Kompleksowe
wdrożenie NIS2 / UKSC
i wdrożenie rozwiązań
Sprawdź, czy Twoja firma podlega pod dyrektywę NIS2 / UKSC
5 etapów
Czy Twoja firma też?
Obszar prawny i organizacyjny
IT
- to takżeprawo
Pomagamy klientom być w 100% przygotowanym do UKSC, zarówno z perspektywy IT i prawa. Naszym celem jest ograniczenie ryzyka prawnego i finansowego klientów. Dlatego wdrażamy wymogi UKSC i NIS2 wspólnie z Kancelarią GP Partners.
jedno, spójne podejście – bez rozdzielania IT i prawa
pewność, że wdrożone rozwiązania są skuteczne technologicznie i zgodne z regulacjami
kompletną dokumentację do kontroli i audytów
jasne procedury działania w przypadku incydentów i naruszeń
i budżet.
[Po samoidentyfikacji, czas na audyt IT, ustalenie co trzeba uporządkować w organizacji itd.]
nasze
wsparcie.
się z nami
NIS2 to unijna dyrektywa, czyli akt prawa UE, który określa, jakie wymagania państwa członkowskie mają wdrożyć w obszarze cyberbezpieczeństwa. Natomiast UKSC — czyli rozwijając ten skrót to Ustawa o Krajowym Systemie Cyberbezpieczeństwa — to polska ustawa wdrażająca wymagania NIS2 do polskiego porządku prawnego.
Czyli najprościej mówiąc: NIS2 mówi państwom członkowskim „co” ma zostać wdrożone, a UKSC pokazuje już konkretnie „co” organizacje w Polsce mają wdrożyć. I to jest bardzo ważne. Ponieważ w codziennej pracy organizacje działające w Polsce będą pracowały przede wszystkim właśnie z UKSC, a nie NIS2.
Wszystkie te skróty stosowane są wymiennie. Wszystkie dotyczą Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Dlatego, że UE uznała że cyberbezpieczeństwo przestało być wyłącznie problemem/wyzwaniem technologicznym. Dziś od systemów IT zależy: funkcjonowanie biznesu, banków, ochrony zdrowia, transportu itd.
Jednocześnie w ostatnich latach bardzo mocno wzrosła liczba cyberataków/incydentów wpływających na działanie organizacji oraz usług publicznych.
I właśnie dlatego UE uznała, że potrzebne są wspólne minimalne standardy cyberbezpieczeństwa dla całej Unii Europejskiej.
Bardzo często organizacje zakładają, że Ustawa dotyczy wyłącznie administracji albo największych firm technologicznych. Tymczasem zakres UKSC jest dużo szerszy. Ustawa obejmuje bowiem organizacje działające w sektorach uznanych za istotne dla funkcjonowania państwa i gospodarki. Mówimy tutaj między innymi o: energetyce, transporcie, bankowości, ochronie zdrowia, infrastrukturze cyfrowej, dostawcach usług ICT, administracji publicznej i wielu innych.
UKSC kwalifikuje te organizacje jako podmioty kluczowe i podmioty ważne. Co do zasady podmioty kluczowe są traktowane jako bardziej istotne z perspektywy państwa i gospodarki. Więcej o sektorach objętych UKSC znajdziesz tu: https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---kogo-obejmuje
Według „Raportu rocznego 2025 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego Internetu”, trend i zestawienie roczne prezentują się następująco:
- 2020: ok. 22,5 tys. obsłużonych incydentów
- 2021: ok. 29,5 tys. incydentów
- 2022: ok. 33,5 tys. incydentów
- 2023: ok. 40 tys. incydentów
- 2024: ponad 103 tys. incydentów
- 2025: rekordowe 260 783 incydentów (wzrost o 152% rok do roku)
Oznacza ogromną skalę krytycznych luk i błędów konfiguracyjnych w polskich zasobach internetowych, wykrytych m.in. przez skaner Artemis. Metafora ta odnosi się do zaniedbań administratorów, takich jak brak aktualizacji CMS czy niezabezpieczone porty, które ułatwiają ataki typu ransomware i APT.
Ustawa wprost wskazuje, że odpowiedzialny za wdrożenia obowiązków jest tzw. Kierownik podmiotu ważnego lub kluczowego. Najprościej można to rozumieć tak, że kierownikiem podmiotu jest osoba kierująca podmiotem kluczowym lub ważnym - ten kto realnie zarządza organizacją i podejmuje decyzje w naszej organizacji. Przykładowo: w przypadku spółek kapitałowych np. z o.o. pod tym pojęciem należy rozumieć członków zarządu. W przypadku spółek osobowych np.: w przypadku spółki jawnej i spółki cywilnej za kierownika jednostki uważa się wspólników prowadzących sprawy spółki. W przypadku spółki partnerskiej – wspólnicy prowadzący sprawy spółki albo zarząd. W spółce komandytowej najczęściej komplementariusze prowadzące sprawy spółki. Czyli podsumowując - nie chodzi o kierowników poszczególnych zespołów np. kierownika ds. sprzedaży, kierownika ds. IT.
Co do zasady tak, jeżeli mamy zarząd wieloosobowy odpowiadają wszyscy. Jest jednak wyjątek, mianowicie jeżeli organizacja wyznaczy jednego członka zarządu, który będzie odpowiedzialny za wykonywanie obowiązków w zakresie cyberbezpieczeństwa, tym samym zwolni pozostałych członków zarządu z odpowiedzialności za naruszenie przez podmiot przepisów UKSC.
Nie ma takiej możliwości. Kierownik podmiotu (np. zarząd) może powierzyć faktyczną realizację tych obowiązków innej osobie (np. kierownikowi IT), ale kierownik podmiotu (czyli ten zarząd) zawsze będzie ponosił prawną odpowiedzialności za realizację tych obowiązków.
Kierownictwo odpowiada m.in. za:
- wdrożenie systemu zarządzania bezpieczeństwem,
- zapewnienie odpowiednich zasobów i budżetu,
- nadzór nad zarządzaniem ryzykiem,
- ciągłość działania,
- bezpieczeństwo dostawców,
- audyty, szkolenia,
czyli ogólnie - za stworzenie realnego systemu cyberbezpieczeństwa w organizacji.
Ustawodawca wprost zakłada obowiązek szkolenia kierownictwa z zakresu cyberbezpieczeństwa. Nie chodzi o to, żeby zarząd umiał konfigurować systemy czy analizować logi. Chodzi o to, żeby management: rozumiał ryzyka, rozumiał wpływ cyberzagrożeń na biznes, potrafił podejmować świadome decyzje, wiedział, kiedy organizacja jest realnie zagrożona i potrafił nadzorować obszar cyberbezpieczeństwa.
W zależności od tego, czy organizacja zostanie zakwalifikowana jako podmiot kluczowy czy podmiot ważny, wysokość potencjalnych kar będzie się różnić. Dla podmiotów kluczowych maksymalna kara jest wyższa.
Ustawodawca przewiduje naprawdę bardzo wysokie poziomy sankcji:
- dla podmiotów kluczowych - nawet do 10 mln euro albo 2% całkowitego rocznego światowego obrotu,
- dla podmiotów ważnych - do 7 mln euro albo 1,4% obrotu,
przy czym należy pamiętać, że zastosowanie ma kwota wyższa.
Dodatkowo, ustawa przewiduje również możliwość nakładania kar bezpośrednio na kierownika podmiotu. Wysokość takiej kary zależy od tego czy organizacją jest tzw. publiczną czy prywatną. Ponieważ do podmiotów publicznych kara dla kierownika może wynieść do 100% wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop, przy podmiotach prywatnych to jest aż do 300%.
Oprócz „zwykłych” kar administracyjnych ustawa przewiduje również tak zwane kary okresowe — czyli kary nakładane za każdy dzień niewykonania decyzji organu. Mogą one wynosić od 500 zł do nawet 100 tys. zł dziennie, więc mają realnie zmusić organizację do szybkiego wdrożenia obowiązków.
Natomiast kara ekstraordynaryjna to szczególny rodzaj sankcji stosowany przy najpoważniejszych naruszeniach — np. gdy incydent może zagrozić bezpieczeństwu państwa, życiu ludzi, albo wywołać bardzo poważne szkody. Taka kara może wynieść nawet do 100 mln zł.
Należy pamiętać też o drugiej płaszczyźnie, czyli tym, o czym biznes bardzo często zapomina, ponieważ skupia się wyłącznie na karach pieniężnych. Tymczasem w praktyce niedostosowanie się do wymogów UKSC może powodować znacznie szersze konsekwencje biznesowe i operacyjne. W wyniku incydentu może dojść do sytuacji w której nasza organizacja:
- traci dostęp do systemów,
- pracownicy nie mogą wykonywać pracy,
- klienci nie mają dostępu do usług,
- pojawia się chaos organizacyjny,
- część procesów trzeba wykonywać ręcznie.
I wtedy zaczynają pojawiać się realne koszty biznesowe:
- przestoje operacyjne - bo organizacja nie może normalnie działać,
- utrata klientów - bo spada zaufanie do usług,
- utrata reputacji -bo incydenty szybko stają się problemem wizerunkowym,
- problemy kontraktowe - bo mogą pojawić się roszczenia i kary umowne,
- koszty odbudowy środowiska - bo trzeba odtworzyć systemy i zabezpieczenia,
- presja regulatorów i klientów - bo pojawiają się kontrole, raportowanie i pytania o bezpieczeństwo.
- Średnia liczba dni potrzebnych do wznowienia działalności po ataku ransomware to 20 – 22 dni.
- Średni okup zapłacony przez polskie firmy w 2025 roku to 340 – 380 tyś. PLN
- Łączna suma kar nałożonych przez UODO w Polsce w 2025 roku to 64,4 miliona PLN
- Odsetek polskich firm, które doświadczyły cyberataku w ciągu ostatnich 3 lat to 74%
Należy samodzielnie ustalić czy nasza organizacja podlega pod UKSC. W znacznej większości przypadków organ nie wyda „automatycznej decyzji". Proces analizy samoidentyfikacji musi zostać udokumentowany.
Audyt sieci WAN
- Weryfikacja prędkości i jakości połączenia WAN;
- Weryfikacja konfiguracji routera, zapory sieciowej;
Audyt sieci LAN
- Sprawdzenie konfiguracji przełączników;
- Sprawdzenie konfiguracji punktów dostępowych i sieci Wi-Fi;
Audyt serwerów Windows
- Sprawdzenie konfiguracji sprzętowej pod względem bezpieczeństwa;
- Weryfikacja usług gwarancyjnych;
- Sprawdzenie logów serwera;
- Sprawdzenie usług działających na serwerze;
- Sprawdzenie aplikacji zainstalowanych na serwerze;
- Sprawdzenie aktualizacji zainstalowanych na serwerze;
- Sprawdzenie konfiguracji backup dla serwera;
Audyt serwerów Linux\Unix\NAS
- Sprawdzenie konfiguracji sprzętowej pod względem bezpieczeństwa;
- Weryfikacja usług gwarancyjnych;
- Sprawdzenie logów serwera;
- Sprawdzenie usług działających na serwerze;
- Sprawdzenie aktualizacji zainstalowanych na serwerze;
- Sprawdzenie konfiguracji backup dla serwera;
Audyt Active Directory
- Sprawdzenie konfiguracji Lasu i drzewa domeny;
- Sprawdzenie konfiguracji obiektów GPO;
Audyt Komputerów PC i Laptopów
- Sprawdzenie konfiguracji komputera pod względem bezpieczeństwa;
- Sprawdzenie i weryfikacja licencji aplikacji zainstalowanych na komputerze;
Audyt procedur i dokumentacji IT
- Weryfikacja procedur backup;
- Weryfikacja procedury disaster recovery (DRP);
- Weryfikacja polityki bezpieczeństwa;
- Weryfikacja procedur zatrudnienia/zwolnienia pracownika;
- Weryfikacja dokumentacji schematu sieci komputerowej;
- Weryfikacja dokumentacji kluczowych aplikacji;
Sprawdzenie pomieszczeń serwerowych i pośrednich punktów dystrybucyjnych
- Weryfikacja procedur dostępu do serwerowni;
- Sprawdzenie czy pomieszczenia wyposażone są w sprzęt chłodniczy i gaśniczy
10 kluczowych dokumentów i procedur to:
- Incydenty i Monitorowanie (Core UKSC)
- Procedura zarządzania incydentami i ich eskalacji
- Procedura obsługi i analizy logów (SIEM/SOC)
- Ciągłość Działania (Disaster Recovery)
- Polityka i instrukcja wykonywania kopii zapasowych
- Plan Odzyskiwania po Awarii (DRP - Disaster Recovery Plan)
- Infrastruktura i Utrzymanie IT
- Polityka zarządzania podatnościami (Vulnerability Management)
- Procedura Hardeningu (Bezpiecznej Konfiguracji)
- Ewidencja aktywów teleinformatycznych (Asset Management)
- Tożsamość i Użytkownicy
- Polityka zarządzania tożsamością i uprawnieniami
- Instrukcja bezpiecznego dostępu zdalnego (VPN/Zatrudnienie)
- Łańcuch Dostaw
- Techniczne wymagania bezpieczeństwa dla dostawców (SLA/Security Baseline)
| Obszar obowiązków | Podstawa prawna |
|---|---|
| System zarządzania bezpieczeństwem informacji (SZBI) | art. 8 ust. 1 |
| Analiza i zarządzanie ryzykiem | art. 8 ust. 1 pkt 1 |
| Środki techniczne i organizacyjne | art. 8 ust. 1 pkt 2 |
| Zarządzanie incydentami i zgłaszanie incydentów | art. 8 ust. 1 pkt 2, 4 i 5, art. 11-12b |
| Bezpieczeństwo łańcucha dostaw | art. 8 ust. 1 pkt 2 lit. E, art. 8 ust. 2 |
| Dokumentacja i procedury | art. 8 ust. 1 |
| Audyty i nadzór | art. 15 i nast. |
| Ciągłość działania i odtwarzanie po incydencie | art. 8 ust. 1 pkt 2 lit. f |
| Szkolenia i świadomość personelu | art. 8e |
Wszystkie te nazwy stosowane są zamiennie i są skrótami do Ustawa o Krajowym Systemie Cyberbezpieczeństwa.