Art. 15 ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., zmiana Dz.U. 2026 poz. 252) — w wykonaniu obowiązku audytowego znanego z dyrektywy 2022/2555 (NIS2) — wprowadza obowiązek audytu bezpieczeństwa, który dla podmiotów kluczowych jest cykliczny (co 3 lata), a dla podmiotów ważnych — fakultatywny, ale nakazywany przez organ właściwy w razie potrzeby. Audyt to nie tylko forma weryfikacji wewnętrznej — to dowód dla organu nadzorczego, że system zarządzania bezpieczeństwem informacji z art. 8 KSC istnieje i działa. W tym wpisie tłumaczymy, jak rozumieć art. 15 ustawy, kto może audyt przeprowadzić i jak przygotować się do pierwszego audytu w reżimie znowelizowanego KSC.

Punkt startowy — art. 15 ust. 1 KSC

Art. 15 ust. 1 KSC stanowi: „Podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej »audytem«, licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu."

Trzy elementy warto od razu podkreślić:

  • częstotliwość: co najmniej raz na 3 lata, licząc od dnia podpisania raportu z poprzedniego audytu (a nie od daty rocznicowej). To istotne — wcześniejsze podpisanie raportu skraca okres do kolejnego audytu;
  • odpłatność: na własny koszt podmiotu. Ustawodawca przewiduje wyłącznie obowiązek po stronie podmiotu, nie ma instytucji audytu „z urzędu" przeprowadzanego na koszt budżetu państwa;
  • zakres: audyt obejmuje system informacyjny wykorzystywany w procesie świadczenia usługi — czyli te same systemy, do których odnosi się art. 8 ust. 1 KSC.

Pierwszy audyt dla podmiotów istniejących 3 kwietnia 2026 r. musi być przeprowadzony — zgodnie z art. 16 pkt 2 KSC — w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy. Czyli najpóźniej do 3 kwietnia 2028 r.

Audyt na żądanie organu — art. 15 ust. 1b KSC

Oprócz cyklicznego audytu z art. 15 ust. 1, ustawa wprowadza dodatkowe narzędzie nadzorcze. Art. 15 ust. 1b KSC stanowi:

„Organ właściwy do spraw cyberbezpieczeństwa może nakazać podmiotowi kluczowemu w każdym czasie lub podmiotowi ważnemu w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy przez ten podmiot, w drodze decyzji, przeprowadzenie zewnętrznego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem rodzaju podmiotów uprawnionych do przeprowadzenia audytu."

Co istotne, decyzja taka — zgodnie z art. 15 ust. 1c KSC — podlega natychmiastowemu wykonaniu. Skarga do sądu administracyjnego nie wstrzymuje wykonania.

Konstrukcja audytu nakazowego wpisuje się w model nadzoru przewidziany w art. 32–33 dyrektywy NIS2, który wymaga od państw członkowskich wyposażenia organów nadzorczych w narzędzia umożliwiające weryfikację zgodności podmiotów z obowiązkami z zakresu zarządzania ryzykiem w cyberbezpieczeństwie. W praktyce art. 15 ust. 1b KSC najczęściej będzie stosowany w trzech scenariuszach:

  • po incydencie poważnym — organ chce zweryfikować, czy system bezpieczeństwa działał i czy luki, które incydent ujawnił, zostały usunięte;
  • w trakcie postępowania nadzorczego — gdy organ ma uzasadnione podejrzenie, że podmiot nie wykonuje obowiązków z art. 8;
  • prewencyjnie wobec podmiotów kluczowych — szczególnie w sektorach wrażliwych (energetyka, telekomunikacja, infrastruktura cyfrowa).

Dla podmiotu ważnego — który zwykle nie ma cyklicznego obowiązku audytowego — decyzja z art. 15 ust. 1b stanowi de facto wprowadzenie obowiązku ad hoc.

Kto może przeprowadzić audyt — art. 15 ust. 2 KSC

Audyt nie może być przeprowadzony przez dowolny podmiot. Art. 15 ust. 2 KSC wymienia trzy kategorie uprawnionych:

1. Jednostka oceniająca zgodność, akredytowana zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz.U. 2025 poz. 568), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych. To w praktyce jednostki posiadające akredytację Polskiego Centrum Akredytacji (PCA) na ocenę zgodności np. z normą ISO/IEC 27001 lub innymi schematami certyfikacyjnymi.

2. Co najmniej dwóch audytorów posiadających:

  • certyfikaty określone w przepisach wydanych na podstawie art. 15 ust. 8 KSC (rozporządzenie Ministra Cyfryzacji), lub
  • co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
  • co najmniej dwuletnią praktykę i dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych.

W praktyce na rynku polskim spełnienie wymogów oznacza zwykle posiadanie certyfikatów takich jak CISA, CISSP, CISM, ISO 27001 Lead Auditor, IRCA — w zależności od tego, co znajdzie się w rozporządzeniu wykonawczym.

3. CSIRT sektorowy ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

Niezależność audytora — art. 15 ust. 2a KSC

Art. 15 ust. 2a KSC wprowadza istotne ograniczenie: „Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania, o których mowa w art. 8 oraz art. 9–13, lub która realizowała te zadania w podmiocie audytowanym w przeciągu roku przed dniem rozpoczęcia audytu."

Ten przepis efektywnie wyklucza możliwość przeprowadzenia audytu przez wewnętrzny zespół cybersec lub przez konsultanta, który wcześniej brał udział we wdrażaniu systemu zarządzania bezpieczeństwem. Wymóg jednorocznego „cooling-off" jest praktycznie identyczny z wymogiem niezależności znanym z innych systemów audytowych (np. audyt finansowy).

To istotny element planowania: jeżeli organizacja korzysta ze wsparcia konsultantów we wdrożeniu KSC, nie powinna oczekiwać, że ci sami konsultanci przeprowadzą audyt z art. 15 ust. 1 KSC. Wymaga to odrębnego doboru audytora — i wcześniejszego skoordynowania harmonogramu, aby nie blokować realizacji obowiązku w 24-miesięcznym terminie.

Definicja „praktyki" — art. 15 ust. 3 KSC

Art. 15 ust. 3 KSC precyzuje, co liczy się jako „praktyka w zakresie audytu bezpieczeństwa systemów informacyjnych": wykonanie w ciągu ostatnich 3 lat przed dniem rozpoczęcia audytu 3 audytów w zakresie bezpieczeństwa systemów informacyjnych lub ciągłości działania, albo wykonywanie audytów w wymiarze czasu pracy nie mniejszym niż 1/2 etatu, związanych z:

  • przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;
  • przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;
  • wykonywaniem czynności kontrolnych w trybie ustawy o kontroli w administracji rządowej;
  • wykonywaniem czynności kontrolnych w trybie ustawy o NIK.

W praktyce wymóg ten wyklucza początkujących audytorów oraz osoby, które jedynie sporadycznie wspierają zespoły audytowe. Audyt z art. 15 KSC jest profesjonalnym zadaniem, do którego wymagana jest udokumentowana ścieżka zawodowa.

Sprawozdanie z audytu i kopia raportu

Art. 15 ust. 5 KSC: „Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je podmiotowi kluczowemu lub podmiotowi ważnemu wraz z dokumentacją z przeprowadzonego audytu."

Po sporządzeniu sprawozdania uruchamiają się dwa krytyczne obowiązki:

1. Przekazanie kopii raportu organowi właściwemu — art. 15 ust. 1a KSC. „Podmiot kluczowy przedstawia w postaci elektronicznej kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa, w terminie 3 dni roboczych od dnia jego otrzymania przez podmiot kluczowy lub podmiot ważny."

Trzy dni robocze to bardzo krótki termin. W praktyce oznacza, że proces audytowy powinien przewidywać formalny moment „odbioru raportu" przez podmiot, a procedura przekazania do organu (np. przez system S46) powinna być zaplanowana z wyprzedzeniem.

2. Przekazanie kopii raportu na wniosek innym podmiotom — art. 15 ust. 7 KSC. Podmiot przekazuje kopię raportu z audytu na wniosek dyrektora Rządowego Centrum Bezpieczeństwa (gdy podmiot jest jednocześnie elementem infrastruktury krytycznej) lub Szefa Agencji Bezpieczeństwa Wewnętrznego.

Tajemnica zawodowa audytora

Art. 15 ust. 4 KSC: „Audytor jest obowiązany do zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych."

Z punktu widzenia podmiotu audytowanego oznacza to konieczność uregulowania umowy z audytorem w zakresie:

  • klauzul poufności i NDA;
  • zasad postępowania z dokumentacją audytową (sposób przechowywania, niszczenia, czas archiwizacji);
  • obsługi danych objętych tajemnicą zawodową (np. tajemnicą bankową, tajemnicą ubezpieczeniową, tajemnicą telekomunikacyjną);
  • procedury w przypadku, gdy audytor uzyska informacje o naruszeniach prawa.

W praktyce dla podmiotów finansowych oraz operatorów infrastruktury krytycznej rekomendowane jest powołanie audytora z poświadczeniem bezpieczeństwa upoważniającym do dostępu do informacji niejawnych — szczególnie tam, gdzie systemy informacyjne mogą zawierać informacje objęte ochroną.

Co audytor sprawdza — i czego organ szuka w raporcie

Audyt z art. 15 KSC ma zweryfikować zgodność systemu zarządzania bezpieczeństwem informacji z wymogami art. 8 KSC oraz wybranych przepisów rozdziału 3 (przede wszystkim art. 9, art. 10, art. 11, art. 14). W praktyce raport powinien obejmować:

  • ocenę kompletności i aktualności dokumentacji systemu zarządzania bezpieczeństwem z art. 10 KSC;
  • weryfikację wdrożenia 14 obszarów technicznych i organizacyjnych z art. 8 ust. 1 pkt 2 lit. a–n KSC;
  • weryfikację realizacji obowiązków kierownika podmiotu z art. 8c–8e KSC, w szczególności corocznego szkolenia zarządu i procedury KRK z art. 8f;
  • ocenę procedur reakcji na incydenty z art. 11 i art. 12 KSC, w tym dostępności systemu S46 oraz roli osób kontaktowych z art. 9;
  • weryfikację wewnętrznych struktur cybersec z art. 14 KSC lub umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa;
  • przegląd realizacji zaleceń z poprzednich audytów (jeżeli były) i ze stanowisk organu w postępowaniach nadzorczych;
  • ocenę procesu szacowania ryzyka z art. 8 ust. 1 pkt 1 KSC i jego rezultatów.

Z naszego doświadczenia organ właściwy oczekuje raportu, który:

  • nie unika konkluzji — wskazuje konkretne uchybienia i ocenia ich wagę (krytyczne / istotne / drugorzędne);
  • zawiera plan działań naprawczych z terminami i osobami odpowiedzialnymi;
  • odnosi się do poprzednich audytów — pokazuje progres lub regres;
  • ma metodykę audytową opisaną w sposób umożliwiający weryfikację (np. lista przeprowadzonych testów, próbka analizowanych dokumentów, zakres rozmów z personelem);
  • jest podpisany przez audytorów z wskazaniem ich uprawnień (certyfikat, doświadczenie).

Raport, który nie spełnia tych warunków, jest dla organu sygnałem, że audyt został przeprowadzony „dla galerii" — i sam staje się przedmiotem postępowania nadzorczego.

Audyt a DORA — sektor finansowy

Dla podmiotów z sektora bankowości i infrastruktury rynków finansowych art. 8i ust. 1 KSC wyłącza stosowanie art. 15 KSC (audyt z art. 15 nie jest wymieniony w katalogu wyjątków utrzymujących obowiązek). Sektor finansowy podlega natomiast wymogom DORA art. 24–27, które wprowadzają reżim testowania operacyjnej odporności cyfrowej:

  • art. 24 DORA — program testowania operacyjnej odporności cyfrowej, oparty na ryzyku;
  • art. 25 DORA — wymóg testowania wszystkich krytycznych systemów ICT co najmniej raz w roku;
  • art. 26 DORA — testy penetracyjne ukierunkowane na zagrożenia (Threat-Led Penetration Testing, TLPT) co najmniej co 3 lata dla podmiotów wskazanych przez właściwy organ;
  • art. 27 DORA — wymogi dla testerów (zewnętrzni testerzy z określonymi kwalifikacjami).

DORA nie zna pojęcia „audytu" w tej samej formie co KSC, ale wymóg cyklicznego, niezależnego testowania jest funkcjonalnym ekwiwalentem audytu — i dla podmiotów finansowych zastępuje art. 15 KSC. Taka konstrukcja wynika wprost z zasady lex specialis z art. 4 dyrektywy NIS2, która daje pierwszeństwo aktom sektorowym UE (jak DORA) wobec ogólnych obowiązków NIS2. Tematowi temu poświęcamy osobny wpis w naszym cyklu o art. 8i KSC i lex specialis dla sektora finansowego.

Sankcje za niewykonanie audytu — art. 73 ust. 1 pkt 11 KSC

Niewykonanie audytu w terminie z art. 15 ust. 1 KSC (lub art. 16 pkt 2 — pierwszy audyt w 24-miesięcznym oknie) jest podstawą kary pieniężnej z art. 73 ust. 1 pkt 11 KSC. Maksymalne sankcje — do 10 mln EUR lub 2% przychodów dla podmiotu kluczowego (art. 73 ust. 3), do 7 mln EUR lub 1,4% przychodów dla podmiotu ważnego (art. 73 ust. 4).

Dodatkowo art. 73a ust. 1 pkt 14 KSC pozwala nałożyć karę pieniężną na kierownika podmiotu za niewykonanie obowiązków z art. 15 — do 300% wynagrodzenia kierownika prywatnego (art. 73a ust. 4) lub do 100% wynagrodzenia kierownika publicznego (art. 73a ust. 5).

Co istotne — niewykonanie audytu jest naruszeniem, które organ wykryje przy każdej kontroli (audyt jest udokumentowany lub go nie ma). To trudniejsze do ukrycia niż np. nieprawidłowości w polityce bezpieczeństwa, gdzie ocena jest bardziej ocenna.

Jak przygotować się do pierwszego audytu — kalendarz wsteczny

Z naszego doświadczenia podmioty, które dobrze radzą sobie z pierwszym audytem KSC, planują go „od końca" — czyli od daty 3 kwietnia 2028 r. (granicznego terminu z art. 16 pkt 2). Praktyczny kalendarz:

  • 24 miesiące przed: decyzja zarządu o uruchomieniu projektu wdrożeniowego, decyzja o klasyfikacji jako podmiotu kluczowego;
  • 18 miesięcy przed: zakończenie wdrożenia systemu z art. 8, dokumentacja z art. 10 gotowa, polityki tematyczne zatwierdzone;
  • 12 miesięcy przed: pierwsze szkolenie zarządu z art. 8e (udokumentowane), powołanie struktur cybersec z art. 14 (lub umowa z MSSP), procedury reakcji na incydenty;
  • 6 miesięcy przed: wybór audytora (z uwzględnieniem 1-rocznego cooling-off z art. 15 ust. 2a), uzgodnienie zakresu i metodyki, harmonogram audytu;
  • 2 miesiące przed: przegląd dokumentacji wewnętrznej, audyt wewnętrzny próbny (gap analysis), korekta zauważonych braków;
  • audyt — sam audyt zwykle trwa 4–8 tygodni, w zależności od skali organizacji;
  • 3 dni robocze po podpisaniu raportu: przekazanie kopii do organu właściwego (art. 15 ust. 1a).

Im wcześniej podmiot zacznie pracę, tym mniejsza presja w fazie audytowej i tym mniejsze ryzyko, że audyt ujawni braki, których nie da się szybko naprawić.

Jak możemy Ci pomóc?

Audyt z art. 15 KSC jest jednym z najtwardszych dowodów dla organu, że system z art. 8 działa — albo nie działa. W Legal Geek wspieramy podmioty kluczowe i ważne w przygotowaniu do audytu (gap analysis, weryfikacja dokumentacji, projekt zakresu audytu), w doborze audytora spełniającego wymogi art. 15 ust. 2 KSC, a także w obsłudze prawnej raportu (treść planu działań naprawczych, korespondencja z organem, terminowe przekazanie kopii do organu właściwego). Jeżeli planujesz pierwszy audyt w 24-miesięcznym oknie z art. 16 pkt 2 KSC i chcesz mieć pewność, że wszystkie elementy są na miejscu — napisz do nas.

W kolejnym wpisie cyklu omawiamy art. 8i KSC i lex specialis dla sektora bankowości i infrastruktury rynków finansowych — dlaczego dla podmiotów finansowych większość obowiązków KSC jest „zastąpiona" przez DORA i co dokładnie zostaje z KSC.

Co dalej w cyklu?