SZBI i zarządzanie ryzykiem
Projektujemy system zarządzania bezpieczeństwem informacji (SZBI) adekwatny do skali ryzyka i modelu biznesowego.
NIS2 / KSC dla przedsiębiorców
Prowadzimy organizacje od kwalifikacji statusu podmiotu po wdrożenie SZBI, proces incydentowy 24h/72h/1 miesiąc i gotowość na nadzór.
Marki, z którymi pracowaliśmy
zakres NIS2 i nowelizacji KSC
Wspieramy firmy w przejściu z analizy stosowalności do operacyjnej zgodności: SZBI, zarządzanie, incydenty, audyty i obowiązki łańcucha dostaw.
Incydenty i obowiązki raportowe
Budujemy procedury dla obowiązków 24 godziny, 72 godziny i 1 miesiąc wraz z gotowymi szablonami zgłoszeń.
Odpowiedzialność zarządu
Porządkujemy role kierownika podmiotu, model nadzoru i roczne szkolenia wymagane przez ustawę.
Łańcuch dostaw i HRV
Oceniamy ryzyka dostawców IT, projektujemy klauzule umowne i planujemy scenariusze migracji po decyzjach HRV (dostawca wysokiego ryzyka).
Wejście w życie ustawy: 1 miesiąc od ogłoszenia w Dz.U.; przy publikacji pod koniec lutego 2026 r. oznacza to koniec marca 2026 r. (szacunek).
Sankcje administracyjne: podmiot kluczowy do 10 mln EUR lub 2% obrotu, podmiot ważny do 7 mln EUR lub 1,4% obrotu; w sytuacjach krytycznych do 100 mln zł.
Stan prawny/materiał: 21 lutego 2026 r.
podmioty kluczowe i ważne
Najpierw kwalifikujemy status prawny organizacji, bo od tego zależy model nadzoru, zakres audytu i poziom sankcji. W praktyce kluczowe jest rozstrzygnięcie: czy jesteś podmiotem kluczowym (często mówionym „krytycznym”) czy podmiotem ważnym.
Jak ustalić status: 4 kroki kwalifikacji
Krok 1: sektor działalności
Sprawdzamy, czy działalność mieści się w sektorach z załącznika nr 1 (sektory kluczowe) lub załącznika nr 2 (sektory ważne).
Krok 2: wielkość organizacji
Weryfikujemy próg co najmniej średniego przedsiębiorstwa: od 50 pracowników lub co najmniej 10 mln EUR obrotu i 10 mln EUR sumy bilansowej.
Krok 3: wyjątki niezależne od skali
Część podmiotów wpada do reżimu niezależnie od wielkości, np. DNS/TLD, wybrane usługi ICT, kwalifikowani dostawcy usług zaufania, podmioty krytyczne CER i część podmiotów publicznych.
Krok 4: status i model nadzoru
Wynikiem jest status podmiotu kluczowego albo ważnego, co determinuje tryb nadzoru, audytu i zakres obowiązków dowodowych.
Podmiot kluczowy
Co do zasady: duże podmioty z sektorów kluczowych oraz kategorie wskazane ustawowo niezależnie od wielkości (m.in. część dostawców ICT i podmioty krytyczne).
- Nadzór proaktywny
- Audyt zewnętrzny co 3 lata
- Najwyższy próg sankcyjny
Podmiot ważny
Zwykle średnie i duże podmioty z sektorów ważnych oraz część podmiotów z sektorów kluczowych, które nie spełniają przesłanek statusu kluczowego.
- Nadzór reaktywny
- Audyt na nakaz lub po incydencie
- Pełne obowiązki systemowe
DORA i podmioty finansowe
Dla podmiotów finansowych rozgraniczamy obowiązki DORA i KSC oraz projektujemy jeden zintegrowany model compliance, żeby uniknąć dublowania procesów.
Rejestracja i samoidentyfikacja
Podmiot sam kwalifikuje swój status i składa wpis do wykazu. Po wejściu ustawy zwykle mówimy o 6 miesiącach na rejestrację podmiotów już spełniających przesłanki oraz 2 miesiącach od późniejszego spełnienia przesłanek.
Czy to podmiot kluczowy? Najczęstsze przykłady
Podmiot kluczowy- Duży szpital lub sieć podmiotów leczniczych
- Duży operator infrastruktury cyfrowej (cloud, data center, CDN)
- Dostawca usług DNS/TLD lub kwalifikowany dostawca usług zaufania
- Podmiot krytyczny w rozumieniu CER
Czy to podmiot ważny? Najczęstsze przykłady
Podmiot ważny- Średni lub duży producent żywności, chemikaliów albo elektroniki
- Średni operator usług pocztowych lub gospodarki odpadami
- Średnia firma z sektora kluczowego, która nie spełnia przesłanek podmiotu kluczowego
- Wybrane podmioty publiczne z załącznika nr 2
stan prawny/materiał: 21 lutego 2026 r.
harmonogram wdrożenia
Pokazujemy daty pewne i daty warunkowe, żeby uniknąć błędnego komunikatu o obowiązywaniu przepisów.
23 stycznia 2026
Sejm uchwalił nowelizację KSC wdrażającą NIS2.
20 lutego 2026
Senat przyjął ustawę bez poprawek.
po ogłoszeniu w Dz.U.
Vacatio legis: 1 miesiąc od dnia ogłoszenia.
koniec marca 2026
Scenariusz orientacyjny przy publikacji pod koniec lutego 2026 r.
~6 miesięcy od wejścia
Termin rejestracji podmiotu w wykazie.
~12 miesięcy od wejścia
Termin pełnego wdrożenia wymogów systemowych.
stan prawny/materiał: 21 lutego 2026 r.
plan wdrożenia NIS2/KSC: etapy 0-10
Każdy etap zamykamy dokumentem, który można wykorzystać operacyjnie i dowodowo wobec organu nadzoru.
Etap 0 — kwalifikacja podmiotu
Sprawdzamy, czy KSC dotyczy organizacji i czy jest to podmiot kluczowy, czy ważny. Kończy się oceną stosowalności.
Etap 1 — rejestracja i zarządzanie
Wpisujemy podmiot do wykazu, ustalamy role kontaktowe i model odpowiedzialności kierownictwa. Powstaje pakiet rejestracyjny.
Etap 2 — SZBI i zarządzanie ryzykiem
Budujemy System Zarządzania Bezpieczeństwem Informacji, metodologię ryzyka i zestaw polityk bezpieczeństwa.
Etap 3 — łańcuch dostaw
Oceniamy dostawców, prowadzimy badanie należytej staranności i przygotowujemy organizację na scenariusz HRV. Powstaje pakiet bezpieczeństwa łańcucha dostaw.
Etap 4 — procedury incydentowe
Projektujemy proces notyfikacji i eskalacji dla incydentów poważnych — efektem jest procedura raportowania incydentów.
Etap 5 — struktury cyber
Powołujemy funkcje wewnętrzne lub wybieramy model outsourcingowy SOC/CSIRT. Powstaje karta zarządzania cyber.
Etap 6 — szkolenia
Tworzymy programy dla zarządu i zespołów wraz z rejestrem szkoleń. Powstaje matryca szkoleń.
Etap 7 — audyt
Przygotowujemy organizację do audytu okresowego i trybu audytu nakazanego. Efektem jest pakiet gotowości audytowej.
Etap 8 — integracja regulacyjna
Spinamy KSC z DORA, RODO, AI Act i pozostałymi regulacjami w jedną matrycę regulacyjną.
Etap 9 — monitoring ciągły
Wdrażamy mechanizm przeglądów, zarządzanie zmianami i gotowość na polecenie zabezpieczające. Powstaje plan ciągłego utrzymania zgodności.
Etap 10 — audyt wewnętrzny i przewaga
Cyklicznie przeglądamy zgodność, optymalizujemy koszty i wykorzystujemy ją jako przewagę rynkową. Powstaje raport rocznego przeglądu.
incydenty: zasada 24h / 72h / 1 miesiąc
Kluczowa jest gotowość proceduralna. W praktyce największe ryzyko to spóźniona notyfikacja i niespójna komunikacja z CSIRT oraz klientami.
24 godziny
Wczesne ostrzeżenie po wykryciu incydentu poważnego.
72 godziny
Zgłoszenie incydentu z aktualizacją oceny wpływu i wskaźników naruszenia.
1 miesiąc
Sprawozdanie końcowe lub raport postępu, jeśli obsługa incydentu trwa.
Proces łączymy z obowiązkami RODO, aby uniknąć rozbieżnych komunikatów przy incydentach obejmujących dane osobowe.
łańcuch dostaw ICT i HRV
Najbardziej kosztowym obszarem bywa wymiana dostawców i technologii. Dlatego planujemy ryzyka kontraktowe, operacyjne i migracyjne przed decyzjami kryzysowymi.
Ocena ryzyk dostawców
Oceniamy dostawców krytycznych, zależności techniczne i ryzyko koncentracji.
Klauzule kontraktowe
Wdrażamy klauzule SLA, audytu, notyfikacji i planu wyjścia dostawcy.
Plan migracji HRV
Budujemy scenariusz migracji dla decyzji o dostawcy wysokiego ryzyka (HRV).
integracja NIS2/KSC z innymi regulacjami
Wdrażamy jeden model zgodności dla cyber, danych i operacji, zamiast równoległych silosów.
NIS2/KSC + DORA
Rozgraniczenie obowiązków IT dla podmiotów finansowych i ich dostawców.
NIS2/KSC + RODO
Spójna obsługa incydentów oraz zgodna komunikacja do regulatorów i użytkowników.
NIS2/KSC + AI Act
Cyberbezpieczeństwo systemów AI oraz zarządzanie użyciem modeli.
NIS2/KSC + CER
Wspólna architektura odporności podmiotów krytycznych.
NIS2/KSC + MiCA
Model cyberbezpieczeństwa dla CASP i usług kryptoaktywnych.
NIS2/KSC + eIDAS
Koordynacja wymogów dla usług zaufania i infrastruktury cyfrowej.
pakiety usług NIS2/KSC
Dobieramy zakres wdrożenia do dojrzałości organizacji i poziomu ryzyka regulacyjnego.
Diagnoza gotowości NIS2/KSC
Szybka ocena statusu, luk i priorytetów działań.
Warsztat: odpowiedzialność zarządu za cyber
Warsztat dla zarządu: odpowiedzialność osobista i model decyzji.
Pełne wdrożenie NIS2/KSC
Pełne wdrożenie NIS2/KSC: dokumentacja, procedury, szkolenia i model utrzymania zgodności.
Procedura reagowania na incydenty
Model zgłaszania i obsługi incydentów z gotowymi szablonami.
Bezpieczeństwo łańcucha dostaw (HRV)
Ocena dostawców i plan migracji w scenariuszach HRV.
Stałe wsparcie zgodności NIS2
Stałe utrzymanie zgodności, monitoring zmian i wsparcie nadzorcze.
ekspert prowadzący obszar NIS2/KSC
W projektach NIS2 łączymy perspektywę prawną i operacyjną, żeby ograniczyć ryzyko zarządcze i utrzymać ciągłość działania usług.
Wsparcie eksperta od etapu kwalifikacji
- Kwalifikacja podmiotu i mapa obowiązków
- Praktyczne projektowanie SZBI i incydentów
- Wsparcie zarządu i zespołów technicznych
Atuty zespołu Legal Geek
- Doświadczenie na styku kilku regulacji: DORA, RODO, AI Act, MiCA
- Wsparcie przy kontrolach i postępowaniach
- Model wdrożeniowy dopasowany do skali organizacji
Kontakt w sprawie NIS2/KSC
Tomasz Klecor
Managing Partner
FinTech navigator. Lawyer.
For 15 years he has helped Poland's largest and most ambitious fintechs grow safely and globally. Starting as a lawyer, he now combines law, strategy, and technology — advising founders and boards on key decisions: how to scale in compliance with regulations, how to correctly implement DORA, MiCA, or AML and prepare for PSD3/PSR, and how to avoid the regulatory killers that can stop growth in its tracks.
LinkedIn
FAQ NIS2/KSC
Najczęstsze pytania zarządów, compliance i działów IT przy wdrożeniach NIS2.
Nie. Kwalifikacja zależy od sektora działalności i progów wielkości, a część podmiotów podlega niezależnie od skali ze względu na charakter usług.
Najpierw ustalamy sektor (załącznik 1/2), potem progi wielkości i wyjątki niezależne od skali. Status kluczowy oznacza zwykle wyższy poziom nadzoru i audytu.
To wieloetapowe raportowanie incydentu: wczesne ostrzeżenie, pełniejsze zgłoszenie i raport końcowy lub okresowy do właściwego CSIRT.
Tak. Kierownictwo odpowiada za wdrożenie i nadzór nad systemem bezpieczeństwa, dlatego model zarządzania i dowody realizacji obowiązków muszą być uporządkowane.
Nie. W sektorze finansowym trzeba poprawnie rozdzielić i zintegrować obowiązki z obu reżimów, żeby uniknąć luk lub dublowania działań.
Potrzebny jest plan migracji, ścieżka decyzji zarządu i kontraktowe zabezpieczenie ciągłości usług, zanim pojawi się presja operacyjna.
Podmioty kluczowe realizują audyt cykliczny, a podmioty ważne mogą być audytowane na żądanie organu, po incydencie albo po stwierdzeniu naruszeń.
Od kwalifikacji statusu i mapy luk. To wyznacza kolejność etapów 0-10, zakres dokumentacji i priorytety wdrożeniowe.
wytyczne ITSec DORA/NIS2 do wdrożenia
To materiał dla organizacji, które chcą szybko uporządkować działania cyber i odpowiedzialności zespołów. Pobierz PDF i pracuj na gotowych punktach kontrolnych.
- 1250+ wytycznych obejmujących pełny cykl: governance, incydenty, ciągłość, dostawcy.
- 26 kategorii, które można mapować do obowiązków NIS2/KSC i DORA.
- Praktyczny format dla zespołów bezpieczeństwa, compliance i zarządu.
- Materiał do wspólnej pracy z dostawcami ICT w łańcuchu dostaw.
skontaktuj się w sprawie NIS2/KSC
W pierwszej rozmowie kwalifikujemy etap projektu: diagnoza, wdrożenie lub utrzymanie zgodności po starcie systemu.