawdzenia, czy firma podlega ustawie, przez wdrożenie środków technicznych i dokumentacji, po przygotowanie do audytu KSC. Skupiamy się na realiach firm 50–250 osób — duże korporacje mają już ISO 27001 i SOC; MŚP musi budować od zera.

Kluczowe pojęcia KSC — słowniczek

  • Podmiot kluczowy — firma z sektora wysokokrytycznego (Załącznik 1: energetyka, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda, ścieki, infrastruktura cyfrowa, ICT B2B, administracja, kosmos) zatrudniająca >250 osób lub osiągająca obrót >50 mln EUR (suma bilansowa >43 mln EUR). Najpełniejszy reżim: audyt co 24 mies., kary do 10 mln EUR / 2% obrotu.
  • Podmiot ważny — firma z sektora kluczowego LUB sektora ważnego (Załącznik 2: pocztowe, odpady, chemia, żywność, wyroby medyczne, elektronika, maszyny, pojazdy, sklepy online, social media) o wielkości średniej (50–249 osób lub 10–50 mln EUR). Audyt na żądanie, kary do 7 mln EUR / 1,4% obrotu.
  • CSIRT — krajowy zespół reagowania na incydenty. W Polsce trzy: CSIRT NASK (cywilny, większość firm), CSIRT GOV (ABW, administracja i krytyczna infrastruktura państwa), CSIRT MON (sektor obronny)
  • ISAC — sektorowa platforma wymiany informacji o zagrożeniach (np. ISAC-Kolej, ISAC-Energetyka)
  • SZBI — System Zarządzania Bezpieczeństwem Informacji, zwykle wg ISO/IEC 27001
  • Incydent poważny — zdarzenie powodujące lub mogące spowodować poważne pogorszenie jakości lub przerwanie ciągłości usługi kluczowej (interpretacja CSIRT)
  • Łańcuch dostaw ICT — wszyscy zewnętrzni dostawcy oprogramowania, sprzętu i usług IT. Po NIS2 jesteś odpowiedzialny za ich bezpieczeństwo

10 obowiązkowych środków technicznych i organizacyjnych — szczegółowo

Artykuł 21 dyrektywy NIS2 (i przepisy implementujące w polskiej ustawie KSC) wymieniają 10 środków, które MUSZĄ być wdrożone przez każdy podmiot kluczowy i ważny. To nie są sugestie — to wymóg ustawowy.

Środek 1 — Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych

Co to oznacza w praktyce: musisz mieć udokumentowany, regularnie aktualizowany proces oceny ryzyka cyberbezpieczeństwa. Minimum: rejestr aktywów, mapowanie zagrożeń (np. według ISO 27005 lub NIST CSF 2.0), macierz ryzyka (prawdopodobieństwo × wpływ), plan postępowania z ryzykiem. Aktualizacja co najmniej raz w roku oraz po każdej istotnej zmianie w infrastrukturze. Bez tego dokumentu cała reszta nie ma sensu — to fundament.

Środek 2 — Obsługa incydentów

Plan reakcji na incydent (Incident Response Plan), zdefiniowane role (kto decyduje o izolacji systemu, kto kontaktuje się z CSIRT, kto z mediami), procedury eskalacji, rejestr incydentów. Co najmniej jedno ćwiczenie tabletop rocznie — symulacja realnego incydentu z udziałem zarządu. Przygotowane szablony zgłoszeń do CSIRT NASK.

Środek 3 — Ciągłość działania, zarządzanie kopiami zapasowymi i odzyskiwanie po katastrofie

BCP (Business Continuity Plan) + DRP (Disaster Recovery Plan). Określone RTO (Recovery Time Objective — ile czasu może być niedostępne) i RPO (Recovery Point Objective — ile danych możemy stracić). Kopie zapasowe testowane kwartalnie (sama kopia nie wystarczy — musisz mieć dowód, że potrafisz ją przywrócić). Backup zgodny z regułą 3-2-1: trzy kopie, na dwóch różnych nośnikach, jedna offsite (najlepiej w innej lokalizacji geograficznej). Po pojawieniu się ransomware: 3-2-1-1-0 — dodatkowo jedna kopia immutable (niemodyfikowalna) i zero błędów weryfikacji.

Środek 4 — Bezpieczeństwo łańcucha dostaw

Ocena ryzyka dla każdego krytycznego dostawcy ICT. Klauzule cyberbezpieczeństwa w umowach (prawo do audytu, wymóg notyfikacji o incydencie u dostawcy, wymogi techniczne minimum). Lista zakazanych dostawców (np. produkty objęte sankcjami UE). To najtrudniejszy do wdrożenia element dla MŚP — większość firm ma kilkudziesięciu dostawców SaaS i nie wie nawet, jakie dane gdzie trzymają.

Środek 5 — Bezpieczeństwo SDLC

Procedura secure SDLC dla oprogramowania własnego: SAST/DAST, SCA (Snyk, Dependabot, GHAS), polityka patch managementu. Krytyczne CVE w 48h, wysokie w 7 dniach, średnie w 30 dniach.

Środek 6 — Ocena skuteczności środków zarządzania ryzykiem

Audyt wewnętrzny raz w roku, zewnętrzny dla podmiotów kluczowych co 24 mies. (ustawa). Pentest minimum raz na 2 lata. KPI cyber raportowane do zarządu kwartalnie.

Środek 7 — Cyberhigiena i szkolenia

Szkolenie SAT dla 100% personelu włącznie z zarządem raz w roku. Symulowane kampanie phishingowe minimum kwartalnie. Częste błędy: szkolenie tylko IT, brak szkolenia kontraktorów, brak metryki (cel: <5% kliknięć w phishing test).

Środek 8 — Polityki i procedury dotyczące stosowania kryptografii i szyfrowania

Szyfrowanie danych w spoczynku (BitLocker, LUKS, VeraCrypt, natywne szyfrowanie baz danych — TDE) i w transmisji (TLS 1.2 minimum, preferencyjnie TLS 1.3; SSH zamiast Telnet; VPN dla zdalnego dostępu). Polityka zarządzania kluczami — HSM dla podmiotów krytycznych, KMS w chmurze (AWS KMS, Azure Key Vault, Google Cloud KMS) dla pozostałych. Zakaz algorytmów słabych (MD5, SHA-1, DES, 3DES, RC4).

Środek 9 — Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami

Onboarding: weryfikacja przed zatrudnieniem (background check dla stanowisk wrażliwych), podpisana polityka bezpieczeństwa. Offboarding: dezaktywacja kont w maksymalnie 4 godziny od końca umowy. Zasada least privilege — minimum uprawnień. Przegląd dostępów kwartalnie. Konta uprzywilejowane zarządzane przez PAM (Privileged Access Management — np. CyberArk, BeyondTrust, Delinea, lub open-source Teleport).

Środek 10 — Stosowanie uwierzytelniania wieloskładnikowego (MFA) lub ciągłego, bezpieczna komunikacja głosowa, wideo i tekstowa, bezpieczna komunikacja w sytuacjach kryzysowych

MFA jest wymagane minimum dla wszystkich kont uprzywilejowanych (administracyjnych), zdalnego dostępu (VPN, SSH), kont z dostępem do danych wrażliwych, dostępu do systemów krytycznych. W praktyce: MFA dla 100% pracowników, bez wyjątków. Preferowane metody: TOTP (Microsoft Authenticator, Google Authenticator, Authy), klucze sprzętowe FIDO2 (YubiKey, Google Titan) dla kont uprzywilejowanych. SMS jako MFA jest odradzane (podatne na SIM swap). Bezpieczna komunikacja kryzysowa: zaszyfrowany komunikator out-of-band (Signal, Wire, lub samodzielnie hostowany Matrix) — nie zakładaj, że firmowy Teams/Slack będzie działał podczas ataku ransomware.

ŚrodekPriorytetCzas wdrożeniaKoszt MŚP
1. Analiza ryzykaKRYTYCZNY2-4 tyg.5-15 tys. zł
2. Obsługa incydentówKRYTYCZNY2-3 tyg.3-10 tys. zł
3. BCP/DRP/BackupKRYTYCZNY4-8 tyg.15-50 tys. zł
4. Łańcuch dostawWYSOKI6-12 tyg.5-20 tys. zł
5. Secure SDLCŚREDNI4-8 tyg.10-30 tys. zł
6. Ocena skutecznościWYSOKIciągły20-80 tys. zł/rok
7. SzkoleniaKRYTYCZNY2 tyg.5-25 tys. zł/rok
8. KryptografiaKRYTYCZNY2-4 tyg.0-15 tys. zł
9. Kontrola dostępuKRYTYCZNY4-6 tyg.5-30 tys. zł
10. MFA + komunikacjaKRYTYCZNY1-3 tyg.0-10 tys. zł

Dokumentacja wymagana przez KSC — co musisz mieć w segregatorze

Podczas kontroli audytor KSC będzie żądał konkretnych dokumentów. Brak dokumentu = niezgodność = ryzyko kary. Minimum to:

  1. Polityka Bezpieczeństwa Informacji (PBI) — dokument nadrzędny, podpisany przez zarząd. Określa cele, zakres, role i odpowiedzialności. 10–20 stron, aktualizowany co najmniej raz w roku
  2. Polityki szczegółowe — kontroli dostępu, kryptografii, BYOD, pracy zdalnej, kopii zapasowych, klasyfikacji informacji, akceptowalnego użycia (AUP), zarządzania incydentem, zarządzania podatnościami. Łącznie 15–25 dokumentów
  3. Plan Ciągłości Działania (BCP) — scenariusze: pożar serwerowni, atak ransomware, utrata dostawcy chmurowego, awaria zasilania, pandemia. Każdy scenariusz z RTO/RPO, listą kontaktową, krokami odbudowy
  4. Plan Odzyskiwania Po Katastrofie (DRP) — bardziej techniczny od BCP, opisuje konkretne procedury IT (restore z backupu, failover do DR site)
  5. Rejestr Incydentów — chronologiczny zapis wszystkich incydentów (data, opis, klasyfikacja, działania, czas reakcji, lessons learned). Może być w Excelu lub w SOAR
  6. Rejestr Aktywów (CMDB) — wszystkie zasoby IT (serwery, stacje robocze, sieć, aplikacje, dane) z właścicielem biznesowym, klasyfikacją, lokalizacją
  7. Plan Reakcji na Incydenty (IRP) — kto co robi w pierwszych 60 minutach, w pierwszych 24 godzinach, w pierwszych 72 godzinach. Szablony komunikacji z CSIRT i klientami
  8. Macierz Ryzyka — wszystkie zidentyfikowane ryzyka cyber z oceną, właścicielem, strategią postępowania (akceptacja / unikanie / mitygacja / transfer)
  9. Rejestr Dostawców ICT — lista wszystkich dostawców, ocena ryzyka, klauzule cyber w umowach, daty ostatniego przeglądu
  10. Logi i raporty audytowe — z systemów krytycznych, przechowywane minimum 12 miesięcy (preferencyjnie 24 miesiące)

💡 Wskazówka praktyczna: Nie wymyślaj kół na nowo. Pobierz wzory dokumentów z Biuletynu Informacji Publicznej Pełnomocnika Rządu ds. Cyberbezpieczeństwa, ENISA Threat Landscape, lub kup pakiet startowy od dostawcy GRC (Governance, Risk, Compliance) — np. SecuRing, IT Governance Polska, NASK oferuje darmowe wzory dla MŚP.

System Zarządzania Bezpieczeństwem Informacji (SZBI) — ISO 27001, ABMED, KRI

SZBI to formalna struktura zarządzania bezpieczeństwem informacji w organizacji. Ustawa KSC nie wymaga konkretnej normy, ale wymaga wszystkich elementów składowych. Trzy najpopularniejsze ścieżki w Polsce:

ISO/IEC 27001:2022 — międzynarodowy standard, najbardziej uniwersalny. Załącznik A zawiera 93 kontrole bezpieczeństwa (po reorganizacji z 2022 r. — wcześniej 114). Certyfikacja kosztuje 30–80 tys. zł dla MŚP plus 15–30 tys. zł rocznie na utrzymanie. Posiadanie ważnego certyfikatu ISO 27001 znacząco upraszcza audyt KSC — większość kontrolerów uznaje pokrycie ISO 27001 za dowód zgodności z większością środków KSC.

ABMED — standard ABW dla podmiotów współpracujących z administracją rządową. Bardziej restrykcyjny od ISO 27001 w zakresie dostępu do informacji niejawnych. Niezbędny jeśli świadczysz usługi dla MON, MSWiA, kancelarii premiera.

KRI (Krajowe Ramy Interoperacyjności) — rozporządzenie 2012 dla podmiotów publicznych. Mniej szczegółowe niż ISO 27001, ale prostsze do wdrożenia w urzędach. Mapowanie KRI → ISO 27001 jest dostępne na stronie KPRM.

Co wybrać? Sektor prywatny: ISO 27001 + dodatkowe wymagania KSC. Sektor publiczny: KRI jako baza + ISO 27001 jeśli planowana komercjalizacja usług. Sektor obronny i administracja rządowa: ABMED obowiązkowo.

Konkretne wymagania techniczne — co musi działać w infrastrukturze

Ustawa nie wymienia produktów z nazwy, ale wymaga konkretnych zdolności. Oto przekład wymagań na technologię:

MFA — wymóg minimum dla: 100% kont uprzywilejowanych (admini domeny, root, DBA), 100% dostępu zdalnego (VPN, SSH, RDP), 100% paneli chmurowych (AWS, Azure, GCP Console), wszystkich kont z dostępem do danych RODO. Produkty: Microsoft Entra ID Premium P1/P2 z conditional access, Duo Security, Okta Workforce Identity, JumpCloud lub self-hosted Keycloak. Klucze sprzętowe YubiKey 5 NFC (~250 zł/szt) dla kont krytycznych — FIDO2 odporne na phishing, lepsze niż TOTP.

Szyfrowanie w spoczynku — wszystkie dane wewnętrzne/poufne: dyski stacji (BitLocker / FileVault 2 / LUKS), woluminy serwerowe (Azure Disk Encryption, AWS EBS, dm-crypt), bazy z TDE (SQL Server, Oracle, PostgreSQL pgcrypto, MySQL Enterprise), backupy AES-256 z kluczami oddzielnie od danych.

Szyfrowanie w transmisji — minimum TLS 1.2 (zalecane 1.3): web tylko HTTPS + HSTS, email z STARTTLS + DKIM + SPF + DMARC (min. quarantine), API tylko HTTPS, komunikatory E2E gdzie możliwe.

Segmentacja sieci — Zero Trust w ideale; praktyczne minimum dla MŚP: oddzielne VLANy (użytkownicy / serwery / IoT / DMZ / management), firewall między segmentami z default deny, mikrosegmentacja produkcji (VMware NSX, Cisco ACI). Produkty: Fortinet FortiGate 40F/60F (2-8 tys. zł), Palo Alto, Sophos XGS, pfSense (open-source).

EDR / XDR — wymóg de facto dla podmiotu kluczowego (antywirus nie wystarczy): CrowdStrike Falcon (~200 zł/endpoint/rok, lider), SentinelOne Singularity (150-250 zł), Microsoft Defender for Endpoint (wbudowane w M365 E5), Bitdefender GravityZone (100-180 zł, dobre dla MŚP), ESET PROTECT Enterprise (popularne w PL).

SIEM — centralne logowanie i korelacja: Microsoft Sentinel (chmurowe Azure, pay-per-GB), Splunk Enterprise Security (lider, drogi >500 tys. zł/rok), Elastic Stack (ELK) (open-source, popularne w PL admin), Wazuh (open-source SIEM+HIDS, darmowy), Graylog (open-source z Enterprise).

Backup — minimum 3-2-1, dla podmiotu kluczowego 3-2-1-1-0: Veeam Backup & Replication (standard rynkowy), Acronis Cyber Protect (backup+EDR), Rubrik/Cohesity (enterprise, immutable), Synology Active Backup (budżetowy MŚP, 3-15 tys. zł sprzęt).

Password vaults i PAM: 1Password Business, Bitwarden Enterprise, Keeper dla użytkowników; CyberArk, BeyondTrust, Delinea, Teleport (open-source) dla kont uprzywilejowanych.

SAT (Security Awareness Training): KnowBe4 (lider, 80-150 zł/user/rok), Proofpoint Security Awareness, Hoxhunt (gamifikowane), lokalne: Naukomp, ComCERT, NASK (darmowe podstawowe).

Audyt KSC — czego oczekiwać i kto go przeprowadza

Podmiot kluczowy ma obowiązek audytu co najmniej raz na 24 miesiące, przeprowadzanego przez niezależnego audytora posiadającego uprawnienia (m.in. CISA, ISO 27001 Lead Auditor, certyfikaty NASK). Audyt obejmuje:

  • Przegląd dokumentacji (PBI, BCP, IRP, rejestry)
  • Wywiady z personelem (CISO, administratorzy, użytkownicy końcowi)
  • Testy techniczne (vulnerability scan minimum, pentest opcjonalnie)
  • Weryfikację skuteczności wdrożonych środków (czy backup faktycznie odtwarzają, czy MFA jest egzekwowane)

Podmiot ważny podlega audytowi na żądanie organu nadzorczego (Pełnomocnika Rządu ds. Cyberbezpieczeństwa lub właściwego CSIRT). Może być losowy lub reaktywny po zgłoszonym incydencie.

Koszt audytu KSC: 20–80 tys. zł dla MŚP, 100–500 tys. zł dla średnich i dużych podmiotów. Plus koszt usunięcia niezgodności — często 2–5x koszt samego audytu.

Wynik audytu trafia do organu nadzorczego. Niezgodności krytyczne (np. brak MFA na kontach administracyjnych, brak BCP, brak rejestru incydentów) mogą skutkować decyzją administracyjną z karą finansową lub nakazem usunięcia w określonym terminie (zwykle 30–90 dni).

Checklist 90-dniowa — od zera do zgodności KSC

Realistyczny plan dla MŚP rozpoczynających od podstaw. Dla podmiotu kluczowego z istniejącym ISO 27001 — kompresuj do 30 dni.

Tygodnie 1–2: Assessment i samoidentyfikacja

  • Sprawdź, czy podlegasz KSC (kalkulatory online: KSC.expert, SecIQ, biznes.gov.pl)
  • Określ kategorię: podmiot kluczowy czy ważny (sektor + wielkość)
  • Powołaj CISO lub Pełnomocnika ds. Cyberbezpieczeństwa (jedno z dwojga — wymóg ustawowy dla podmiotów kluczowych)
  • Audyt początkowy gap analysis — co już masz, czego brakuje (użyj checklisty z normy ISO 27001 Annex A)
  • Rejestracja w wykazie cyberbezpieczeństwa — termin 3 października 2026 r. dla podmiotów spełniających kryteria na dzień 3 kwietnia 2026 r.
  • Spis aktywów IT (Excel wystarczy na początek)
  • Spis dostawców ICT z oceną krytyczności

Tygodnie 3–6: Polityki i dokumentacja

  • Polityka Bezpieczeństwa Informacji — podpisana przez zarząd
  • Polityka kontroli dostępu + matryca RACI
  • Polityka kryptografii
  • Polityka kopii zapasowych z RTO/RPO
  • Polityka klasyfikacji informacji (publiczne / wewnętrzne / poufne / tajne)
  • Polityka pracy zdalnej i BYOD
  • Polityka onboardingu/offboardingu pracowników
  • Polityka zarządzania podatnościami i patchowania
  • Macierz ryzyka i plan postępowania
  • Plan reakcji na incydent z numerami CSIRT NASK na pierwszej stronie

Tygodnie 7–10: Kontrole techniczne — wdrożenie minimum

  • MFA na wszystkich kontach administracyjnych
  • MFA na VPN i dostępie zdalnym
  • BitLocker/FileVault na wszystkich laptopach
  • Backup z testem restore (kwartalny harmonogram)
  • Centralne logowanie (minimum syslog server lub Wazuh)
  • Aktualizacja firewall — segmentacja sieci minimum (użytkownicy / serwery / DMZ)
  • EDR na wszystkich endpointach (zamiast antywirusa)
  • Disabled konta nieużywane >90 dni
  • Przegląd uprawnień (least privilege)
  • Skanowanie podatności — pierwsze przejście (Nessus, OpenVAS, Qualys, Tenable.io)

Tygodnie 11–12: Szkolenia, dokumentacja, próbny audyt

  • Szkolenie SAT dla całego personelu (włącznie z zarządem)
  • Symulowana kampania phishingowa (baseline)
  • Ćwiczenie tabletop — symulacja incydentu ransomware
  • Próbny audyt wewnętrzny (lub przez zewnętrznego konsultanta) — wykryje niezgodności przed oficjalnym audytem
  • Plan zamknięcia luk — priorytetyzacja krytyczne / wysokie / średnie

Po 90 dniach: utrzymanie

  • Audyt zewnętrzny KSC (dla podmiotów kluczowych — w terminie 24 mies. od wejścia ustawy)
  • Coroczna aktualizacja PBI i ryzyka
  • Kwartalne raporty cyber do zarządu z KPI
  • Roczne szkolenie SAT + kwartalne symulacje phishing
  • Roczne ćwiczenie BCP/DRP

Compliance dla małych podmiotów — uproszczone podejście

Podmiot ważny (50–250 osób) ma łagodniejszy reżim: audyt na żądanie zamiast obowiązkowego co 24 mies., kary do 7 mln EUR, prostsze raportowanie. Minimum viable security stack dla MŚP (50–150 tys. zł/rok):

  • [Microsoft 365 Business Premium](https://kluczesoft.pl/microsoft-365/microsoft-365-business-premium) (~100 zł/user/mies) — Entra ID P1 + MFA, Defender for Endpoint, Intune MDM, OneDrive DLP
  • Veeam Backup Essentials (8–15 tys. zł jednorazowo) — backup VMware/Hyper-V/M365
  • Fortinet FortiGate 60F (4–8 tys. zł + 2-3 tys./rok subskrypcja UTM)
  • YubiKey 5C NFC ×10-15 = 3 tys. zł na konta krytyczne
  • KnowBe4 lub szkolenia NASK — SAT 5-15 tys. zł/rok
  • vCISO — 2-5 tys. zł/mies vs etat (200-300 tys. zł/rok)
  • Wazuh self-hosted — darmowy SIEM

Plus jednorazowa konsultacja wdrożeniowa: 30–80 tys. zł na dokumentację, polityki, gap assessment, audyt wewnętrzny.

Razem: 80–180 tys. zł pierwszy rok, 50–100 tys. zł rocznie utrzymania — wielokrotnie mniej niż jedna kara KSC lub koszt incydentu ransomware (1,5–3 mln zł według Sophos 2025).

Kary za naruszenie KSC — case study i wysokość sankcji

Nowelizacja KSC drastycznie podnosi sankcje. Poprzedni reżim przewidywał maksymalnie 1 mln zł. Po wdrożeniu NIS2:

Podmiot kluczowy:

  • Maksymalnie 10 mln EUR lub 2% rocznego obrotu globalnego (większa z kwot)
  • Dodatkowo kary osobiste dla członków zarządu (zakaz pełnienia funkcji do 5 lat)
  • Możliwy tymczasowy zakaz świadczenia usługi krytycznej

Podmiot ważny:

  • Maksymalnie 7 mln EUR lub 1,4% rocznego obrotu globalnego
  • Sankcje administracyjne, bez kar karnych

Pierwsze kary w UE pod NIS2 (stan na początek 2026 r.):

  • Niemcy: 2,5 mln EUR dla operatora telekomunikacyjnego za brak zgłoszenia incydentu w 24h
  • Hiszpania: 800 tys. EUR dla podmiotu z sektora wodociągowego za brak BCP
  • Włochy: 1,2 mln EUR dla szpitala za brak MFA na kontach administracyjnych

W Polsce pierwsze decyzje administracyjne na nowych zasadach spodziewane są w II połowie 2026 r., gdy minie 6-miesięczny okres karencji.

Reporting incydentu krok po kroku — terminy 24h / 72h / 30 dni

To najczęściej egzaminowane na audycie. Procedura:

T+0 godzin: Wykrycie incydentu

  • Klasyfikacja: czy to incydent poważny (przerwa w usłudze, utrata danych, wpływ na klientów)
  • Jeśli TAK — uruchamiasz procedurę zgłoszenia

T+24 godziny: Wczesne ostrzeżenie do właściwego CSIRT

  • Formularz online na incydent.cert.pl (dla CSIRT NASK) lub portal CSIRT GOV/MON
  • Minimum: krótki opis, czy podejrzewasz działanie celowe, wstępna ocena wpływu transgranicznego
  • Nie musisz znać przyczyny — to tylko notyfikacja

T+72 godziny: Powiadomienie o incydencie (notification)

  • Pełny opis incydentu: data, zakres, klasyfikacja, wpływ na klientów/dostawców
  • Wskaźniki kompromitacji (IoC) jeśli znane
  • Dotychczasowe działania
  • Aktualizacja oceny wpływu transgranicznego

T+30 dni: Raport końcowy (final report)

  • Pełna analiza root cause
  • Lista wykonanych działań naprawczych i prewencyjnych
  • Lessons learned
  • Plan zmian w politykach/procedurach

Szablon zgłoszenia — minimum: nazwa podmiotu + NIP + kategoria KSC, osoba kontaktowa 24/7 (imię, telefon, email), data wykrycia i szacowana data wystąpienia, klasyfikacja (ransomware / DDoS / wyciek / nieuprawniony dostęp), wpływ na usługę (pełna przerwa / degradacja / brak), szacunkowa liczba dotkniętych użytkowników, charakter celowy (tak/nie/nie wiem), wpływ transgraniczny, aktualny status, dotychczasowe działania.

Kontakty: CSIRT NASK +48 22 380 82 74 (24/7), cert@cert.pl. CSIRT GOV csirt@csirt.gov.pl. CSIRT MON csirt.mon@mon.gov.pl.

Wsparcie publiczne — dotacje na cyberbezpieczeństwo 2026

Wdrożenie KSC nie musi być finansowane wyłącznie z własnej kieszeni. Aktywne programy:

  • KPO (Krajowy Plan Odbudowy) komponent E — cyberbezpieczeństwo, do 80% dofinansowania, budżet ok. 1 mld zł, nabory ciągłe do 2026 r.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) Działanie 2.32 — Cyberbezpieczeństwo MŚP, do 70% dofinansowania, max 1,5 mln zł
  • Program "Cyberbezpieczny Samorząd" — dla JST, do 850 tys. zł na jednostkę
  • Bony na cyfryzację PARP — do 100 tys. zł, prostszy nabór dla mikro/małych
  • Cyfrowa Gmina/Powiat 2.0 — kontynuacja programu, środki na audyty + technologię
  • Regionalne programy operacyjne (RPO) — każde województwo ma własny komponent cyber

Warto skorzystać z vCISO (virtual CISO) zamiast zatrudniać CISO w etacie — zewnętrzny ekspert na 1-2 dni w tygodniu daje funkcję compliance za 30-60% kosztu etatu. Dostawcy w Polsce: NASK Solutions, ComCERT, SecuRing, EY, Deloitte, KPMG, PwC, a także liczne wyspecjalizowane butiki (Niebezpiecznik, Securitum, Mediarecovery, SecuRing).

Kiedy wystarczy własny IT, a kiedy trzeba vCISO lub MSSP

Własny IT wystarczy, gdy jesteś podmiotem ważnym (nie kluczowym), masz <100 pracowników, IT zna ISO 27001 lub posiada CISSP/CEH, a stack jest prosty (M365, kilka serwerów).

Potrzebujesz vCISO, gdy jesteś podmiotem kluczowym, brak w zespole certyfikatów GRC (CISM, CISA, ISO 27001 LI), a zarząd wymaga kwartalnych raportów cyber. Koszt vCISO: 30-60% etatu CISO za 1-2 dni/tyg pracy konsultanta.

Potrzebujesz MSSP (SOC 24/7 outsourcing), gdy działasz w sektorze wysokiego ryzyka (finanse, zdrowie, energia), nie stać Cię na własny SOC 24/7 (min. 6-8 osób = 1-2 mln zł/rok) lub notujesz >5 incydentów miesięcznie. Polskie MSSP: ComCERT, NASK SOC, Exatel, T-Mobile, Orange Cyberdefense, Comarch, Mediarecovery — 5-50 tys. zł/miesiąc.

Podsumowanie — co zrobić w tym tygodniu

  1. Sprawdź, czy podlegasz KSC — kalkulator online (5 minut)
  2. Wyznacz osobę odpowiedzialną — CISO wewnętrzny, vCISO lub konsultant
  3. Wykonaj gap analysis względem 10 środków NIS2
  4. Zapisz daty kluczowe: 3 października 2026 (samoidentyfikacja), 24 miesiące na audyt
  5. Zaplanuj budżet — minimum 50–150 tys. zł rocznie dla MŚP

Compliance KSC to inwestycja w odporność biznesu, nie koszt. Średni koszt naruszenia danych w Polsce (IBM Cost of Data Breach 2025) to 4,9 mln zł — wielokrotnie więcej niż prewencja. Nowe kary KSC mogą tę kwotę podwoić. Lepiej zacząć dziś niż tłumaczyć się audytorowi za 6 miesięcy.

Najczęściej zadawane pytania

Tak. NASK publikuje darmowe wzory polityk dla MŚP na stronie cert.pl oraz w Biuletynie Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Dostępne są też wzory od ENISA (po angielsku, łatwe do tłumaczenia) oraz komercyjne pakiety GRC od ok. 5-15 tys. zł (SecuRing, IT Governance Polska). Wzory wymagają dostosowania do konkretnej organizacji — sama kopia nie wystarczy na audycie. Minimum: PBI, polityki kontroli dostępu, kryptografii, backupu, BCP, IRP, klasyfikacji informacji.
Ustawa wymaga MFA w stosownych przypadkach, ale w praktyce audytorzy wymagają MFA dla 100% kont uprzywilejowanych (admini, root, DBA), 100% dostępu zdalnego (VPN, SSH, RDP), 100% paneli chmurowych oraz wszystkich kont z dostępem do danych RODO. Dla zwykłych użytkowników MFA też jest silnie zalecane — większość incydentów ransomware zaczyna się od skompromitowanego konta zwykłego pracownika. Brak MFA na kontach administracyjnych = krytyczna niezgodność z możliwą karą administracyjną.
ISO 27001:2022 pokrywa ok. 80-90% wymagań KSC, ale nie wszystkie. Dodatkowo musisz wdrożyć: samoidentyfikację i wpis do wykazu (do 3 października 2026 r.), specyficzne procedury zgłaszania incydentów do CSIRT w terminach 24h/72h/30 dni, rejestrację osoby kontaktowej z CSIRT, ocenę dostawców z perspektywy łańcucha dostaw (NIS2 jest tu bardziej restrykcyjny niż ISO 27001 A.5.19-A.5.23). Wymagany jest też audyt KSC niezależnie od audytu certyfikacyjnego ISO.
Audyt KSC dla MŚP (50-250 osób) kosztuje 20-80 tys. zł, w zależności od złożoności infrastruktury i liczby lokalizacji. Audyt dla średnich i dużych podmiotów: 100-500 tys. zł. Trzeba doliczyć koszt usunięcia niezgodności wykrytych przez audyt — często 2-5x koszt samego audytu. Warto zrobić próbny audyt wewnętrzny lub przez tańszego konsultanta przed oficjalnym, żeby wykryć luki taniej.
Tak. Jeśli kwalifikujesz się jako podmiot ważny (nie kluczowy), masz: audyt na żądanie organu zamiast obowiązkowego co 24 mies., kary do 7 mln EUR / 1,4% obrotu zamiast 10 mln EUR / 2%, prostsze raportowanie. Wymagania techniczne (10 środków) są te same dla obu kategorii, ale skala wdrożenia może być mniejsza. Minimalny stack dla MŚP: M365 Business Premium (MFA + EDR + DLP) + Veeam backup + FortiGate + YubiKey + KnowBe4 SAT — łącznie 80-180 tys. zł w pierwszym roku.
Ustawa nie wymaga konkretnej lokalizacji geograficznej backupu, ale wymaga, żeby dane były pod kontrolą prawną UE/EOG, a dla danych o szczególnym znaczeniu (np. zdrowie, infrastruktura krytyczna) — pod jurysdykcją polską. W praktyce: dla większości podmiotów backup na AWS Frankfurt, Azure West Europe lub Google Cloud Europe jest akceptowalny. Dla podmiotów krytycznych (energetyka, bankowość, zdrowie) — rosną wymagania na lokalnych dostawców (Polcom, OVH PL, Beyond.pl, T-Mobile Cloud, Asseco Data Systems).
Tradycyjny VPN (IPsec, OpenVPN, WireGuard) z MFA spełnia minimum wymagań KSC. Jednak ZTNA (Zero Trust Network Access) — np. Cloudflare Access, Zscaler ZPA, Twingate, Tailscale — jest silnie rekomendowane dla podmiotów kluczowych, ponieważ rozwiązuje problem nadmiernych uprawnień po zalogowaniu (klasyczny VPN daje dostęp do całego segmentu). Plan: minimum VPN+MFA w 2026, migracja do ZTNA w 2026-2027.
Tak. CSIRT NASK przyjmuje zgłoszenia przez formularz na incydent.cert.pl (zalecane), emailem cert@cert.pl, lub telefonicznie +48 22 380 82 74 (24/7). CSIRT GOV i CSIRT MON mają własne portale dla swoich sektorów. Po wstępnym zgłoszeniu otrzymujesz unikalny numer incydentu, który należy używać we wszystkich kolejnych aktualizacjach (72h notification, 30-day final report). Warto wcześniej zarejestrować osobę kontaktową w cert.pl, żeby uniknąć opóźnień podczas realnego incydentu.
Nie ma formalnego wymogu certyfikacji trenera SAT w ustawie KSC, ale audytorzy oczekują dowodu kompetencji: certyfikatów branżowych (CISSP, CISM, CEH, Security+), doświadczenia praktycznego, lub korzystania z renomowanej platformy szkoleniowej (KnowBe4, Proofpoint, Hoxhunt). Wewnętrzni trenerzy są akceptowalni dla podstawowego SAT; bardziej zaawansowane (incident handling, secure coding) wymagają zewnętrznych ekspertów. NASK i CSIRT NASK prowadzą bezpłatne szkolenia dla podmiotów objętych KSC — warto je wykorzystać.
Tak. Aktywne programy: KPO komponent E (cyberbezpieczeństwo, do 80% dofinansowania, budżet ~1 mld zł), FENG Działanie 2.32 (Cyberbezpieczeństwo MŚP, do 70%, max 1,5 mln zł), Cyberbezpieczny Samorząd (dla JST, do 850 tys. zł), bony na cyfryzację PARP (do 100 tys. zł dla mikro/małych), Cyfrowa Gmina/Powiat 2.0, regionalne RPO. Wnioski można składać na audyty, wdrożenie technologii, szkolenia, dokumentację. Zalecam konsultację z brokerem dotacji — koszt 5-15% wartości dotacji często się zwraca.

Czy ten artykuł był pomocny?