Kompleksowe
wdrożenie NIS2 / UKSC

Profesjonalny audyt
i wdrożenie rozwiązań
Support Online zapewnia pełne wsparcie w procesie osiągnięcia zgodności z NIS2 / UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa) – od pierwszej analizy, przez przygotowanie planu działań, aż po wdrożenie rozwiązań IT i wymaganej dokumentacji.

Sprawdź, czy Twoja firma podlega pod dyrektywę NIS2 / UKSC

JAK PRZYGOTOWUJEMY FIRMY DO UKSC
5 etapów
1 Bezpłatny wstępny audyt
Orientacyjna ocena gotowości do UKSC / NIS2. Wskazuje kluczowe luki i kierunek działań, bez szczegółowej analizy i formalnej weryfikacji wymaganej w pełnym audycie.
2 Pełny audyt zgodności
Ocena obecnego poziomu dostosowania do wymogów UKSC / NIS2. Identyfikacja luk i ryzyk.
3 Roadmapa i wycena
Plan działań z priorytetami, harmonogramem i wyceną każdego wdrożenia.
4 Wdrożenie techniczne i prawne
Realizacja wymaganych rozwiązań: zabezpieczenia, monitoring, zarządzanie dostępem, procedury i dokumentacja.
5 Utrzymanie ciągłej zgodności
Monitoring 24/7 i SOC 24, aktualizacje polityk, reagowanie na incydenty.
Kogo dotyczy UKSC (NIS2)? Około 40 tyś. organizacji będzie objętych wymogami UKSC.
Czy Twoja firma też?
Sektory objęte UKSC *
Energetyka Transport Bankowość i finanse Infrastruktura cyfrowa Ochrona zdrowia Dostawcy usług IT/ICT Produkcja żywności Chemia i farmacja Usługi pocztowe Zarządzanie odpadami Inwestycje energetyki jądrowej Gospodarka wodno-ściekowa Produkcja wybranych produktów Dostawcy usług cyfrowych Badania naukowe Administracja publiczna (wybrane podmioty)
Sprawdź, czy podlegasz pod UKSC

Odpowiedz na kilka pytań i otrzymaj orientacyjną ocenę. Bezpłatnie i bez rejestracji.

Od 3 kwietnia 2026 r. obowiązuje w Polsce Ustawa o Krajowym Systemie Cyberbezpieczeństwa wdrażająca dyrektywę NIS2. Firmy z objętych sektorów mają 6 miesięcy na samoidentyfikację — bez powiadomienia z urzędu.

* Wynik ma charakter wstępnej automatycznej kwalifikacji i opiera się wyłącznie na danych zadeklarowanych przez użytkownika. Nie stanowi oficjalnej kwalifikacji prawnej ani potwierdzenia objęcia lub nieobjęcia dyrektywą NIS2 / ustawą o KSC. W przypadku wątpliwości zalecamy korzystanie bezpośrednio z treści wskazanych aktów prawnych oraz konsultację prawną.

Krok 1 z 3: Podstawowe dane

Ile osób zatrudnia Twoja firma (łącznie z grupą kapitałową)?

NIS2 dotyczy co do zasady firm zatrudniających ponad 50 osób. Jeśli firma należy do grupy kapitałowej, liczy się wielkość całej grupy.
Mniej niż 50
50–249
250 i więcej
Należę do grupy kapitałowej — nie wiem jak liczyć

W jakim sektorze głównie działa Twoja firma?

Krok 2 z 3: Szczegółowa kwalifikacja

Odpowiedz na poniższe pytania, aby otrzymać dokładną ocenę.

Kryteria formalne

Poniżej 2 mln EUR
2–10 mln EUR
Powyżej 10 mln EUR
Nie chcę podawać
Tylko w Polsce lub w UE
Głównie w Polsce lub UE
Głównie poza Polską i UE
Głównie poza Polską i UE

Rola organizacji

Tak, bezpośrednio
Możliwe, pośrednio
Nie
Tak
Nie wiem
Nie

Krok 3 z 3: Wynik czeka na Ciebie

Na podstawie Twoich odpowiedzi przygotowaliśmy wstępną ocenę. Podaj dane, aby zobaczyć wynik i rekomendacje.

Zakres wsparcia
Nasze podejście do technologii opiera się na budowaniu fundamentów bezpieczeństwa, które harmonijnie łączą innowacyjność z bezkompromisową ochroną zasobów cyfrowych.
Obszar techniczny i infrastruktura
Zabezpieczenie sieci firmowej i dostępu zdalnego Wdrożenie SIEM, SOC i systemów monitoringu Zarządzanie podatnościami i testy penetracyjne Szyfrowanie danych i kopie zapasowe Plany ciągłości działania (BCP/DRP) Inwentaryzacja i zarządzanie zasobami IT

Obszar prawny i organizacyjny
Analiza obowiązków wynikających z dyrektywy Polityki bezpieczeństwa i procedury Zarządzanie ryzykiem i łańcuchem dostaw Procedury zgłaszania incydentów Szkolenia kadry zarządzającej i pracowników
Bezpłatny wstępny audyt
Przeprowadzimy wstępną, orientacyjną ocenę spełnienia wymagań, wskażemy kluczowe luki i kierunek działań. Ocenimy skalę wdrożenia i przedstawimy koszty dostosowania.
Zamów bezpłatną konsultację
UKSC / NIS2 to nie tylko

IT

- to także

prawo

Pomagamy klientom być w 100% przygotowanym do UKSC, zarówno z perspektywy IT i prawa. Naszym celem jest ograniczenie ryzyka prawnego i finansowego klientów. Dlatego wdrażamy wymogi UKSC i NIS2 wspólnie z Kancelarią GP Partners.

 

jedno, spójne podejście – bez rozdzielania IT i prawa

pewność, że wdrożone rozwiązania są skuteczne technologicznie i zgodne z regulacjami

kompletną dokumentację do kontroli i audytów

jasne procedury działania w przypadku incydentów i naruszeń

Dlaczego my?
Nieprzerwanie od 10 lat posiadamy certyfikat ISO 27001
To oficjalny dowód na to, że spełniamy najwyższe międzynarodowe standardy w zakresie bezpieczeństwa informacji. Co więcej dyrektywę NIS2 / UKSC wzorowano właśnie na ISO 27001. Dlatego posiadamy wieloletnie doświadczenie w utrzymywaniu zgodności z takimi przepisami.
Sprawne wdrożenia po dekadzie doświadczeń
Ponieważ UKSC w dużej mierze opiera się na strukturze i wymaganiach normy ISO 27001, wdrażamy wymagania nowej ustawy sprawniej i bezpieczniej. Przetrenowaliśmy profesjonalne standardy przez 10 lat.
Audytorzy Wiodący ISO/IEC 27001:2022 w zespole
W naszym zespole pracują certyfikowani Audytorzy Wiodący ISO/IEC 27001:2022. Zatrudniasz architektów bezpieczeństwa, nie teoretyków. Potrafią błyskawicznie znaleźć luki w zabezpieczeniach (zanim zrobi to cyberprzestępca).
Spokój przez kontrolę
Aby utrzymać certyfikację ISO 27001, co roku przechodzimy rygorystyczne audyty bezpieczeństwa. Wiemy, jak przygotować Twoją firmę, aby bez problemu przechodziła rygorystyczne kontrole i audyty krzyżowe związane z UKSC.
Realne potrzeby i realna odpowiedź
Certyfikowany audytor potrafi odsiać zbędną biurokrację od realnej ochrony. Dopasujemy procedury tak, aby pomagały w biznesie, a nie blokowały pracę zespołu. Otrzymujesz system bezpieczeństwa, który realnie działa i chroni Twój biznes
i budżet.
Zintegrowana usługa
Nasz partner kancelaria GP Partners Gawroński, Biernatowski sp.k. należy do czołówki kancelarii zajmujących się technologią. Specjalizuje się we wdrażaniu regulacji i standardów bezpieczeństwa informacji i danych oraz ciągłości działania. Prawnicy kancelarii GP Partners posiadają certyfikat Audytora Wiodącego ISO 27001 Wojskowej Akademii Technicznej, Nagrodę Prezesa Urzędu Ochrony Danych Osobowych, są autorami znakomitych publikacji i wystąpień o ochronie danych i cyberbezpieczeństwie, w tym bestsellerowego „RODO. Przewodnik ze wzorami”.
Harmonogram wdrożenia UKSC w organizacji
3.04.2026
Wejście w życie UKSC
03.10.2026
Koniec terminu rejestracji
[Czas na samoidentyfikację]
01
02
03
04
05
07.05.2026
Uruchomienie samorejestracji w Systemie S46
[Czas na samoidentyfikację]
03.04.2027
Koniec okresu dostosowawczego
(wdrożenie obowiązków)
[Po samoidentyfikacji, czas na audyt IT, ustalenie co trzeba uporządkować w organizacji itd.]
03.04.2028
Start nakładania kar pieniężnych
oraz pierwszy audyt SZBI
01
3.04.2026
Wejście w życie UKSC
02
07.05.2026
Uruchomienie samorejestracji w Systemie S46
[Czas na samoidentyfikację]
03
03.10.2026
Koniec terminu rejestracji
[Czas na samoidentyfikację]
04
03.04.2027
Koniec okresu dostosowawczego (wdrożenie obowiązków)
[Po samoidentyfikacji, czas na audyt IT, ustalenie co trzeba uporządkować w organizacji itd.]
05
03.04.2028
Start nakładania kar pieniężnych oraz pierwszy audyt SZBI
Sprawdź , jak możemy
pomóc Twojej firmie
Zamów bezpłatną konsultację
Twoje IT.
nasze
wsparcie.
Skontaktuj
się z nami

Administratorem Państwa danych osobowych jest Support Online sp. z o.o. Państwa dane osobowe będą przetwarzane w celu udzielenia odpowiedzi na Państwa zapytanie oraz w przypadku udzielenia stosownej zgody również w celu wysyłki biuletynu informacyjnego SOL. O szczegółowych zasadach przetwarzania danych osobowych przez naszą organizację mogą Państwo przeczytać w naszej Polityce prywatności.

FAQ

NIS2 to unijna dyrektywa, czyli akt prawa UE, który określa, jakie wymagania państwa członkowskie mają wdrożyć w obszarze cyberbezpieczeństwa. Natomiast UKSC — czyli rozwijając ten skrót to Ustawa o Krajowym Systemie Cyberbezpieczeństwa — to polska ustawa wdrażająca wymagania NIS2 do polskiego porządku prawnego.

Czyli najprościej mówiąc: NIS2 mówi państwom członkowskim „co” ma  zostać wdrożone, a UKSC pokazuje już konkretnie „co” organizacje w Polsce mają wdrożyć. I to jest bardzo ważne. Ponieważ w codziennej pracy organizacje działające w Polsce będą pracowały przede wszystkim właśnie z UKSC, a nie NIS2.
 

Wszystkie te skróty stosowane są wymiennie. Wszystkie dotyczą Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Dlatego, że UE uznała że cyberbezpieczeństwo przestało być wyłącznie problemem/wyzwaniem technologicznym. Dziś od systemów IT zależy: funkcjonowanie biznesu,  banków, ochrony zdrowia,  transportu itd. 

Jednocześnie w ostatnich latach bardzo mocno wzrosła liczba cyberataków/incydentów wpływających na działanie organizacji oraz usług publicznych.

I właśnie dlatego UE uznała, że potrzebne są wspólne minimalne standardy cyberbezpieczeństwa dla całej Unii Europejskiej.
 

Bardzo często organizacje zakładają, że Ustawa dotyczy wyłącznie administracji albo największych firm technologicznych. Tymczasem zakres UKSC jest dużo szerszy. Ustawa obejmuje bowiem organizacje działające w sektorach uznanych za istotne dla funkcjonowania państwa i gospodarki. Mówimy tutaj między innymi o: energetyce, transporcie, bankowości, ochronie zdrowia, infrastrukturze cyfrowej, dostawcach usług ICT, administracji publicznej i wielu innych.

UKSC kwalifikuje te organizacje jako podmioty kluczowe i podmioty ważne. Co do zasady podmioty kluczowe są traktowane jako bardziej istotne z perspektywy państwa i gospodarki. Więcej o sektorach objętych UKSC znajdziesz tu: https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---kogo-obejmuje 


 

Według „Raportu rocznego 2025 z działalności CERT Polska. Krajobraz bezpieczeństwa polskiego Internetu”, trend i zestawienie roczne prezentują się następująco:

  • 2020: ok. 22,5 tys. obsłużonych incydentów
  • 2021: ok. 29,5 tys. incydentów
  • 2022: ok. 33,5 tys. incydentów
  • 2023: ok. 40 tys. incydentów
  • 2024: ponad 103 tys. incydentów
  • 2025: rekordowe 260 783 incydentów (wzrost o 152% rok do roku)

Oznacza ogromną skalę krytycznych luk i błędów konfiguracyjnych w polskich zasobach internetowych, wykrytych m.in. przez skaner Artemis. Metafora ta odnosi się do zaniedbań administratorów, takich jak brak aktualizacji CMS czy niezabezpieczone porty, które ułatwiają ataki typu ransomware i APT.
 

Ustawa wprost wskazuje, że odpowiedzialny za wdrożenia obowiązków jest tzw. Kierownik podmiotu ważnego lub kluczowego. Najprościej można to rozumieć tak, że kierownikiem podmiotu jest osoba kierująca podmiotem kluczowym lub ważnym - ten kto realnie zarządza organizacją i podejmuje decyzje w naszej organizacji. Przykładowo: w przypadku spółek kapitałowych np. z o.o. pod tym pojęciem należy rozumieć członków zarządu. W przypadku spółek osobowych np.: w przypadku spółki jawnej i spółki cywilnej za kierownika jednostki uważa się wspólników prowadzących sprawy spółki. W przypadku spółki partnerskiej – wspólnicy prowadzący sprawy spółki albo zarząd. W spółce komandytowej najczęściej komplementariusze prowadzące sprawy spółki. Czyli podsumowując - nie chodzi o kierowników poszczególnych zespołów np. kierownika ds. sprzedaży, kierownika ds. IT.

Co do zasady tak, jeżeli mamy zarząd wieloosobowy odpowiadają wszyscy. Jest jednak wyjątek, mianowicie jeżeli organizacja wyznaczy jednego członka zarządu, który będzie odpowiedzialny za wykonywanie obowiązków w zakresie cyberbezpieczeństwa,  tym samym zwolni pozostałych członków zarządu z odpowiedzialności za naruszenie przez podmiot przepisów UKSC.

Nie ma takiej możliwości. Kierownik podmiotu (np. zarząd) może powierzyć faktyczną realizację tych obowiązków innej osobie (np. kierownikowi IT), ale kierownik podmiotu (czyli ten zarząd) zawsze będzie ponosił prawną odpowiedzialności za realizację tych obowiązków.

Kierownictwo odpowiada m.in. za:

  • wdrożenie systemu zarządzania bezpieczeństwem, 
  • zapewnienie odpowiednich zasobów i budżetu, 
  • nadzór nad zarządzaniem ryzykiem,  
  • ciągłość działania, 
  • bezpieczeństwo dostawców, 
  • audyty, szkolenia, 

czyli  ogólnie - za stworzenie realnego systemu cyberbezpieczeństwa w organizacji.
 

Ustawodawca wprost zakłada obowiązek szkolenia kierownictwa z zakresu cyberbezpieczeństwa. Nie chodzi o to, żeby zarząd umiał konfigurować systemy czy analizować logi. Chodzi o to, żeby management: rozumiał ryzyka, rozumiał wpływ cyberzagrożeń na biznes,  potrafił podejmować świadome decyzje,  wiedział, kiedy organizacja jest realnie zagrożona i potrafił nadzorować obszar cyberbezpieczeństwa. 


 

W zależności od tego, czy organizacja zostanie zakwalifikowana jako podmiot kluczowy czy podmiot ważny, wysokość potencjalnych kar będzie się różnić. Dla podmiotów kluczowych maksymalna kara jest wyższa.

Ustawodawca przewiduje naprawdę bardzo wysokie poziomy sankcji:

  • dla podmiotów kluczowych - nawet do 10 mln euro albo 2% całkowitego rocznego światowego obrotu, 
  • dla podmiotów ważnych - do 7 mln euro albo 1,4% obrotu, 

przy czym należy pamiętać, że zastosowanie ma kwota wyższa.

Dodatkowo, ustawa przewiduje również możliwość nakładania kar bezpośrednio na kierownika podmiotu. Wysokość takiej kary zależy od tego czy organizacją jest tzw. publiczną czy prywatną. Ponieważ do podmiotów publicznych kara dla kierownika może wynieść do 100% wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop, przy podmiotach prywatnych to jest aż do 300%. 

Oprócz „zwykłych” kar administracyjnych ustawa przewiduje również tak zwane kary okresowe — czyli kary nakładane za każdy dzień niewykonania decyzji organu. Mogą one wynosić od 500 zł do nawet 100 tys. zł dziennie, więc mają realnie zmusić organizację do szybkiego wdrożenia obowiązków.

Natomiast kara ekstraordynaryjna to szczególny rodzaj sankcji stosowany przy najpoważniejszych naruszeniach — np. gdy incydent może zagrozić bezpieczeństwu państwa, życiu ludzi, albo wywołać bardzo poważne szkody. Taka kara może wynieść nawet do 100 mln zł.

Należy pamiętać też o drugiej płaszczyźnie, czyli tym, o czym biznes bardzo często zapomina, ponieważ skupia się wyłącznie na karach pieniężnych. Tymczasem w praktyce niedostosowanie się do wymogów UKSC może powodować znacznie szersze konsekwencje biznesowe i operacyjne. W wyniku incydentu może dojść do sytuacji w której nasza organizacja:

  • traci dostęp do systemów, 
  • pracownicy nie mogą wykonywać pracy, 
  • klienci nie mają dostępu do usług, 
  • pojawia się chaos organizacyjny, 
  • część procesów trzeba wykonywać ręcznie. 

I wtedy zaczynają pojawiać się realne koszty biznesowe:

  • przestoje operacyjne - bo organizacja nie może normalnie działać, 
  • utrata klientów - bo spada zaufanie do usług, 
  • utrata reputacji -bo incydenty szybko stają się problemem wizerunkowym, 
  • problemy kontraktowe - bo mogą pojawić się roszczenia i kary umowne, 
  • koszty odbudowy środowiska - bo trzeba odtworzyć systemy i zabezpieczenia, 
  • presja regulatorów i klientów - bo pojawiają się kontrole, raportowanie i pytania o bezpieczeństwo.
  • Średnia liczba dni potrzebnych do wznowienia działalności po ataku ransomware to 20 – 22 dni.
  • Średni okup zapłacony przez polskie firmy  w 2025 roku to 340 – 380 tyś. PLN
  • Łączna suma kar nałożonych przez UODO w Polsce w 2025 roku to 64,4 miliona PLN
  • Odsetek polskich firm, które doświadczyły cyberataku w ciągu ostatnich 3 lat to 74%

Należy samodzielnie ustalić czy nasza organizacja podlega pod UKSC. W znacznej większości przypadków organ nie wyda „automatycznej decyzji". Proces analizy samoidentyfikacji musi zostać udokumentowany. 

Audyt sieci WAN

  • Weryfikacja prędkości i jakości połączenia WAN;
  • Weryfikacja konfiguracji routera, zapory sieciowej;
     

Audyt sieci LAN

  • Sprawdzenie konfiguracji przełączników;
  • Sprawdzenie konfiguracji punktów dostępowych i sieci Wi-Fi;
     

Audyt serwerów Windows 

  • Sprawdzenie konfiguracji sprzętowej pod względem bezpieczeństwa;
  • Weryfikacja usług gwarancyjnych;
  • Sprawdzenie logów serwera;
  • Sprawdzenie usług działających na serwerze;
  • Sprawdzenie aplikacji zainstalowanych na serwerze;
  • Sprawdzenie aktualizacji zainstalowanych na serwerze;
  • Sprawdzenie konfiguracji backup dla serwera;

 

Audyt serwerów Linux\Unix\NAS 

  • Sprawdzenie konfiguracji sprzętowej pod względem bezpieczeństwa;
  • Weryfikacja usług gwarancyjnych;
  • Sprawdzenie logów serwera;
  • Sprawdzenie usług działających na serwerze;
  • Sprawdzenie aktualizacji zainstalowanych na serwerze;
  • Sprawdzenie konfiguracji backup dla serwera; 


Audyt Active Directory 

  • Sprawdzenie konfiguracji Lasu i drzewa domeny;
  • Sprawdzenie konfiguracji obiektów GPO;
     

Audyt Komputerów PC i Laptopów 

  • Sprawdzenie konfiguracji komputera pod względem bezpieczeństwa;
  • Sprawdzenie i weryfikacja licencji aplikacji zainstalowanych na komputerze;
     

Audyt procedur i dokumentacji IT 

  • Weryfikacja procedur backup;
  • Weryfikacja procedury disaster recovery (DRP);
  • Weryfikacja polityki bezpieczeństwa; 
  • Weryfikacja procedur zatrudnienia/zwolnienia pracownika;
  • Weryfikacja dokumentacji schematu sieci komputerowej;
  • Weryfikacja dokumentacji kluczowych aplikacji; 
     

Sprawdzenie pomieszczeń serwerowych i pośrednich punktów dystrybucyjnych 

  • Weryfikacja procedur dostępu do serwerowni;
  • Sprawdzenie czy pomieszczenia wyposażone są w sprzęt chłodniczy i gaśniczy





 

10 kluczowych dokumentów i procedur to: 

  • Incydenty i Monitorowanie (Core UKSC)
    • Procedura zarządzania incydentami i ich eskalacji
    • Procedura obsługi i analizy logów (SIEM/SOC)
  • Ciągłość Działania (Disaster Recovery)
    • Polityka i instrukcja wykonywania kopii zapasowych
    • Plan Odzyskiwania po Awarii (DRP - Disaster Recovery Plan)
  • Infrastruktura i Utrzymanie IT
    • Polityka zarządzania podatnościami (Vulnerability Management)
    • Procedura Hardeningu (Bezpiecznej Konfiguracji)
    • Ewidencja aktywów teleinformatycznych (Asset Management)
  • Tożsamość i Użytkownicy
    • Polityka zarządzania tożsamością i uprawnieniami
    • Instrukcja bezpiecznego dostępu zdalnego (VPN/Zatrudnienie)
  • Łańcuch Dostaw
    • Techniczne wymagania bezpieczeństwa dla dostawców (SLA/Security Baseline)
Obszar obowiązkówPodstawa prawna
System zarządzania bezpieczeństwem informacji (SZBI)art. 8 ust. 1
Analiza i zarządzanie ryzykiemart. 8 ust. 1 pkt 1
Środki techniczne i organizacyjneart. 8 ust. 1 pkt 2
Zarządzanie incydentami i zgłaszanie incydentówart. 8 ust. 1 pkt 2, 4 i 5, art. 11-12b
Bezpieczeństwo łańcucha dostawart. 8 ust. 1 pkt 2 lit. E, art. 8 ust. 2
Dokumentacja i proceduryart. 8 ust. 1
Audyty i nadzórart. 15 i nast.
Ciągłość działania i odtwarzanie po incydencieart. 8 ust. 1 pkt 2 lit. f
Szkolenia i świadomość personeluart. 8e

Wszystkie te nazwy stosowane są zamiennie i są skrótami do Ustawa o Krajowym Systemie Cyberbezpieczeństwa.

Bezpłatna konsultacja
22 335 28 00