Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Poradniki

SZBI — wzór polityki bezpieczeństwa informacji 2026 (template do pobrania)

SZBI to nie 200-stronicowy PDF na półkę — to żywy system 12 dokumentów, który chroni firmę przed incydentami i 10 mln euro kary z NIS2. Dajemy gotowy wzór polityki bezpieczeństwa informacji 2026 zgodny z ISO 27001:2022, rozporządzeniem KRI i RODO. Pobierz, dostosuj, wdroż w 6 miesięcy.

28 min czytania·Zaktualizowano dzisiaj
Autor:Redakcja KluczeSoftAktualizacja: 31 maja 2026
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Większość firm w Polsce w 2026 roku ma SZBI — System Zarządzania Bezpieczeństwem Informacji — tylko na papierze. 200 stron polityki, której nikt nie czyta, kupionej w pakiecie za 2 000 zł, podpisanej w 2019 roku i schowanej w segregatorze. Kiedy przychodzi incydent (ransomware na księgowości, wyciek bazy klientów, kontrola UODO po zgłoszeniu RODO), okazuje się, że dokumenty nie odpowiadają rzeczywistym procesom, role nie są obsadzone, a kopia zapasowa była ostatnio testowana trzy lata temu. Efekt: 50 000-2 000 000 zł kary RODO, utrata kontraktów B2B, zła prasa.

Dobra wiadomość: zbudowanie żywego SZBI dla 50-osobowej firmy w 2026 roku to 6 miesięcy pracy, 80-150 tys. zł budżetu i 12 obowiązkowych dokumentów, które realnie zmienią sposób pracy. W tym artykule dajemy gotowy wzór polityki bezpieczeństwa informacji zgodny z ISO/IEC 27001:2022, rozporządzeniem KRI z maja 2024 roku oraz RODO, plus 11 powiązanych szablonów (rejestr aktywów, procedura incydentów, klasyfikacja informacji, plan BCP, matryca uprawnień).

Czym jest SZBI i kto go realnie potrzebuje w 2026 roku

SZBI (System Zarządzania Bezpieczeństwem Informacji, ang. ISMS — Information Security Management System) to zbiór polityk, procedur, narzędzi i ról, które razem chronią poufność (confidentiality), integralność (integrity) i dostępność (availability) informacji w organizacji. To nie jest "polityka antywirusowa" ani "regulamin pracy zdalnej" — to kompletny system zarządzania, na poziomie operacyjnym podobny do systemu jakości ISO 9001, tylko ukierunkowany na bezpieczeństwo informacji.

W 2026 roku SZBI nie jest już opcjonalnym narzędziem dla firm ambitnych — staje się prawnym i kontraktowym wymogiem dla większości polskich organizacji średniej i dużej wielkości. Kto realnie musi mieć SZBI w 2026 roku:

  • Podmioty publiczne (urzędy, JST, szkoły, szpitale publiczne) — obowiązek wprost z rozporządzenia KRI (Krajowe Ramy Interoperacyjności) z 21 maja 2024 r., obowiązującego od 23 maja 2024 r. Audyt KRI minimum raz w roku.
  • Operatorzy usług kluczowych i podmioty ważne wg NIS2 — banki, ubezpieczenia, energia, transport, zdrowie, dostawcy chmury, MSP/MSSP, ICT-managed service providers. Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) — nowelizacja transponująca NIS2 — wymaga udokumentowanego SZBI. Kary do 10 mln euro lub 2% obrotu globalnego.
  • Spółki publiczne i sektor finansowy — DORA (Digital Operational Resilience Act) od 17 stycznia 2025 r. nakłada na podmioty finansowe obowiązek SZBI dla ICT risk management.
  • Sektor medyczny — RODO art. 32 (dane szczególnej kategorii), wymagania NFZ, plus opcjonalnie ABMED (Akredytowane Bezpieczeństwo Medyczne) jako sektorowy standard.
  • Dostawcy do administracji publicznej — coraz częściej certyfikat ISO/IEC 27001 jest wymogiem przetargowym (zamówienia publiczne ponad 5 mln zł, dostawy do MON, ABW, NASK).
  • Firmy ubiegające się o kontrakty z dużymi korporacjami — Volkswagen, Siemens, Orange, PZU wymagają od dostawców ISO 27001 lub równoważnego audytu bezpieczeństwa (TISAX dla automotive).
  • Każda firma przetwarzająca dane osobowe na większą skalę (e-commerce, HR-tech, SaaS, marketing) — RODO nie wymaga wprost SZBI, ale art. 32 ("odpowiednie środki techniczne i organizacyjne") + zasada rozliczalności (accountability) z art. 5 ust. 2 w praktyce wymuszają udokumentowany system.

Kto NIE potrzebuje pełnego SZBI: jednoosobowa działalność bez pracowników, mała firma B2C (do 10 osób) bez danych wrażliwych, organizacja non-profit bez infrastruktury IT. Tym podmiotom wystarczy okrojony zestaw polityk RODO + podstawowe procedury IT (kopia zapasowa, hasła, antywirus).

Trzy ścieżki SZBI — ISO 27001, KRI, ABMED

W Polsce istnieją trzy główne ścieżki budowy SZBI, różniące się zakresem, kosztem, certyfikowalnością i grupą docelową. Wybór ścieżki determinuje budżet, czas wdrożenia i to, czy uzyskamy dokument certyfikacyjny ważny dla przetargów.

ŚcieżkaISO/IEC 27001:2022KRI (rozporządzenie RM)ABMED
Dla kogoSektor prywatny, B2B, eksport, finanse, ICT, sektor publiczny dobrowolniePodmioty publiczne (urzędy, JST, szpitale publiczne, szkoły)Podmioty lecznicze, NFZ, sektor medyczny
Podstawa prawnaNorma międzynarodowa ISO/IEC 27001:2022Rozporządzenie RM z 21 maja 2024 r. (KRI)Standard sektorowy (CSIOZ, NFZ)
CertyfikowalnośćTak — przez akredytowane jednostki (BSI, TÜV, DEKRA, DNV)Nie — audyt wewnętrzny lub zewnętrzny, brak formalnego certyfikatuTak — audyt CSIOZ/zewnętrzny
Liczba zabezpieczeń93 (Załącznik A, 4 grupy: organizacyjne, ludzkie, fizyczne, technologiczne)Ok. 50 minimalnych wymagańSektorowo dostosowane do działalności medycznej
Czas wdrożenia6-18 miesięcy (zależnie od wielkości)3-9 miesięcy6-12 miesięcy
Koszt wdrożenia80-500 tys. zł + 30-60 tys. cert30-150 tys. zł50-200 tys. zł
Audyt cyklicznyCo rok (surveillance), recertyfikacja co 3 lataCo rok (audyt KRI wewnętrzny/zewnętrzny)Co rok
Korzyść biznesowaMiędzynarodowe uznanie, przetargi, kontrakty B2BZgodność z prawem, brak karyDostęp do kontraktów NFZ, wiarygodność medyczna
Tier kary za brakNIS2 do 10 mln EUR / 2% obrotu (jeśli operator)Brak bezpośredniej kary, ale dyskwalifikacja w audycie NIKSankcje NFZ + RODO

Rekomendacja praktyczna: dla większości firm prywatnych w 2026 roku — ISO/IEC 27001:2022 to "złoty standard". KRI to obowiązek dla sektora publicznego (nie ma wyboru). ABMED to dodatek dla podmiotów medycznych. Wzory w tym artykule są zgodne z ISO 27001:2022 i jednocześnie pokrywają większość wymagań KRI (90% pokrycie) — sektor publiczny może budować SZBI na bazie ISO 27001 i automatycznie spełniać KRI.

Kluczowe dokumenty SZBI — lista 12 obowiązkowych

Niezależnie od ścieżki (ISO 27001 / KRI / ABMED), SZBI wymaga zestawu udokumentowanych polityk i procedur. ISO/IEC 27001:2022 wskazuje 7 dokumentów wprost wymaganych (klauzule 4-10), plus dokumentację Załącznika A. W praktyce minimalna paczka SZBI dla firmy 50-osobowej to 12 dokumentów:

#DokumentKlauzula ISOCelCzęstotliwość przeglądu
1Polityka Bezpieczeństwa Informacji5.2Główny dokument intencji zarządu; zatwierdzony przez Zarząd1× rok
2Analiza kontekstu i stron zainteresowanych4.1, 4.2Identyfikacja wewnętrznych/zewnętrznych czynników, regulatorów, klientów1× rok
3Zakres SZBI4.3Co obejmuje system (lokalizacje, procesy, systemy IT)1× rok
4Rejestr aktywówA.5.9Spis sprzętu, oprogramowania, danych, ludzi, kontraktówBieżąco, audyt co 6 mies
5Metodyka szacowania ryzyka6.1.2Jak identyfikujemy, oceniamy, traktujemy ryzyko1× rok
6Rejestr ryzyk + matryca oceny6.1.2, 8.2Lista zidentyfikowanych ryzyk z oceną i planem postępowaniaCo kwartał
7Plan postępowania z ryzykiem6.1.3, 8.3Działania korygujące dla ryzyk powyżej akceptowalnego proguCo kwartał
8Deklaracja Stosowania (SoA — Statement of Applicability)6.1.3 dLista 93 zabezpieczeń A.5-A.8 z uzasadnieniem zastosowania/wykluczenia1× rok
9Procedura zarządzania incydentami bezpieczeństwaA.5.24-A.5.28Zgłaszanie, klasyfikacja, eskalacja, dokumentacja, lessons learnedPo każdym incydencie
10Plan zachowania ciągłości działania (BCP)A.5.29, A.5.30RTO/RPO, scenariusze awarii, testyTest 1× rok
11Polityka klasyfikacji informacjiA.5.12, A.5.13Publiczne / Wewnętrzne / Poufne / Tajne; oznakowanie, retencja1× rok
12Polityka kontroli dostępuA.5.15-A.5.18, A.8.2RBAC, MFA, przegląd uprawnień, deprovisioningCo kwartał

Plus 7 dokumentów wspierających, które warto mieć (nie zawsze obowiązkowe formalnie, ale audytor o nie zapyta): polityka pracy zdalnej, polityka czystego biurka i czystego ekranu, polityka zarządzania kopiami zapasowymi, polityka kryptograficzna (zarządzanie kluczami), polityka rozwoju oprogramowania (jeśli firma tworzy software), polityka relacji z dostawcami (security clauses w kontraktach), program szkoleń security awareness (SAT).

Pułapka: wielu konsultantów sprzedaje "paczkę 44 dokumentów" za 5-15 tys. zł. To zazwyczaj puste szablony Word, które trzeba przepisać od zera pod swoją organizację. Lepsza strategia: zacząć od 12 obowiązkowych powyżej, napisać je SWOIMI słowami dla SWOJEJ firmy (z pomocą wzoru poniżej), a dopiero potem dodawać kolejne. SZBI ma być żywy, nie ozdobny.

Wzór: Polityka Bezpieczeństwa Informacji — pełny template

Poniżej kompletny wzór Polityki Bezpieczeństwa Informacji zgodny z ISO/IEC 27001:2022 klauzula 5.2. Dostosuj nazwę firmy, daty i role do swojej organizacji. Dokument powinien zmieścić się na 4-6 stronach A4 — jeśli rośnie do 30 stron, znaczy że mieszasz politykę z procedurami (politykę zatwierdza Zarząd; procedury — kierownik IT).

POLITYKA BEZPIECZEŃSTWA INFORMACJI [NAZWA FIRMY Sp. z o.o.]

Wersja: 2.0 | Data wydania: [data] | Data przeglądu: [data + 1 rok] | Właściciel: Pełnomocnik ds. SZBI | Zatwierdził: Zarząd, uchwałą nr [numer] z dnia [data]

1. CEL POLITYKI

Niniejsza Polityka Bezpieczeństwa Informacji (dalej: "Polityka") określa cele, zasady i ramy zarządzania bezpieczeństwem informacji w [Nazwa Firmy] (dalej: "Spółka"). Polityka stanowi główny dokument Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) wdrożonego zgodnie z normą ISO/IEC 27001:2022. Celem Polityki jest ochrona poufności, integralności i dostępności informacji przetwarzanych przez Spółkę, zapewnienie zgodności z wymaganiami prawnymi (RODO, KSC/NIS2, kodeks pracy) i kontraktowymi, oraz minimalizacja ryzyka incydentów bezpieczeństwa.

2. ZAKRES

Polityka obowiązuje wszystkich pracowników Spółki (umowy o pracę, B2B, zlecenia, staże), dostawców i podwykonawców mających dostęp do systemów lub informacji Spółki, oraz wszystkich gości fizycznie przebywających w siedzibie. Zakres terytorialny: wszystkie lokalizacje Spółki ([wymień adresy]) plus praca zdalna. Zakres przedmiotowy: wszystkie informacje przetwarzane w formie elektronicznej i papierowej, niezależnie od nośnika.

3. DEFINICJE

  • Informacja — każda dana wartościowa dla Spółki, niezależnie od formy.
  • Poufność — właściwość informacji niedostępna nieautoryzowanym podmiotom.
  • Integralność — właściwość informacji nienaruszona, kompletna i prawidłowa.
  • Dostępność — właściwość informacji dostępnej dla autoryzowanych użytkowników na żądanie.
  • Aktyw — wszystko, co ma wartość dla Spółki (sprzęt, oprogramowanie, dane, ludzie, kontrakty).
  • Incydent bezpieczeństwa — zdarzenie naruszające lub mogące naruszyć poufność, integralność lub dostępność.
  • SZBI — System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/IEC 27001:2022.

4. ROLE I ODPOWIEDZIALNOŚCI

  • Zarząd Spółki — zatwierdza Politykę, zapewnia zasoby, zatwierdza apetyt na ryzyko, dokonuje przeglądu zarządczego 1× rok.
  • Pełnomocnik ds. SZBI (ISMS Manager / ISO) — nadzoruje wdrożenie i utrzymanie SZBI, raportuje do Zarządu, organizuje audyty wewnętrzne.
  • Inspektor Ochrony Danych (IOD/DPO) — nadzoruje zgodność z RODO; rola odrębna od ISO (konflikt interesów, gdy łączona).
  • Administrator Bezpieczeństwa Systemów (ABS / CISO) — odpowiada za techniczne aspekty bezpieczeństwa IT.
  • Właściciele aktywów (Asset Owners) — odpowiadają za klasyfikację, kontrolę dostępu i ochronę konkretnych zasobów.
  • Kierownicy działów — wdrażają politykę w swoich obszarach, raportują incydenty, zatwierdzają uprawnienia podwładnych.
  • Wszyscy pracownicy — przestrzegają polityki, raportują incydenty, uczestniczą w szkoleniach SAT.

5. KLASYFIKACJA INFORMACJI

Informacje klasyfikujemy w 4 poziomach (szczegóły w Polityce klasyfikacji informacji):

  • Publiczne (P1) — przeznaczone do publikacji (strona www, materiały marketingowe).
  • Wewnętrzne (P2) — domyślny poziom; dostępne wszystkim pracownikom.
  • Poufne (P3) — dostępne na zasadzie need-to-know; obejmują dane osobowe, finansowe, handlowe.
  • Tajne (P4) — krytyczne; dostęp tylko po imiennej autoryzacji Zarządu (np. plany M&A, dane kart płatniczych).

6. KONTROLA DOSTĘPU

Stosujemy zasadę najmniejszych uprawnień (least privilege) i need-to-know. Wszyscy użytkownicy mają unikalne konta (zakaz kont współdzielonych). MFA obowiązkowe dla: VPN, poczty, systemów administracyjnych, dostępów uprzywilejowanych. Przegląd uprawnień co kwartał. Procedura joiner-mover-leaver (JML) w ciągu 24 h dla zmian.

7. SZKOLENIA I ŚWIADOMOŚĆ (SAT — Security Awareness Training)

Każdy nowy pracownik przechodzi szkolenie SZBI w ciągu 14 dni od zatrudnienia. Coroczny przegląd dla wszystkich. Testy phishingowe minimum 4× rok. Dokumentacja: lista obecności, wynik testu, podpis pracownika.

8. ZARZĄDZANIE INCYDENTAMI

Każdy pracownik ma obowiązek zgłosić podejrzenie incydentu na adres incydent@[firma].pl lub do bezpośredniego przełożonego w ciągu 1 h od wykrycia. Incydenty kategoryzujemy P1-P4 (czas reakcji 1-72 h). Incydenty RODO zgłaszamy do UODO w ciągu 72 h. Pełna procedura w dokumencie "Procedura zarządzania incydentami".

9. CIĄGŁOŚĆ DZIAŁANIA

Plan BCP testowany 1× rok. RTO (Recovery Time Objective) i RPO (Recovery Point Objective) zdefiniowane per system w rejestrze aktywów. Kopie zapasowe według zasady 3-2-1 (3 kopie, 2 nośniki, 1 off-site), testowane minimum kwartalnie.

10. ZGODNOŚĆ (COMPLIANCE)

SZBI zapewnia zgodność z RODO (rozp. UE 2016/679), ustawą o ochronie danych osobowych (10.05.2018), KSC/NIS2 (jeśli dotyczy), kodeksem pracy (monitoring), ustawą o świadczeniu usług drogą elektroniczną. Audyt wewnętrzny SZBI 1× rok. Audyt zewnętrzny ISO 27001 — surveillance 1× rok, recertyfikacja co 3 lata.

11. NARUSZENIA POLITYKI

Naruszenie niniejszej Polityki przez pracownika może skutkować odpowiedzialnością porządkową (upomnienie, nagana) lub dyscyplinarną (rozwiązanie umowy o pracę z winy pracownika, art. 52 KP) i odpowiedzialnością cywilną/karną. Naruszenie przez dostawcę — sankcje umowne aż do rozwiązania kontraktu i naprawienia szkody.

12. AKTUALIZACJE POLITYKI

Polityka jest przeglądana minimum 1× rok i aktualizowana w razie istotnych zmian (zmiana prawa, znaczący incydent, zmiana zakresu działalności, fuzja/przejęcie, zmiana ISO/IEC 27001). Wersjonowanie: major.minor (np. 2.0 → 2.1 zmiana redakcyjna, 2.0 → 3.0 zmiana merytoryczna). Pracownicy są informowani o zmianach przez intranet + email + szkolenie roczne.

Podpisy: Prezes Zarządu — Pełnomocnik ds. SZBI — IOD

Wzór: Rejestr aktywów

Rejestr aktywów to fundament SZBI — bez wiedzy, co chronisz, nie da się ocenić ryzyka. Minimum 9 kolumn:

IDNazwa aktywuKategoriaWłaściciel (rola)KlasyfikacjaLokalizacjaRTORPOData ostatniego przeglądu
AKT-001Serwer DB produkcyjny (PostgreSQL)Hardware + DaneKierownik ITPoufne (P3)DC Warszawa rack 34 h15 min2026-04-15
AKT-002System CRM (Salesforce)SaaS + Dane klientówDyrektor SprzedażyPoufne (P3)Cloud EU8 h1 h2026-04-15
AKT-003Laptop pracowniczy (avg)HardwarePracownik (user)Wewnętrzne (P2)Mobilna24 h24 h2026-04-15
AKT-004Baza HR (dane pracowników)Dane osoboweDyrektor HRPoufne (P3)System HR on-prem8 h4 h2026-04-15
AKT-005Strona www (kluczesoft.pl)SaaS + KodMarketingPubliczne (P1)CF + serwer1 h1 h2026-04-15
AKT-006Kontrakty z klientami (papier)DokumentyDział PrawnyPoufne (P3)Sejf siedziba48 hN/A2026-04-15
AKT-007Klucze SSH produkcjiSekretyKierownik ITTajne (P4)Vault (HashiCorp)1 hN/A2026-04-15
AKT-008Wiedza domenowa (Confluence)Dane wewnętrzneWszyscy kierownicyWewnętrzne (P2)Cloud EU24 h24 h2026-04-15

W praktyce dla 50-osobowej firmy rejestr ma 200-500 wpisów. Najlepsze narzędzia (2026): proste — arkusz Google Sheets z RBAC; profesjonalne — GLPI (open-source), Snipe-IT (assets), ServiceNow CMDB, Compliance Aspekt (polski GRC), Drata (zautomatyzowany inventory dla SaaS).

Wzór: Procedura zarządzania incydentami bezpieczeństwa

Procedura incydentowa to dokument, który ratuje firmę o 3 nad ranem, kiedy księgowość dostaje ransomware. Powinna być jednostronicowa (TL;DR), z linkami do szczegółów. Wzór:

Cel: ustalić jednolity sposób zgłaszania, klasyfikacji, reakcji i dokumentacji incydentów bezpieczeństwa informacji.

Kanały zgłoszeń (24/7):

  • Email: incydent@[firma].pl (skrzynka czytana przez ABS + Pełnomocnika SZBI)
  • Telefon dyżurny: +48 [numer] (24/7, dyżur rotacyjny IT)
  • Helpdesk: kategoria "Incydent bezpieczeństwa" (priorytet High auto)
  • Anonimowy formularz na intranecie (dla zgłoszeń whistleblowing)

Klasyfikacja (P1-P4) i czas reakcji:

PriorytetDefinicjaPrzykładCzas reakcjiCzas rozwiązania docelowy
P1 — KrytycznyAktywne ryzyko dla biznesu, RODO breach, ransomware, wyciek > 1000 rekordówSzyfrowanie serwera, kompromitacja admina1 h4 h
P2 — WysokiRealne zagrożenie, dane wrażliwe, ale incydent ograniczonyWyciek pojedynczego rekordu, phishing kliknięty, zgubiony laptop z danymi4 h24 h
P3 — ŚredniNaruszenie polityki, podejrzane zachowanieLogowanie z nietypowego kraju, anomalia ruchu24 h7 dni
P4 — NiskiDrobne naruszenie polityki, edukacyjneHasło zapisane na karteczce, niezamknięty komputer72 h30 dni

Workflow (8 kroków):

  1. Wykrycie / zgłoszenie — pracownik lub system wykrywa incydent, zgłasza kanałem powyżej w ciągu 1 h.
  2. Triage — ABS klasyfikuje P1-P4 w ciągu 30 min od zgłoszenia, nadaje ID (INC-2026-XXXX).
  3. Powiadomienia — według matrycy eskalacji: P1 → Zarząd + IOD + Pełnomocnik SZBI natychmiast; P2 → Pełnomocnik SZBI + kierownik działu w 2 h; P3-P4 → Pełnomocnik SZBI w 24 h.
  4. Containment (zatrzymanie) — odizolowanie zainfekowanego systemu, zmiana haseł, odebranie uprawnień, blokada konta.
  5. Eradication (usunięcie przyczyny) — usunięcie malware, łatanie luki, czyszczenie systemu.
  6. Recovery (odtworzenie) — przywrócenie z kopii zapasowej, weryfikacja integralności, monitoring intensywny przez 30 dni.
  7. Notyfikacja zewnętrzna — jeśli incydent dotyczy danych osobowych: zgłoszenie do UODO w 72 h (formularz online), powiadomienie osób w "niezwłocznym terminie" jeśli wysokie ryzyko. Jeśli operator NIS2: zgłoszenie do CSIRT w 24 h.
  8. Lessons learned — post-mortem w ciągu 14 dni: co się stało, dlaczego, jak zapobiec; raport do Zarządu; aktualizacja polityki/procedur jeśli potrzeba.

Matryca eskalacji (skrócona):

RolaP1P2P3P4
ABS / CISO0 h0 h0 h0 h
Pełnomocnik SZBI0 h2 h24 h72 h
IOD (jeśli dane osobowe)0 h2 h24 h
Kierownik działu1 h4 h24 h7 dni
Zarząd1 h8 htygodniowy raportmiesięczny raport
Klient (jeśli dotyczy)per kontraktper kontrakt
UODO (jeśli breach)72 h72 hwarunkowo
CSIRT (jeśli NIS2)24 h72 h

Wzór: Plan zachowania ciągłości działania (BCP)

BCP to nie 100-stronicowy dokument na półkę — to żywy plan, który zespół IT testuje minimum raz w roku. Struktura wzoru:

  1. Cele biznesowe i akceptowalny czas przestoju — per proces krytyczny: jaki RTO i RPO akceptujemy. Np. CRM: RTO 4 h, RPO 1 h; księgowość: RTO 24 h, RPO 24 h; strona www: RTO 1 h, RPO 1 h.
  2. Scenariusze awarii (minimum 6 obowiązkowych): pożar w siedzibie, ransomware, awaria serwera DB, długotrwała przerwa w prądzie, utrata kluczowego pracownika (bus factor 1), atak DDoS.
  3. Strategie odtwarzania — dla każdego scenariusza: kto, co, w jakiej kolejności, w jakim czasie. Z numerami telefonów, danymi dostawców, lokalizacjami kopii zapasowych.
  4. Zespół BCP — Crisis Management Team (CMT): Prezes, Dyrektor IT, IOD, PR, kadry, prawnik. Każdy z zastępcą.
  5. Komunikacja — szablony komunikatów: do pracowników, klientów, mediów, organów (UODO, CSIRT). Kto autoryzuje. Kanały rezerwowe (Signal, SMS-y) gdy email nie działa.
  6. Testy — minimum 1× rok pełen test (tabletop exercise + faktyczne odtworzenie z backupu na środowisku testowym). Raport z testu w 14 dni.

Pełny artykuł o BCP: [link wewnętrzny do osobnego how-to].

Klasyfikacja informacji — kryteria i oznakowanie

Klasyfikacja to fundament wszystkich kontroli dostępu i procedur ochrony. Wzorzec 4-poziomowy (PL: P1-P4, ENG: Public / Internal / Confidential / Secret):

PoziomKryteriumPrzykładyOznakowanieRetencjaNiszczenie
P1 PublicznePrzeznaczone do publikacji, brak ryzyka ujawnieniaStrona www, broszury, oferty publiczne, materiały PRBrak (lub stopka "Public")Bezterminowo lub wg potrzeb biznesowychStandardowe
P2 WewnętrzneDomyślny poziom; dostępne pracownikom, nie do publikacji zewnętrznejInstrukcje wewnętrzne, struktura organizacyjna, intranet, nieujawniana strategiaStopka "Internal" w PDF/Word5-10 latShredder lub secure delete
P3 PoufneUjawnienie powoduje szkodę dla Spółki, klienta lub pracownikaDane osobowe, dane finansowe, kontrakty B2B, dane handlowe, plany strategiczneStopka "CONFIDENTIAL" + wodny znak; szyfrowanie w trans + at rest; ograniczona dystrybucjaWg RODO (5-50 lat dla danych osobowych) + przepisy podatkowe (5 lat min)Certified shredder (DIN 66399 P-5+); cryptographic erasure dla nośników
P4 TajneUjawnienie powoduje krytyczną szkodę; bardzo wąska grupa odbiorcówPlany M&A, dane kart płatniczych, klucze prywatne, dane medyczne pacjentów (jeśli pomiot leczniczy), tajemnice handlowe ustawy"TOP SECRET" + szyfrowanie + lista imienna z autoryzacją Zarządu; sejf fizyczny dla papieruWg minimalnych przepisów + zasada minimalizacjiAudytowane niszczenie z protokołem; nadpisanie 7-pass; demagnetyzacja

Zasada: klasyfikacja "spływa w górę" — dokument zawierający fragment P3 staje się P3. Klasyfikacja jest własnością twórcy/właściciela aktywu, ale audyt Pełnomocnika SZBI weryfikuje poprawność. Klasyfikacja jest WIDOCZNA — stopka/nagłówek na każdej stronie.

Kontrola dostępu — RBAC, ABAC, MFA i przeglądy

Kontrola dostępu w 2026 roku stoi na trzech filarach: least privilege (najmniejsze uprawnienia), MFA (multi-factor authentication) i przeglądy okresowe. Po Snowdenie, Targecie, MOVEit i Okta nikt już nie pyta "czy MFA", tylko "ile faktorów".

RBAC (Role-Based Access Control) — uprawnienia przypisane do ról, nie do osób. Pracownik dostaje uprawnienia poprzez rolę "Księgowy Senior", nie poprzez listę 47 systemów. Dla 50-osobowej firmy: 8-15 ról wystarczy. Macierz ról × systemy w arkuszu lub IAM (Keycloak, Okta, EntraID).

ABAC (Attribute-Based Access Control) — bardziej szczegółowe; uprawnienia zależą od atrybutów (lokalizacja, czas, urządzenie, kontekst). Np. "dostęp do systemu finansowego TYLKO z firmowego laptopa Z polskiego IP W godzinach 7-19". Stosowane w sektorze finansowym i obronnym. Dla MŚP — overkill, RBAC wystarczy.

MFA — obowiązkowe w 2026 roku dla: VPN, poczty, systemów administracyjnych, kont uprzywilejowanych (root, domain admin), kont z dostępem do danych osobowych P3+, wszystkich SaaS-ów z danymi firmowymi. Preferowane faktory: WebAuthn/Passkeys (Yubikey, Windows Hello) > TOTP (Google Authenticator, Aegis) > Push (Microsoft Authenticator) > SMS (ostatnia opcja, podatne na SIM-swap).

Przeglądy uprawnień (User Access Review):

  • Joiner-Mover-Leaver (JML) — uprawnienia w 24 h od zdarzenia HR.
  • Quarterly Access Review — co kwartał kierownik przegląda uprawnienia podwładnych, podpisuje listę. Brak podpisu w 14 dni = automatyczne odebranie nadmiarowych uprawnień.
  • Annual Privileged Access Review — co rok przegląd kont uprzywilejowanych (admin, root, sudo).
  • Service Accounts Review — co 6 miesięcy przegląd kont serwisowych, rotacja haseł/kluczy.

Szkolenia Security Awareness (SAT) — częstotliwość, koszty, dokumentacja

90% udanych ataków zaczyna się od człowieka (phishing, social engineering, słabe hasło). Bez SAT nawet najlepszy SZBI nie zadziała. Schemat:

  • Onboarding — szkolenie wstępne w ciągu 14 dni od zatrudnienia (60-90 min); obejmuje politykę, hasła, phishing, klasyfikację, zgłaszanie incydentów. Test końcowy ≥80% poprawnych odpowiedzi.
  • Doroczny refresher — wszyscy pracownicy 1× rok (45-60 min); aktualne zagrożenia, lessons learned z incydentów.
  • Testy phishingowe — minimum 4× rok (co kwartał); różne scenariusze. Cel: <5% kliknięć w "ofertę pracy", <2% wpisania danych w fałszywy formularz.
  • Szkolenia dla wybranych ról — administratorzy IT (zaawansowane), DPO (RODO), Zarząd (cyber-strategia, breach simulation).

Koszty 2026 (Polska):

Wielkość firmyRoczny budżet SATCo obejmuje
10-50 osób3-15 tys. złPlatforma e-learning + 4 testy phishingowe + onboarding
50-250 osób15-60 tys. złDedykowane platformy (KnowBe4, Hoxhunt, Cofense), instruktor 2× rok
250-1000 osób60-200 tys. złPełna platforma + warsztaty + symulacje
1000+ osób200 tys.-1 mln złIn-house SAT manager, gamifikacja, ciągłe kampanie

Polskie platformy SAT: CyberRescue, CyberShark, PRESCH Cyber Academy. Międzynarodowe popularne w PL: KnowBe4, Hoxhunt, Proofpoint Security Awareness.

Dokumentacja (audytor sprawdzi): lista obecności + wynik testu + podpis (papier lub elektroniczny w LMS) + harmonogram + raport roczny dla Zarządu z KPI (% przeszkolonych, % kliknięć w phish, top-3 ryzyka).

Audit + przegląd zarządczy — coroczny cykl

ISO/IEC 27001:2022 wymaga dwóch typów audytów:

1. Audyt wewnętrzny (klauzula 9.2) — minimum 1× rok, wykonywany przez wewnętrznego audytora lub firmę zewnętrzną zatrudnioną do tego celu (nie certyfikatora!). Audytor wewnętrzny MUSI być niezależny od audytowanego procesu — np. księgowa nie audytuje księgowości. Format: dwa dni dla 50-osobowej firmy; raport z niezgodnościami (major / minor / observation) w 14 dni; działania korygujące w 90 dni.

2. Przegląd zarządczy (klauzula 9.3) — minimum 1× rok, prowadzony przez Zarząd. Obowiązkowe wejścia (inputs):

  • Status działań z poprzedniego przeglądu
  • Zmiany w kontekście zewnętrznym/wewnętrznym
  • Feedback od stron zainteresowanych
  • Wyniki monitorowania i pomiarów
  • Wyniki audytów wewnętrznych
  • Wyniki oceny ryzyka i statusu planu postępowania
  • Możliwości ciągłego doskonalenia
  • Incydenty bezpieczeństwa za ostatni okres

Wyjścia (outputs): decyzje dotyczące doskonalenia SZBI, zmian zasobów, zmian polityk. Protokół podpisany przez Zarząd.

KPI SZBI (przykładowy panel):

KPITarget 2026Częstotliwość pomiaru
% pracowników po SAT w ostatnich 12 mies≥98%Miesięcznie
% zgłoszonych podejrzeń phishingu (vs kliknięć)≥40%Kwartalnie
Średni czas reakcji na P1<1 hPer incydent
Średni czas rozwiązania P1<4 hPer incydent
Liczba incydentów P1 rocznie0 lub trend ↓Rocznie
% aktywów w rejestrze z aktualnym właścicielem100%Kwartalnie
% przeglądów uprawnień wykonanych w terminie≥95%Kwartalnie
% patchowania krytycznych CVE w 30 dni≥98%Miesięcznie
Powodzenie odtworzenia z kopii zapasowej (test)100%Kwartalnie
Czas od leaver do odebrania uprawnień<24 hPer pracownik

3. Audyt zewnętrzny (certyfikacja ISO 27001):

  • Etap 1 (Stage 1) — dokumentacyjny: audytor sprawdza, czy dokumentacja SZBI istnieje, jest spójna, opisuje rzeczywisty stan. 1-2 dni. Wynik: raport z niezgodnościami do usunięcia przed Stage 2.
  • Etap 2 (Stage 2) — operacyjny: audytor sprawdza, czy SZBI faktycznie działa. Wywiady z pracownikami, próby ewidencji, walk-throughs procesów. 3-5 dni dla 50-osobowej firmy. Wynik: certyfikat ważny 3 lata, jeśli brak niezgodności major.
  • Audyty surveillance — co rok po certyfikacji (kontrolne, krótsze, 1-2 dni).
  • Recertyfikacja — co 3 lata pełen audyt.

Implementacja krok po kroku — 6 miesięcy dla 50 osób

Realistyczny harmonogram wdrożenia ISO/IEC 27001:2022 SZBI dla firmy 50-osobowej, prywatnej, sektor B2B SaaS (nie regulowany NIS2):

Miesiąc 1 — Setup (gap analysis + scoping)

  • Tydzień 1: Decyzja Zarządu, wybór konsultanta lub vCISO, budżet 80-150 tys. zł.
  • Tydzień 2-3: Gap analysis (audyt wstępny) — gdzie jesteśmy vs ISO 27001:2022 (zazwyczaj 25-40% pokrycia na start).
  • Tydzień 4: Definicja zakresu SZBI (lokalizacje, procesy, systemy), powołanie Pełnomocnika SZBI, alokacja zasobów.

Miesiąc 2 — Inwentaryzacja i ryzyko

  • Rejestr aktywów (200-500 wpisów).
  • Identyfikacja ryzyk (warsztaty z kierownikami działów; 80-150 ryzyk zidentyfikowanych).
  • Ocena ryzyka (prawdopodobieństwo × wpływ, matryca 5×5).
  • Decyzje o postępowaniu z ryzykiem (akceptacja / mitygacja / transfer / unikanie).

Miesiąc 3 — Dokumentacja

  • 12 obowiązkowych dokumentów (Polityka + 11 polityk szczegółowych).
  • Deklaracja Stosowania (SoA) — 93 zabezpieczenia z A.5-A.8 z uzasadnieniem.
  • Plan postępowania z ryzykiem (RTP).
  • Procedury operacyjne (incydenty, JML, backup, klasyfikacja, kontrola dostępu).

Miesiąc 4 — Wdrożenie techniczne

  • MFA na wszystkich krytycznych systemach.
  • Centralizacja logów (SIEM lub log-aggregator — Wazuh, Graylog, Elastic).
  • Vulnerability scanner (Nessus, Qualys, OpenVAS).
  • Backup 3-2-1 z testowaniem.
  • IAM / SSO (jeśli brak).
  • Szkolenie SAT dla wszystkich pracowników.

Miesiąc 5 — Operacja i testy

  • Pierwsze posiedzenie komitetu SZBI.
  • Pierwsze testy phishingowe.
  • Test odtworzenia z backupu.
  • Tabletop exercise BCP.
  • Audyt wewnętrzny SZBI (zewnętrzny konsultant, niezależny od wdrożeniowca).
  • Korekta niezgodności.

Miesiąc 6 — Certyfikacja

  • Wybór jednostki certyfikującej (BSI, TÜV, DEKRA, DNV — patrz niżej).
  • Stage 1 (1-2 dni).
  • Korekta niezgodności (14-30 dni).
  • Stage 2 (3-5 dni).
  • Certyfikat — sukces!

Łączny koszt 6-miesięcznego wdrożenia (50 osób):

PozycjaZakres kosztu
Konsultant / vCISO (wdrożenie)50-100 tys. zł
Narzędzia (SIEM, IAM, MFA, scanner, backup)20-50 tys. zł rocznie
Szkolenia SAT (platforma + onboarding)5-15 tys. zł rocznie
Audyt wewnętrzny5-15 tys. zł
Certyfikacja ISO 27001 (Stage 1+2)15-25 tys. zł
Audyt surveillance (rok 2 i 3)5-8 tys. zł rocznie
Total rok 180-200 tys. zł
Total rok 2-3 (utrzymanie)30-80 tys. zł rocznie

Narzędzia GRC — co wybrać w 2026 roku

GRC (Governance, Risk, Compliance) software to klej spinający SZBI: jedno źródło prawdy o aktywach, ryzykach, kontrolach, audytach, szkoleniach, incydentach. Bez GRC duża firma utonie w Excelach.

NarzędziePochodzenieCena 2026Najlepsze dla
Compliance AspektPolska800-3000 zł/miesPolskie MŚP, KRI, RODO; polski język
eAudytorPolska500-2000 zł/miesMałe firmy, prosty CMDB + audyt
OneTrust GRCUSA30-100 tys. zł rocznieKorporacje, multi-framework (ISO + SOC2 + RODO + HIPAA)
ServiceNow GRCUSA50-300 tys. zł rocznieEnterprise, integracja z ServiceNow CMDB
DrataUSA$7-15K USD rocznieSaaS-y, automatyzacja SOC2 + ISO 27001, integracja z AWS/GCP/Okta
VantaUSA$7-12K USD rocznieStartupy SaaS, automatyzacja, fast SOC2
HyperproofUSA$25-50K USD rocznieŚrednie firmy multi-framework
ErambaCzechy (open)Bezpłatny (community) lub komercyjnaŚrednie firmy z zespołem IT, oszczędność

Open-source alternatywy (dla małych budżetów): Eramba Community, ISMS.online (taniec), GRC Stack (komponuj sobie: GLPI dla CMDB + DefectDojo dla vulnerabilities + Wazuh dla SIEM + Greenbone dla scanu).

Polska rekomendacja 2026: Compliance Aspekt dla firm 20-200 osób (PL język, KRI, RODO out-of-the-box) lub Drata/Vanta dla SaaS-ów planujących SOC2 obok ISO 27001.

Certyfikacja ISO 27001 — koszt 2026, etapy, certyfikatorzy w PL

Lista akredytowanych jednostek certyfikujących ISO/IEC 27001 w Polsce (akredytacja PCA — Polskie Centrum Akredytacji):

CertyfikatorPochodzenieCennik orientacyjny (50 osób)Specjalizacje
BSI GroupWielka Brytania25-40 tys. zł (cykl 3-letni)Premium, międzynarodowe uznanie, finanse
TÜV Rheinland PolskaNiemcy20-35 tys. złPrzemysł, motoryzacja, IT
TÜV NORD PolskaNiemcy18-30 tys. złMŚP, sektor publiczny
TÜV SÜD PolskaNiemcy20-35 tys. złEnergy, healthcare
DEKRA CertificationNiemcy18-30 tys. złAutomotive, ICT
DNV (DNV GL)Norwegia25-40 tys. złMaritime, energy, oil&gas
Bureau Veritas PolskaFrancja20-35 tys. złMulti-sektor
PCBCPolska12-25 tys. złPolski certyfikator, MŚP, sektor publiczny
IBM (Intertek)UK18-30 tys. złICT, retail
CertiosPolska10-20 tys. złMałe firmy, lokalnie
PRS (Polski Rejestr Statków)Polska15-25 tys. złMaritime, infrastructure

Koszt całkowity cyklu 3-letniego (Stage 1 + Stage 2 + 2 surveillance):

  • Mała firma (10-25 osób): 12-20 tys. zł
  • Średnia (25-100 osób): 20-40 tys. zł
  • Duża (100-500 osób): 40-100 tys. zł
  • Enterprise (500+): 100-300 tys. zł

Wybór certyfikatora — kryteria:

  1. Akredytacja PCA (nie wszystkie firmy ją mają!). Sprawdź na pca.gov.pl.
  2. Rozpoznawalność u Twoich klientów (eksport do Niemiec → TÜV; UK → BSI).
  3. Sektor — czy mają audytorów z domeny (medtech, fintech, automotive).
  4. Cena — porównaj 3-5 ofert; spread często 30-50%.
  5. Reputacja — sprawdź referencje, opinie w branży.

SZBI dla MŚP — minimum viable approach

Mała firma (10-30 osób, nie regulowana NIS2, sektor B2C lub niskoryzykowny B2B) nie potrzebuje pełnego ISO 27001. Minimum Viable SZBI 2026 — 80 tys. zł rok 1, 30 tys. utrzymanie:

Co MUSI być:

  • Polityka Bezpieczeństwa Informacji (1 dokument, 4-6 stron) — wzór wyżej.
  • Rejestr aktywów (Google Sheet, 50-100 wpisów).
  • Procedura zarządzania incydentami (1 strona TL;DR + matryca eskalacji).
  • Polityka kontroli dostępu z MFA dla VPN/poczty/admin.
  • Backup 3-2-1 z testem 1× kwartał.
  • SAT (e-learning + 4 phishing testy rocznie; 5-10 tys. zł rocznie).
  • Zgodność RODO (RoP, RoCC, klauzule, IOD jeśli wymagany).

Co MOŻNA pominąć początkowo:

  • Pełna Deklaracja Stosowania (SoA) z 93 zabezpieczeniami.
  • ABAC (RBAC wystarczy).
  • SIEM (loguj kluczowe systemy do prostego log-aggregatora; rozbudowa później).
  • Formalna certyfikacja ISO (zrób ją w roku 2-3, gdy biznes będzie wymagał).
  • Komitet SZBI (jeden Pełnomocnik wystarczy).

vCISO (virtual CISO) — sensowna alternatywa do etatu

Dla MŚP zatrudnienie pełnoetatowego CISO (15-25 tys. zł brutto/mies + koszty) jest nieproporcjonalne. vCISO (zewnętrzny ekspert na 1-4 dni w miesiącu) kosztuje 5-25 tys. zł/mies i zapewnia pełną wartość strategiczno-operacyjną:

WymiarvCISO Polska 2026Etatowy CISO
Koszt miesięczny5-25 tys. zł18-40 tys. zł (z narzutem)
Dostępność1-8 dni/miesiącPełen etat
Doświadczenie10+ klientów, wiele branżJedna firma, głębsza
SkalowalnośćŁatwe zwiększenie zakresuTrudne (rekrutacja)
Dla kogoFirmy 20-300 osóbFirmy 300+ osób

Kiedy vCISO ma sens: firma wdrażająca pierwszy SZBI, ekspansja międzynarodowa, kontrakty wymagające CISO-as-a-Service, przygotowanie do certyfikacji, sytuacja po incydencie. Polscy dostawcy vCISO 2026: CyberSec24, Securitum, LexDigital, EITT, Niebezpiecznik for Business, PwC vCISO Service, Deloitte Cyber Risk Advisory.

Pliki do pobrania

Pełną paczkę 12 wzorów SZBI 2026 (Polityka Bezpieczeństwa Informacji, Rejestr aktywów, Procedura incydentów, Plan BCP, Polityka klasyfikacji, Polityka kontroli dostępu, Metodyka ryzyka, Rejestr ryzyk, SoA, Polityka backup, Polityka pracy zdalnej, Plan szkoleń SAT) w formacie .docx/.xlsx udostępniamy bezpłatnie po wypełnieniu krótkiego formularza: Pobierz wzory SZBI 2026.

Pakiet zawiera komentarze redaktora wskazujące, co trzeba dostosować pod swoją firmę oraz odniesienia do klauzul ISO/IEC 27001:2022. Dodatkowo dołączamy 32-punktową checklistę gap analysis do oceny obecnego stanu Twojego SZBI w 90 minut.

Co dalej: jeśli planujesz pełne wdrożenie ISO/IEC 27001, zacznij od gap analysis (2-3 dni pracy), potem alokuj 6-miesięczny budżet 80-200 tys. zł, wybierz vCISO lub firmę wdrożeniową, a certyfikatora dopiero w miesiącu 5. Nie kupuj certyfikacji u tej samej firmy, która wdraża — to konflikt interesów, niezgodny z akredytacją PCA. SZBI buduje się raz, utrzymuje na zawsze — ale po pierwszym roku staje się rutyną, a nie projektem.

Najczęściej zadawane pytania

Formalnie obowiązkowa jest tylko dla operatorów usług kluczowych i podmiotów ważnych wg NIS2 (banki, energia, transport, zdrowie, dostawcy chmury, MSSP), spółek finansowych w zakresie DORA oraz podmiotów publicznych (te jednak wdrażają KRI). Dla pozostałych firm — kontraktowo: coraz więcej korporacji (Volkswagen, Siemens, Orange, PZU) i przetargi powyżej 5 mln zł wymagają certyfikatu. RODO nie wymaga ISO 27001 wprost, ale art. 32 i zasada rozliczalności w praktyce wymuszają udokumentowany SZBI — ISO 27001 jest najprostszą drogą do zgodności.
Pełen wzór polityki bezpieczeństwa informacji 2026 zgodny z ISO/IEC 27001:2022 oraz 11 polityk wspierających (rejestr aktywów, procedura incydentów, plan BCP, klasyfikacja informacji, kontrola dostępu, metodyka ryzyka, SoA, backup, praca zdalna, plan SAT) udostępniamy bezpłatnie na stronie /pomoc/szbi-wzory-do-pobrania-2026. Inne darmowe źródła: szablony GIODO/UODO (RODO-centric), pakiety na githubie społeczności ISO27k Forum (po angielsku), polskie publikacje IKMJ, LexDigital i Malon Group. Uwaga: każdy wzór wymaga dostosowania pod konkretną firmę — gotowy szablon to start, nie koniec pracy.
Minimum raz w roku obowiązkowy formalny przegląd (klauzula 9.3 ISO/IEC 27001:2022), niezależnie od okoliczności. Plus aktualizacja ad-hoc po: istotnej zmianie prawa (np. nowelizacja KSC transponująca NIS2), znaczącym incydencie bezpieczeństwa (P1 lub P2), zmianie zakresu działalności (nowe produkty, nowe rynki), fuzji/przejęciu, zmianie wersji ISO/IEC 27001, zmianie kluczowych dostawców (chmura, outsourcing IT) lub w wyniku rekomendacji audytu zewnętrznego. W praktyce firmy aktywne zmieniają politykę 1-3 razy w roku.
Dla 10-osobowej firmy roczny budżet SAT to 3-15 tys. zł netto, zależnie od formy. Tanie warianty: platforma e-learningowa (CyberRescue, CyberShark, KnowBe4 Compliance Plus) — ok. 100-300 zł za użytkownika rocznie z testami phishingowymi 4× rok i materiałami do onboardingu. Średni wariant: platforma + 1 warsztat na żywo (Securitum, EITT, Niebezpiecznik for Business) — 8-12 tys. zł rocznie. Premium: dedykowany trener z symulacją wycieku — 15+ tys. zł. ROI: pojedynczy udany phishing to średnio 50-500 tys. zł straty, więc SAT zwraca się po 1 zablokowanym ataku.
Średnia cena audytu certyfikacyjnego ISO 27001 w Polsce w 2026 roku wynosi 15-18 tys. zł netto za Stage 1 + Stage 2 dla firmy 25-50 osób (źródło: rynkowe oferty PCBC, TÜV NORD, DEKRA, BSI; wahania 13,8-18 tys. zł). Pełen cykl 3-letni (Stage 1 + Stage 2 + 2 audyty surveillance) to 18-30 tys. zł netto. Recertyfikacja po 3 latach: 12-20 tys. zł. Dla większych firm (100-500 osób) audyt kosztuje 30-80 tys. zł. Czynniki cenotwórcze: liczba lokalizacji, liczba procesów w zakresie, sektor (finansowy droższy), rozpoznawalność certyfikatora (BSI premium, lokalni 30-40% taniej).
Dla podmiotu publicznego (urząd, JST, szkoła, szpital publiczny) wdrożenie KRI jest obowiązkowe z rozporządzenia RM z 21 maja 2024 roku — nie ma wyboru. ISO 27001 jest opcjonalne, ale silnie zalecane: pokrywa ~90% wymagań KRI i dodatkowo daje certyfikat uznawany międzynarodowo (przydatne przy współpracy z UE, kontraktach unijnych, fundacjach). Strategia optymalna: zbudować SZBI na bazie ISO/IEC 27001:2022 — automatycznie spełnia KRI plus daje certyfikowalność. Koszt wyższy o 20-30% niż samo KRI, ale uzyskany system jest mocniejszy i certyfikat dodaje wiarygodności.
Dla firm 10-100 osób najlepszym modelem jest hybryda: zewnętrzny konsultant lub vCISO prowadzi projekt wdrożenia (40-80 dni pracy w ciągu 6 miesięcy, 50-100 tys. zł), a wewnętrzny Pełnomocnik SZBI (rola dodana do istniejącego pracownika, np. kierownik IT lub administrator) przejmuje operację po wdrożeniu. Czysta opcja zewnętrzna (vCISO permanent) ma sens dla firm 20-200 osób — 5-25 tys. zł/mies. Wewnętrzny CISO etatowy uzasadniony powyżej 300 osób. NIGDY ten sam podmiot, który wdraża SZBI, nie powinien go certyfikować — konflikt interesów dyskwalifikuje akredytację PCA.
vCISO (virtual CISO) w Polsce w 2026 roku kosztuje 5-25 tys. zł netto miesięcznie, zależnie od zakresu, doświadczenia eksperta i wielkości firmy. Najczęstsze modele: ryczałt 1 dzień/mies (strategia, raport zarządczy) — 5-8 tys. zł; 2 dni/mies (strategia + nadzór operacyjny + audyty wewnętrzne) — 10-15 tys. zł; pełny strategiczny partner 4-8 dni/mies (vCISO + Pełnomocnik SZBI) — 18-25 tys. zł. Dostawcy: CyberSec24, Securitum, LexDigital, EITT, Niebezpiecznik for Business, PwC, Deloitte, EY, KPMG. Porównanie: etatowy CISO to 18-40 tys. zł brutto/mies + koszty narzędzi i rekrutacja — vCISO jest 2-4× tańszy dla MŚP i daje szerszą perspektywę.
ABMED (Akredytowane Bezpieczeństwo Medyczne) NIE jest obowiązkowe prawnie — to dobrowolny standard sektorowy CSIOZ ukierunkowany na podmioty lecznicze. Obowiązkowe dla sektora medycznego w Polsce to: RODO (zwłaszcza art. 9 dla danych zdrowotnych), ustawa o ochronie danych osobowych, wymagania NFZ dla świadczeniodawców, ustawa o systemie informacji w ochronie zdrowia oraz NIS2 jeśli podmiot jest klasyfikowany jako kluczowy (szpitale dużej skali). ABMED daje przewagę konkurencyjną w przetargach NFZ i wiarygodność wobec pacjentów. Alternatywa: ISO/IEC 27001:2022 + ISO/IEC 27799 (rozszerzenie dla zdrowia) pokrywa ABMED w 80-90% i jest bardziej rozpoznawalne międzynarodowo.
Formalnie nie ma zakazu w RODO ani w ISO/IEC 27001:2022, ale w praktyce te role POWINNY być rozdzielone — generują konflikt interesów. DPO (Inspektor Ochrony Danych) jest niezależnym kontrolerem zgodności z RODO i raportuje bezpośrednio do najwyższego kierownictwa (art. 38 ust. 3 RODO), nie może otrzymywać poleceń co do wykonywania zadań. Pełnomocnik SZBI (ISMS Manager) wdraża i utrzymuje system bezpieczeństwa — czyli IS BUDUJE kontrole, które DPO POWINIEN niezależnie AUDYTOWAĆ. Łączenie ról dyskwalifikuje niezależność audytu, krytykowane przez UODO i akredytatorów PCA. Wyjątek: bardzo małe firmy (do 10 osób) — można łączyć, ale audyt wewnętrzny SZBI musi wykonywać podmiot trzeci.

Czy ten artykuł był pomocny?