Usługa · audyt

Audyt zgodności z KSC i NIS2

Sprawdzamy, na ile Twoja firma spełnia wymagania znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa — i dostarczamy konkretny plan naprawczy, zanim luki znajdzie audytor ustawowy albo organ nadzorczy.

Dlaczego przedaudyt to najlepszy pierwszy krok

Ustawa wymaga audytu co najmniej raz na 2 lata, a raport z audytu ustawowego trafia do organu nadzorczego w ciągu 3 dni roboczych. Nie ma więc miejsca na „poprawki po fakcie" — na audyt ustawowy trzeba przyjść przygotowanym.

Co istotne, audytor ustawowy musi być niezależny: nie może nim być osoba, która w ostatnim roku zarządzała bezpieczeństwem IT w badanym podmiocie. Własny informatyk ani dotychczasowy usługodawca IT nie wchodzą w grę — i właśnie dlatego warto najpierw przejść audyt zgodności z zewnętrznym partnerem, który wskaże braki bez formalnych konsekwencji.

Metodyka

Co badamy — 6 obszarów SZBI

Analiza i zarządzanie ryzykiem

Czy firma cyklicznie ocenia zagrożenia dla swoich systemów i dokumentuje wyniki.

Polityki i dokumentacja SZBI

Kompletność polityk bezpieczeństwa, procedur i standardów wymaganych ustawą.

Zarządzanie incydentami

Gotowość do wykrycia, obsłużenia i zgłoszenia incydentu w terminach 24h / 72h / 1 miesiąc.

Ciągłość działania (BCP/DRP)

Plany awaryjne, kopie zapasowe i — co najważniejsze — testy odtwarzania.

Łańcuch dostaw

Weryfikacja dostawców IT i podwykonawców, zapisy umowne dotyczące bezpieczeństwa.

Zabezpieczenia techniczne

Segmentacja sieci, monitoring i logowanie zdarzeń, MFA, kontrola dostępu uprzywilejowanego, zarządzanie podatnościami.

Przebieg

Jak wygląda współpraca

  1. Spotkanie zerowe — ustalamy zakres systemów objętych badaniem i klasyfikację podmiotu (kluczowy / ważny).
  2. Badanie dokumentacji i konfiguracji — analiza polityk, procedur, architektury sieci, kopii zapasowych, uprawnień.
  3. Wywiady i testy — rozmowy z osobami odpowiedzialnymi, weryfikacja praktyki, nie tylko papieru.
  4. Raport z planem naprawczym — lista niezgodności z priorytetami, konkretne rekomendacje i szacunki nakładów.
  5. Wsparcie wdrożenia — na życzenie pomagamy usunąć niezgodności i przygotować firmę do audytu ustawowego.
Audyt ustawowy z UKSC przeprowadzają audytorzy spełniający wymogi określone w przepisach wykonawczych. W ramach usługi przygotowujemy firmę do tego audytu i pomagamy wybrać właściwego audytora — dzięki temu formalne badanie przechodzi się raz, bez poprawek.
FAQ

Najczęstsze pytania o audyt KSC

Jak często trzeba przeprowadzać audyt bezpieczeństwa według UKSC?

Po nowelizacji UKSC z 2026 r. audyt bezpieczeństwa systemów informacyjnych trzeba przeprowadzać co najmniej raz na 2 lata. Podmioty kluczowe pierwszy pełny audyt muszą wykonać w ciągu 24 miesięcy od wpisania do Wykazu KSC.

Kto może przeprowadzić audyt KSC?

Audytor musi być niezależny — nie może to być osoba, która w ciągu ostatniego roku zarządzała bezpieczeństwem IT w audytowanym podmiocie. W praktyce oznacza to, że audytu nie wykona własny dział IT ani dotychczasowy administrator — potrzebny jest podmiot zewnętrzny.

Co się dzieje z raportem z audytu?

Raport z audytu należy przekazać właściwemu organowi nadzorczemu w ciągu 3 dni roboczych od jego otrzymania. Dlatego tak ważne jest, aby audyt poprzedzić rzetelnym przygotowaniem — raport trafia bezpośrednio do organu.

Czym różni się audyt zgodności od audytu ustawowego?

Audyt zgodności (przedaudyt) to wewnętrzna weryfikacja, która pokazuje luki i pozwala je usunąć bez konsekwencji. Audyt ustawowy to formalne badanie wymagane przez UKSC, którego raport trafia do organu nadzorczego. Rozsądna kolejność: najpierw audyt zgodności i naprawa, dopiero potem audyt ustawowy.

Jakie kary grożą za brak audytu?

Brak wymaganego audytu to naruszenie obowiązków ustawowych. Kary sięgają 10 mln EUR dla podmiotów kluczowych i 7 mln EUR dla podmiotów ważnych, a za najpoważniejsze naruszenia — do 100 mln zł. Kierownik podmiotu odpowiada osobiście karą do 300% miesięcznego wynagrodzenia.

Umów audyt zgodności

Pierwsza rozmowa i wstępna wycena są bezpłatne. Zakres dopasowujemy do wielkości firmy i liczby systemów.

Skontaktuj się