Centrum kompetencji NIS2/KSC
NIS2 i KSC praktycznie —od obowiązku do realnej odporności
Pomagamy organizacjom zrozumieć nowe obowiązki, właściwie określić zakres i przełożyć wymagania na działające procesy, zabezpieczenia i dowody. Bez zbędnej biurokracji, bez przypadkowych zakupów technologii i bez sprowadzania NIS2 do projektu działu IT.
Test ma charakter wstępny. Ostateczna kwalifikacja zależy od działalności, sektora, wielkości, struktury grupy i wyjątków ustawowych.
Aktualności prawne
Najważniejsze terminy w Polsce
3 kwietnia 2026
Nowelizacja KSC weszła w życie — obowiązki już obowiązują
7 maja – 3 października 2026
Samorejestracja w Wykazie KSC dla podmiotów niewpisywanych z urzędu
do 3 kwietnia 2027
Wdrożone wymagania (w tym SZBI) i korzystanie z S46 zgodnie z harmonogramem
do 3 kwietnia 2028
Pierwszy audyt dla nowych podmiotów kluczowych (co do zasady)
3 kwietnia 2026
Nowelizacja KSC weszła w życie — obowiązki już obowiązują
7 maja – 3 października 2026
Samorejestracja w Wykazie KSC dla podmiotów niewpisywanych z urzędu
do 3 kwietnia 2027
Wdrożone wymagania (w tym SZBI) i korzystanie z S46 zgodnie z harmonogramem
do 3 kwietnia 2028
Pierwszy audyt dla nowych podmiotów kluczowych (co do zasady)
Od czego zacząć?
Cztery pytania, które porządkują cały program
1. Czy organizacja podlega KSC?
Najpierw zweryfikuj sektor, rodzaj działalności, wielkość organizacji, strukturę grupy oraz przypadki szczególne. Bez poprawnej kwalifikacji nie da się ustalić obowiązków, terminów i właściwego organu.
Sprawdź kwalifikację2. Jakie usługi i procesy są krytyczne?
BIA pokazuje, które procesy nie mogą długo czekać, jakie skutki wywoła przerwa i od czego zależy ich działanie. To punkt wyjścia do RTO, RPO, backupu, disaster recovery oraz planów awaryjnych.
Poznaj BIA3. Jakie ryzyka trzeba ograniczyć?
Analiza ryzyka pozwala ustalić priorytety. Nie wszystkie systemy wymagają tego samego poziomu ochrony, a technologia ma odpowiadać na konkretny scenariusz zagrożenia.
Zobacz podejście do ryzyka4. Jak udowodnić, że system działa?
Potrzebne są nie tylko polityki, lecz także zapisy: wyniki testów, przeglądy dostępów, raporty z backupu, obsłużone incydenty, decyzje zarządu, działania korygujące i mierniki skuteczności.
Zobacz dokumenty i dowodyPozycjonowanie programu
NIS2 nie jest projektem IT
NIS2 dotyczy odporności całej organizacji. IT i cyberbezpieczeństwo dostarczają rozwiązania, ale to właściciele biznesowi określają krytyczność procesów, dopuszczalny czas przerwy, skutki utraty danych, wymagania wobec dostawców i akceptowalny poziom ryzyka. Zarząd nadaje mandat, zatwierdza budżet, nadzoruje wdrożenie i podejmuje decyzje dotyczące ryzyka rezydualnego.
Skuteczny model to program organizacyjny prowadzony przez Komitet Sterujący, koordynowany przez CIO lub wyznaczonego dyrektora programu i realizowany w strumieniach biznesowych, prawnych, operacyjnych oraz technologicznych.
Zobacz model zarządzania programemCo naprawdę trzeba zbudować?
Pięć zdolności, które mają znaczenie podczas incydentu
| Zdolność | Co oznacza w praktyce | Wartość dla organizacji |
|---|---|---|
| Wiedzieć, co chronimy | usługi, procesy, aktywa, dane, właściciele i zale żności | właściwe priorytety i wydatki |
| Zapobiegać | kontrola dostępu, aktualizacje, konfiguracja, szkolenia i dostawcy | mniejsze prawdopodobieństwo incydentu |
| Wykrywać | monitoring endpointów, tożsamości, sieci, chmury i logów | krótszy czas obecności atakującego |
| Reagować | role, playbooki, eskalacja, komunikacja i raportowanie | ograniczenie skutków i chaosu |
| Odtwarzać | BCP, DRP, kopie, obejścia i testy | szybszy powrót do bezpiecznej działalności |
Centrum wiedzy
Wiedza uporządkowana według decyzji, nie według paragrafów
Priorytety
Minimalny rozsądny standard bezpieczeństwa
Dla większości średnich organizacji priorytetem powinno być:
1ustalenie zakresu i właścicieli usług
2inwentaryzacja aktywów i zależności
3analiza BIA i analiza ryzyka
4wieloskładnikowe uwierzytelnianie dla kluczowych dostępów
5zarządzana ochrona stacji i serwerów, najczęściej EDR
6sprawny proces aktualizacji i podatności
7kopie odporne na atak oraz udokumentowane testy odtworzenia
8segmentacja najważniejszych środowisk
9monitoring krytycznych systemów i uzgodniona obsługa alertów
10plan reagowania na incydenty i procedura raportowania
11BCP i DRP wynikające z BIA
12ocena dostawców krytycznych
13szkolenia, ćwiczenia i przeglądy skuteczności
Zastrzeżenie: to punkt startowy, nie uniwersalna lista zgodności. Zakres musi wynikać z ryzyka i charakteru organizacji.
Narzędzia
Sprawdź stan swojej organizacji
Kalkulator RTO/RPO
uporządkuj oczekiwania biznesu wobec odtworzenia
w przygotowaniuGenerator listy dokumentów
lista dopasowana do skali i środowiska
w przygotowaniuUsługi
Wsparcie tam, gdzie potrzebna jest niezależność lub dodatkowa wiedza
Nie zaczynaj od zakupu narzędzia. Zacznij od poprawnego zakresu i ryzyka.
Podczas krótkiej rozmowy zweryfikujemy sytuację organizacji, najważniejsze terminy, aktualny poziom przygotowania i sensowny pierwszy krok. Bez zobowiązania do zakupu pełnego programu.
igor.bielecki@gmail.com
