Od 3 kwietnia 2026 roku obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdrożyła do polskiego prawa dyrektywę NIS2. Dla wielu firm i instytucji oznacza to konieczność przeprowadzenia audytu zgodności, którego wcześniej nie planowały. W ICT Future od lat realizujemy takie audyty dla instytucji kultury, jednostek administracji, podmiotów ochrony zdrowia oraz firm sektora prywatnego, więc dobrze wiemy, jak wygląda ten proces od strony praktycznej. W tym wpisie pokazujemy, kogo dotyczy audyt KSC, co audytor faktycznie sprawdza, jakie niezgodności pojawiają się najczęściej i jak przygotować organizację, żeby cały proces zakończył się sprawnie. Tekst kierujemy do osób, które stają przed tym tematem po raz pierwszy i potrzebują konkretnych odpowiedzi.
Kogo dotyczy ustawa o KSC i kiedy audyt jest obowiązkowy?
Ustawa o krajowym systemie cyberbezpieczeństwa, znana skrótem KSC, po nowelizacji z 2026 roku objęła znacznie szerszą grupę organizacji niż wcześniej. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony nową strukturą. Obecnie ustawa rozróżnia podmioty kluczowe i podmioty ważne, a kryterium kwalifikacji zależy głównie od sektora działalności oraz wielkości organizacji.
Do podmiotów kluczowych zaliczają się duże organizacje z sektorów takich jak energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, administracja publiczna oraz przestrzeń kosmiczna. Podmioty ważne to z kolei firmy z sektorów dostarczania usług pocztowych, gospodarki odpadami, produkcji żywności, produkcji urządzeń medycznych, motoryzacji, chemii i wielu innych obszarów wskazanych w ustawie.
Kluczowy próg wielkości to średnie przedsiębiorstwo, czyli mniej więcej pięćdziesiąt osób zatrudnionych i obrót przekraczający dziesięć milionów euro. Niższy próg dotyczy dostawców usług zarządzanych w obszarze cyberbezpieczeństwa, którzy podlegają ustawie już od poziomu małego przedsiębiorcy.
Audyt staje się obowiązkowy w określonych terminach. Podmioty, które spełniały kryteria w dniu wejścia ustawy w życie, mają czas do 3 października 2026 roku na wpis do Wykazu KSC. Pierwszy audyt bezpieczeństwa dla części podmiotów kluczowych przypada na 3 kwietnia 2028 roku. Dla nowo kwalifikowanych podmiotów terminy biegną od momentu spełnienia przesłanek ustawowych. W praktyce oznacza to, że dziś każda firma z wymienionych sektorów powinna sprawdzić, czy ustawa jej dotyczy, ponieważ koszt zaniechania bywa wyższy niż koszt wdrożenia.
Różnica między audytem KSC a audytem zgodności z NIS2?
Pytanie o różnicę między tymi audytami pojawia się u nas niemal w każdej rozmowie z klientem. Jest ono naturalne, ponieważ w mediach branżowych oba pojęcia stosuje się czasem zamiennie, choć formalnie odnoszą się do różnych poziomów regulacji.
NIS2 to dyrektywa Unii Europejskiej, czyli akt prawny obowiązujący państwa członkowskie do wdrożenia jej postanowień w prawie krajowym. Dyrektywa wyznacza ramy, cele i minimalne wymagania. Sama w sobie nie nakłada bezpośrednich obowiązków na polskie firmy.
KSC to polska ustawa, która te wymagania przekłada na konkretne przepisy obowiązujące w Polsce. Ustawa precyzuje, kto jest podmiotem kluczowym, a kto ważnym, jakie środki należy wdrożyć, w jakich terminach i jakie kary grożą za niezgodność. Polski ustawodawca w niektórych miejscach poszedł dalej niż dyrektywa, na przykład w zakresie progów wielkości dla dostawców MSSP czy odpowiedzialności kierownictwa.
W praktyce audyt zgodności z KSC sprawdza zgodność z polską ustawą, czyli z faktycznie obowiązującym prawem. Audyt zgodności z NIS2 bywa terminem marketingowym używanym wymiennie, ale jeśli organizacja działa w Polsce, regulatorem, który ją skontroluje, jest polski organ właściwy dla danego sektora, a podstawą prawną kary będzie ustawa o KSC, a nie sama dyrektywa.
Dla porządku warto dodać jeszcze jedną różnicę praktyczną. Audyt NIS2 prowadzony w innym kraju Unii może wyglądać inaczej w szczegółach, ponieważ każde państwo członkowskie ma własną ustawę wdrażającą. Firmy działające w wielu krajach Unii muszą uwzględnić tę specyfikę. W ICT Future doradzamy klientom, jak prowadzić proces tak, żeby spełnić wymagania polskiej ustawy i jednocześnie zachować spójność dokumentacji z wymaganiami dyrektywy unijnej.
Obszary podlegające audytowi KSC
Audyt KSC obejmuje trzy obszary, które razem tworzą obraz dojrzałości organizacji w zakresie cyberbezpieczeństwa. Pominięcie któregokolwiek prowadzi do raportu, który nie odpowiada na pytania regulatora.
Obszar techniczny to pierwsza warstwa, którą sprawdza audytor. Ocenie podlegają architektura sieci, segmentacja środowiska, konfiguracja zapór sieciowych i systemów wykrywania włamań, polityka aktualizacji oprogramowania, systemy kopii zapasowych oraz mechanizmy uwierzytelniania. Audytor pyta nie o to, czy organizacja kupiła dany system, lecz czy ten system jest właściwie skonfigurowany, monitorowany i wykorzystywany w codziennej pracy.
Obszar organizacyjny dotyczy struktury odpowiedzialności w firmie. Audytor sprawdza, czy wyznaczono osobę odpowiedzialną za cyberbezpieczeństwo, jak wygląda raportowanie do zarządu, czy istnieje plan ciągłości działania oraz jak organizacja reaguje na incydenty. Ważnym elementem są szkolenia pracowników, ponieważ ustawa wymaga, aby świadomość zagrożeń obejmowała cały zespół, nie tylko dział IT.
Obszar proceduralny to dokumentacja. Polityka bezpieczeństwa informacji, procedury klasyfikacji incydentów, procedura zgłaszania incydentów bezpieczeństwa, plan awaryjny, polityka zarządzania ryzykiem łańcucha dostaw oraz rejestr aktywów informacyjnych. Audytor weryfikuje, czy dokumenty są spójne, aktualne, zatwierdzone przez kierownictwo i czy realnie obowiązują w organizacji, a nie tylko leżą na półce.
Trzy obszary muszą się ze sobą zazębiać. Najlepsza technologia nie pomoże, jeśli brakuje procedur reagowania. Najlepsze procedury są bezwartościowe, jeśli zespół ich nie zna. Najlepsze szkolenia tracą sens, gdy konfiguracja systemów jest niezgodna z polityką firmy. Audytor szuka właśnie tych luk.
Jak wygląda audyt KSC krok po kroku?
W naszej praktyce audyt zgodności z KSC dzielimy na cztery etapy, które rozkładają pracę w czasie i pozwalają klientowi przygotować się do każdego kolejnego kroku. Standardowy projekt zajmuje od czterech do ośmiu tygodni, w zależności od wielkości organizacji.
Etap pierwszy to spotkanie wstępne i analiza zakresu. Określamy, które systemy, procesy i lokalizacje wchodzą w zakres audytu, kto będzie osobą kontaktową po stronie klienta i jak wygląda harmonogram. Wskazujemy dokumenty, które potrzebujemy zobaczyć w pierwszej kolejności, oraz osoby, z którymi musimy porozmawiać. Bez tego etapu audyt grzęźnie, ponieważ nie wiadomo, gdzie kończą się odpowiedzialności jednych osób i zaczynają drugich.
Etap drugi to przegląd dokumentacji. Czytamy politykę bezpieczeństwa informacji, procedury, regulaminy, umowy z dostawcami, plany ciągłości działania, rejestry incydentów oraz dokumentację techniczną systemów. Porównujemy zapisy z wymaganiami ustawy i z normami, na które ustawa się powołuje, przede wszystkim ISO 27001. Już na tym etapie pojawiają się pierwsze ustalenia, które trafiają do raportu.
Etap trzeci to wywiady i obserwacje. Rozmawiamy z administratorami, kierownictwem, osobami odpowiedzialnymi za ochronę danych oraz wybranymi pracownikami operacyjnymi. Sprawdzamy, czy praktyka pokrywa się z dokumentacją. Często to właśnie tutaj wychodzą rozbieżności, których sama analiza dokumentów nie pokaże.
Etap czwarty to testy techniczne. Wykonujemy testy konfiguracji systemów, skany podatności, sprawdzamy mechanizmy uwierzytelniania, weryfikujemy działanie kopii zapasowych przez próbę odtworzenia, czasem prowadzimy także kontrolowaną kampanię phishingową. Skala testów zależy od ustaleń z etapu pierwszego, ale bez nich raport nie miałby pełnego pokrycia w faktach.
Wynikiem każdego etapu jest częściowa notatka, która trafia do klienta. Po zakończeniu wszystkich etapów powstaje raport końcowy.
Najczęstsze niezgodności wykrywane u operatorów usług kluczowych
Po kilkudziesięciu zrealizowanych audytach możemy wskazać niezgodności, które powtarzają się prawie zawsze, niezależnie od branży klienta. Znajomość tej listy pomaga przygotować się do audytu i samodzielnie zamknąć część braków, zanim wejdzie audytor.
Brak aktualnej analizy ryzyka. Dokument istnieje, ale został przygotowany dwa lub trzy lata temu i nie uwzględnia obecnej infrastruktury, nowych systemów ani zmienionego krajobrazu zagrożeń. Ustawa wymaga, żeby analiza ryzyka była dokumentem żywym, aktualizowanym przy istotnych zmianach.
Niejasna odpowiedzialność za incydenty. W teorii odpowiedzialny jest dział IT, w praktyce nikt nie wie, kto powinien zadzwonić do CSIRT NASK w razie poważnego incydentu, w jakim czasie i jakimi informacjami. Procedura zgłaszania incydentów bezpieczeństwa wymaga jasnych nazwisk, telefonów i terminów.
Niespójne uwierzytelnianie. Część systemów chroniona jest tylko hasłem, część ma włączone MFA, w niektórych dział administratorów współdzieli konto. Ustawa wymaga, żeby dostęp do systemów krytycznych był chroniony co najmniej dwuskładnikowo.
Brakujące kopie zapasowe lub kopie nieprzetestowane. Backup istnieje, ale od pół roku nikt nie sprawdził, czy faktycznie da się z niego odtworzyć dane. W audycie zlecamy próbę odtworzenia i często okazuje się, że proces zajmie kilka dni albo nie zadziała wcale.
Niezarządzany łańcuch dostaw. Organizacja nie wie, ilu ma dostawców usług IT, jakie dane im powierzyła i jakie mają oni środki bezpieczeństwa. NIS2 i nowa ustawa o KSC kładą na ten obszar bardzo duży nacisk, ponieważ wiele incydentów dziś rozpoczyna się właśnie u podwykonawców.
Brak szkoleń dla zarządu. Ustawa wprost wymaga, żeby członkowie kierownictwa przeszli szkolenie z zakresu cyberbezpieczeństwa, a odpowiedzialność osobista za niezgodność może sięgać kary do 300 procent wynagrodzenia kierownika.
Raport poaudytowy i plan działań naprawczych
Raport jest produktem audytu, ale sam w sobie nie zmienia bezpieczeństwa organizacji. Najważniejsze, co dzieje się po nim. W ICT Future budujemy raporty tak, żeby klient mógł od razu zaplanować pracę, a nie tonął w abstrakcyjnych zaleceniach.
Każdy raport zawiera trzy główne części. Część pierwsza to streszczenie dla kierownictwa, czyli jednostronicowy obraz sytuacji z jasną oceną poziomu dojrzałości i wskazaniem najpilniejszych obszarów. Zarząd dostaje informacje potrzebne do decyzji budżetowych, bez technicznych szczegółów.
Część druga to szczegółowy opis ustaleń. Każda niezgodność opisana jest z odniesieniem do konkretnego artykułu ustawy lub punktu normy, ze wskazaniem dowodu z audytu, oceną ryzyka oraz rekomendacją działania. Dzięki temu czytelnik wie nie tylko co jest źle, ale dlaczego oraz co zrobić.
Część trzecia to plan działań naprawczych, czyli macierz zawierająca listę zadań, priorytet, szacowany nakład pracy, sugerowanego właściciela zadania w organizacji oraz proponowany termin realizacji. Priorytety oznaczamy w trzech kategoriach. Krytyczne, czyli takie, które należy zamknąć w ciągu trzydziestu dni. Wysokie, do zamknięcia w ciągu trzech do sześciu miesięcy. Średnie i niskie, w horyzoncie rocznym.
Naszą rolą po audycie nie jest wyłącznie dostarczenie dokumentu. Pomagamy klientowi we wdrożeniu rekomendacji, czasem w roli doradczej, czasem operacyjnej, zależnie od zasobów wewnętrznych. Klient nie zostaje sam z grubym raportem, którego nie wie, jak zrealizować. W naszym podejściu dokument zamienia się w roadmapę pracy zespołu na kolejne kwartały.
Ile trwa audyt KSC i jak się do niego przygotować?
Czas trwania audytu to jedno z pierwszych pytań, które zadają klienci. Odpowiedź zależy od kilku czynników, ale możemy podać realistyczne widełki. Mała organizacja o jednej lokalizacji i prostej infrastrukturze potrzebuje zwykle od czterech do sześciu tygodni. Średnia firma z kilkoma oddziałami od sześciu do dziesięciu tygodni. Większy podmiot kluczowy z rozproszoną infrastrukturą i wieloma systemami liczy się od trzech do czterech miesięcy.
Czas można skrócić poprzez dobre przygotowanie. Przygotowanie do audytu warto zacząć od kilku konkretnych kroków, które każda organizacja może wykonać sama.
- Zebrać dokumentację bezpieczeństwa w jedno miejsce. Polityki, procedury, regulaminy, plany awaryjne, rejestry incydentów.
- Zaktualizować analizę ryzyka, jeśli ostatnia wersja ma więcej niż rok.
- Sprawdzić aktualność listy zasobów informacyjnych i listy dostawców usług IT.
- Wyznaczyć osobę kontaktową, która ma czas i upoważnienie do prowadzenia projektu od strony klienta.
- Zebrać dowody na to, że szkolenia z cyberbezpieczeństwa odbyły się w ostatnim roku.
- Przetestować kopie zapasowe poprzez próbę odtworzenia kilku plików.
- Sprawdzić, czy MFA jest włączone na wszystkich kontach administratorów.
Te działania, wykonane przed wejściem audytora, znacząco skracają czas wywiadów i pozwalają skupić się na rzeczywistych lukach, a nie na zbieraniu podstawowych informacji.
Po naszej stronie zawsze proponujemy klientowi wstępne spotkanie informacyjne, podczas którego wspólnie ustalamy zakres i harmonogram. Pierwsze spotkanie nic nie kosztuje. Lepiej kilka razy doprecyzować oczekiwania na starcie niż wracać do nich w trakcie audytu.
Co warto zapamietać?
Audyt zgodności z KSC jest dziś dla wielu organizacji elementem planu na 2026 i 2027 rok. Termin pierwszego obowiązkowego audytu, który przypada na kwiecień 2028 roku, wydaje się odległy, ale praktyka pokazuje, że dwa lata to minimum potrzebne na rzetelne wdrożenie wszystkich wymagań. Organizacje, które zaczynają wcześniej, kończą projekt bez stresu, w spokojnym tempie i z budżetem rozłożonym na kilka kwartałów. Te, które zostawiają temat na ostatnie miesiące, płacą więcej za każdy etap. W ICT Future wspieramy klientów na każdym kroku tego procesu. Od pierwszej analizy luk, przez audyt zgodności i wdrożenie zaleceń, aż po przygotowanie do oficjalnej kontroli ze strony organu właściwego. Pracujemy z instytucjami kultury, jednostkami administracji, firmami komunalnymi oraz podmiotami ochrony zdrowia w całej Polsce. Jeśli stoisz przed pytaniem, od czego zacząć, napisz lub zadzwoń. Umówimy spotkanie i przygotujemy plan dopasowany do Twojej organizacji.