SZBI i zarządzanie ryzykiem
Projektujemy system zarządzania bezpieczeństwem informacji (SZBI) adekwatny do skali ryzyka i modelu biznesowego.
NIS2 / KSC dla przedsiębiorców
Prowadzimy organizacje od kwalifikacji statusu podmiotu po wdrożenie SZBI, proces incydentowy 24h/72h/1 miesiąc i gotowość na nadzór.
Marki, z którymi pracowaliśmy
zakres NIS2 i nowelizacji KSC
Wspieramy firmy w przejściu z analizy stosowalności do operacyjnej zgodności: SZBI, zarządzanie, incydenty, audyty i obowiązki łańcucha dostaw.
Incydenty i obowiązki raportowe
Budujemy procedury dla obowiązków 24 godziny, 72 godziny i 1 miesiąc wraz z gotowymi szablonami zgłoszeń.
Odpowiedzialność zarządu
Porządkujemy role kierownika podmiotu, model nadzoru i roczne szkolenia wymagane przez ustawę.
Łańcuch dostaw i HRV
Oceniamy ryzyka dostawców IT, projektujemy klauzule umowne i planujemy scenariusze migracji po decyzjach HRV (dostawca wysokiego ryzyka).
Wejście w życie ustawy: 1 miesiąc od ogłoszenia w Dz.U.; przy publikacji pod koniec lutego 2026 r. oznacza to koniec marca 2026 r. (szacunek).
Sankcje administracyjne: podmiot kluczowy do 10 mln EUR lub 2% obrotu, podmiot ważny do 7 mln EUR lub 1,4% obrotu; w sytuacjach krytycznych do 100 mln zł.
Stan prawny/materiał: 21 lutego 2026 r.
podmioty kluczowe i ważne
Najpierw kwalifikujemy status prawny organizacji, bo od tego zależy model nadzoru, zakres audytu i poziom sankcji. W praktyce kluczowe jest rozstrzygnięcie: czy jesteś podmiotem kluczowym (często mówionym „krytycznym”) czy podmiotem ważnym.
Jak ustalić status: 4 kroki kwalifikacji
Krok 1: sektor działalności
Sprawdzamy, czy działalność mieści się w sektorach z załącznika nr 1 (sektory kluczowe) lub załącznika nr 2 (sektory ważne).
Krok 2: wielkość organizacji
Weryfikujemy próg co najmniej średniego przedsiębiorstwa: od 50 pracowników lub co najmniej 10 mln EUR obrotu i 10 mln EUR sumy bilansowej.
Krok 3: wyjątki niezależne od skali
Część podmiotów wpada do reżimu niezależnie od wielkości, np. DNS/TLD, wybrane usługi ICT, kwalifikowani dostawcy usług zaufania, podmioty krytyczne CER i część podmiotów publicznych.
Krok 4: status i model nadzoru
Wynikiem jest status podmiotu kluczowego albo ważnego, co determinuje tryb nadzoru, audytu i zakres obowiązków dowodowych.
Podmiot kluczowy
Co do zasady: duże podmioty z sektorów kluczowych oraz kategorie wskazane ustawowo niezależnie od wielkości (m.in. część dostawców ICT i podmioty krytyczne).
- Nadzór proaktywny
- Audyt zewnętrzny co 3 lata
- Najwyższy próg sankcyjny
Podmiot ważny
Zwykle średnie i duże podmioty z sektorów ważnych oraz część podmiotów z sektorów kluczowych, które nie spełniają przesłanek statusu kluczowego.
- Nadzór reaktywny
- Audyt na nakaz lub po incydencie
- Pełne obowiązki systemowe
DORA i podmioty finansowe
Dla podmiotów finansowych rozgraniczamy obowiązki DORA i KSC oraz projektujemy jeden zintegrowany model compliance, żeby uniknąć dublowania procesów.
Rejestracja i samoidentyfikacja
Podmiot sam kwalifikuje swój status i składa wpis do wykazu. Po wejściu ustawy zwykle mówimy o 6 miesiącach na rejestrację podmiotów już spełniających przesłanki oraz 2 miesiącach od późniejszego spełnienia przesłanek.
Czy to podmiot kluczowy? Najczęstsze przykłady
Podmiot kluczowy- Duży szpital lub sieć podmiotów leczniczych
- Duży operator infrastruktury cyfrowej (cloud, data center, CDN)
- Dostawca usług DNS/TLD lub kwalifikowany dostawca usług zaufania
- Podmiot krytyczny w rozumieniu CER
Czy to podmiot ważny? Najczęstsze przykłady
Podmiot ważny- Średni lub duży producent żywności, chemikaliów albo elektroniki
- Średni operator usług pocztowych lub gospodarki odpadami
- Średnia firma z sektora kluczowego, która nie spełnia przesłanek podmiotu kluczowego
- Wybrane podmioty publiczne z załącznika nr 2
stan prawny/materiał: 21 lutego 2026 r.
harmonogram wdrożenia
Pokazujemy daty pewne i daty warunkowe, żeby uniknąć błędnego komunikatu o obowiązywaniu przepisów.
23 stycznia 2026
Sejm uchwalił nowelizację KSC wdrażającą NIS2.
20 lutego 2026
Senat przyjął ustawę bez poprawek.
po ogłoszeniu w Dz.U.
Vacatio legis: 1 miesiąc od dnia ogłoszenia.
koniec marca 2026
Scenariusz orientacyjny przy publikacji pod koniec lutego 2026 r.
~6 miesięcy od wejścia
Termin rejestracji podmiotu w wykazie.
~12 miesięcy od wejścia
Termin pełnego wdrożenia wymogów systemowych.
stan prawny/materiał: 21 lutego 2026 r.
plan wdrożenia NIS2/KSC: etapy 0-10
Każdy etap zamykamy artefaktem, który można wykorzystać operacyjnie i dowodowo wobec organu nadzoru.
Etap 0 - kwalifikacja podmiotu
Analiza stosowalności i klasyfikacja na podmiot kluczowy/ważny.
Rezultat: ocena stosowalności
Etap 1 - rejestracja i zarządzanie
Wpis do wykazu, role kontaktowe i model odpowiedzialności kierownictwa.
Rezultat: pakiet rejestracyjny
Etap 2 - SZBI i zarządzanie ryzykiem
Budowa SZBI, metodologia ryzyka i zestaw polityk bezpieczeństwa.
Rezultat: ramy SZBI
Etap 3 - łańcuch dostaw
Ocena dostawców, badanie należytej staranności i przygotowanie na scenariusz HRV.
Rezultat: pakiet bezpieczeństwa łańcucha dostaw
Etap 4 - procedury incydentowe
Projekt procesu notyfikacji i eskalacji dla incydentów poważnych.
Rezultat: procedura raportowania incydentów
Etap 5 - struktury cyber
Powołanie funkcji wewnętrznych lub model outsourcingowy SOC/CSIRT.
Rezultat: karta zarządzania cyber
Etap 6 - szkolenia
Programy dla zarządu i zespołów wraz z rejestrem szkoleń.
Rezultat: matryca szkoleń
Etap 7 - audyt
Przygotowanie do audytu okresowego i trybu audytu nakazanego.
Rezultat: pakiet gotowości audytowej
Etap 8 - integracja regulacyjna
Spięcie KSC z DORA, RODO, AI Act i pozostałymi regulacjami.
Rezultat: matryca regulacyjna
Etap 9 - monitoring ciągły
Mechanizm przeglądów, zarządzanie zmianami i gotowość na polecenie zabezpieczające.
Rezultat: plan ciągłego utrzymania zgodności
Etap 10 - audyt wewnętrzny i przewaga
Cykliczny przegląd, optymalizacja kosztów i wykorzystanie zgodności jako przewagi rynkowej.
Rezultat: raport rocznego przeglądu
incydenty: zasada 24h / 72h / 1 miesiąc
Kluczowa jest gotowość proceduralna. W praktyce największe ryzyko to spóźniona notyfikacja i niespójna komunikacja z CSIRT oraz klientami.
24 godziny
Wczesne ostrzeżenie po wykryciu incydentu poważnego.
72 godziny
Zgłoszenie incydentu z aktualizacją oceny wpływu i wskaźników naruszenia.
1 miesiąc
Sprawozdanie końcowe lub raport postępu, jeśli obsługa incydentu trwa.
Proces łączymy z obowiązkami RODO, aby uniknąć rozbieżnych komunikatów przy incydentach obejmujących dane osobowe.
łańcuch dostaw ICT i HRV
Najbardziej kosztowym obszarem bywa wymiana dostawców i technologii. Dlatego planujemy ryzyka kontraktowe, operacyjne i migracyjne przed decyzjami kryzysowymi.
Ocena ryzyk dostawców
Oceniamy dostawców krytycznych, zależności techniczne i ryzyko koncentracji.
Klauzule kontraktowe
Wdrażamy klauzule SLA, audytu, notyfikacji i planu wyjścia dostawcy.
Plan migracji HRV
Budujemy scenariusz migracji dla decyzji o dostawcy wysokiego ryzyka (HRV).
integracja NIS2/KSC z innymi regulacjami
Wdrażamy jeden model zgodności dla cyber, danych i operacji, zamiast równoległych silosów.
NIS2/KSC + DORA
Rozgraniczenie obowiązków IT dla podmiotów finansowych i ich dostawców.
NIS2/KSC + RODO
Spójna obsługa incydentów oraz zgodna komunikacja do regulatorów i użytkowników.
NIS2/KSC + AI Act
Cyberbezpieczeństwo systemów AI oraz zarządzanie użyciem modeli.
NIS2/KSC + CER
Wspólna architektura odporności podmiotów krytycznych.
NIS2/KSC + MiCA
Model cyberbezpieczeństwa dla CASP i usług kryptoaktywnych.
NIS2/KSC + eIDAS
Koordynacja wymogów dla usług zaufania i infrastruktury cyfrowej.
pakiety usług NIS2/KSC
Dobieramy zakres wdrożenia do dojrzałości organizacji i poziomu ryzyka regulacyjnego.
Diagnoza gotowości NIS2/KSC
Szybka ocena statusu, luk i priorytetów działań.
Warsztat: odpowiedzialność zarządu za cyber
Warsztat dla zarządu: odpowiedzialność osobista i model decyzji.
Pełne wdrożenie NIS2/KSC
Kompleksowe wdrożenie SZBI, procedur i modelu zarządzania.
Procedura reagowania na incydenty
Model zgłaszania i obsługi incydentów z gotowymi szablonami.
Bezpieczeństwo łańcucha dostaw (HRV)
Ocena dostawców i plan migracji w scenariuszach HRV.
Stałe wsparcie zgodności NIS2
Stałe utrzymanie zgodności, monitoring zmian i wsparcie nadzorcze.
ekspert prowadzący obszar NIS2/KSC
W projektach NIS2 łączymy perspektywę prawną i operacyjną, żeby ograniczyć ryzyko zarządcze i utrzymać ciągłość działania usług.
Wsparcie eksperta od etapu kwalifikacji
- Kwalifikacja podmiotu i mapa obowiązków
- Praktyczne projektowanie SZBI i incydentów
- Wsparcie zarządu i zespołów technicznych
Atuty zespołu Legal Geek
- Doświadczenie na styku kilku regulacji: DORA, RODO, AI Act, MiCA
- Wsparcie przy kontrolach i postępowaniach
- Model wdrożeniowy dopasowany do skali organizacji
Kontakt w sprawie NIS2/KSC
Tomasz Klecor
Partner Zarządzający
Nawigator FinTechu. Prawnik.
Od ponad czternastu lat zajmuje się obsługą prawną sektora finansowego i doradza podmiotom nadzorowanym przez KNF. Specjalizuje się w instytucjach płatniczych, AML i projektach FinTech.
LinkedIn
FAQ NIS2/KSC
Najczęstsze pytania zarządów, compliance i działów IT przy wdrożeniach NIS2.
Nie. Kwalifikacja zależy od sektora działalności i progów wielkości, a część podmiotów podlega niezależnie od skali ze względu na charakter usług.
Najpierw ustalamy sektor (załącznik 1/2), potem progi wielkości i wyjątki niezależne od skali. Status kluczowy oznacza zwykle wyższy poziom nadzoru i audytu.
To wieloetapowe raportowanie incydentu: wczesne ostrzeżenie, pełniejsze zgłoszenie i raport końcowy lub okresowy do właściwego CSIRT.
Tak. Kierownictwo odpowiada za wdrożenie i nadzór nad systemem bezpieczeństwa, dlatego model zarządzania i dowody realizacji obowiązków muszą być uporządkowane.
Nie. W sektorze finansowym trzeba poprawnie rozdzielić i zintegrować obowiązki z obu reżimów, żeby uniknąć luk lub dublowania działań.
Potrzebny jest plan migracji, ścieżka decyzji zarządu i kontraktowe zabezpieczenie ciągłości usług, zanim pojawi się presja operacyjna.
Podmioty kluczowe realizują audyt cykliczny, a podmioty ważne mogą być audytowane na żądanie organu, po incydencie albo po stwierdzeniu naruszeń.
Od kwalifikacji statusu i mapy luk. To wyznacza kolejność etapów 0-10, zakres dokumentacji i priorytety wdrożeniowe.
materiały dla zespołu NIS2/KSC
Udostępniamy materiały, które pomagają szybciej przejść od diagnozy do realnego wdrożenia obowiązków cyber.
Przewodnik NIS2/KSC dla zarządu
Dla etapów 0-2: kwalifikacja podmiotu, rejestracja i odpowiedzialność kierownictwa.
Zobacz materiałyChecklista wdrożenia 0-10
Dla etapów 3-7: łańcuch dostaw, incydenty 24/72/1 miesiąc, audyty i governance.
Przejdź do checklistyWebinary i case studies
Dla etapów 8-10: integracja regulacyjna, utrzymanie zgodności i przygotowanie na nadzór.
Zobacz webinaryskontaktuj się w sprawie NIS2/KSC
W pierwszej rozmowie kwalifikujemy etap projektu: diagnoza, wdrożenie lub utrzymanie zgodności po starcie systemu.