Audyt zgodności z KSC i NIS2
Sprawdzamy, na ile Twoja firma spełnia wymagania znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa — i dostarczamy konkretny plan naprawczy, zanim luki znajdzie audytor ustawowy albo organ nadzorczy.
Dlaczego przedaudyt to najlepszy pierwszy krok
Ustawa wymaga audytu co najmniej raz na 2 lata, a raport z audytu ustawowego trafia do organu nadzorczego w ciągu 3 dni roboczych. Nie ma więc miejsca na „poprawki po fakcie" — na audyt ustawowy trzeba przyjść przygotowanym.
Co istotne, audytor ustawowy musi być niezależny: nie może nim być osoba, która w ostatnim roku zarządzała bezpieczeństwem IT w badanym podmiocie. Własny informatyk ani dotychczasowy usługodawca IT nie wchodzą w grę — i właśnie dlatego warto najpierw przejść audyt zgodności z zewnętrznym partnerem, który wskaże braki bez formalnych konsekwencji.
Co badamy — 6 obszarów SZBI
Analiza i zarządzanie ryzykiem
Czy firma cyklicznie ocenia zagrożenia dla swoich systemów i dokumentuje wyniki.
Polityki i dokumentacja SZBI
Kompletność polityk bezpieczeństwa, procedur i standardów wymaganych ustawą.
Zarządzanie incydentami
Gotowość do wykrycia, obsłużenia i zgłoszenia incydentu w terminach 24h / 72h / 1 miesiąc.
Ciągłość działania (BCP/DRP)
Plany awaryjne, kopie zapasowe i — co najważniejsze — testy odtwarzania.
Łańcuch dostaw
Weryfikacja dostawców IT i podwykonawców, zapisy umowne dotyczące bezpieczeństwa.
Zabezpieczenia techniczne
Segmentacja sieci, monitoring i logowanie zdarzeń, MFA, kontrola dostępu uprzywilejowanego, zarządzanie podatnościami.
Jak wygląda współpraca
- Spotkanie zerowe — ustalamy zakres systemów objętych badaniem i klasyfikację podmiotu (kluczowy / ważny).
- Badanie dokumentacji i konfiguracji — analiza polityk, procedur, architektury sieci, kopii zapasowych, uprawnień.
- Wywiady i testy — rozmowy z osobami odpowiedzialnymi, weryfikacja praktyki, nie tylko papieru.
- Raport z planem naprawczym — lista niezgodności z priorytetami, konkretne rekomendacje i szacunki nakładów.
- Wsparcie wdrożenia — na życzenie pomagamy usunąć niezgodności i przygotować firmę do audytu ustawowego.
Najczęstsze pytania o audyt KSC
Jak często trzeba przeprowadzać audyt bezpieczeństwa według UKSC?
Po nowelizacji UKSC z 2026 r. audyt bezpieczeństwa systemów informacyjnych trzeba przeprowadzać co najmniej raz na 2 lata. Podmioty kluczowe pierwszy pełny audyt muszą wykonać w ciągu 24 miesięcy od wpisania do Wykazu KSC.
Kto może przeprowadzić audyt KSC?
Audytor musi być niezależny — nie może to być osoba, która w ciągu ostatniego roku zarządzała bezpieczeństwem IT w audytowanym podmiocie. W praktyce oznacza to, że audytu nie wykona własny dział IT ani dotychczasowy administrator — potrzebny jest podmiot zewnętrzny.
Co się dzieje z raportem z audytu?
Raport z audytu należy przekazać właściwemu organowi nadzorczemu w ciągu 3 dni roboczych od jego otrzymania. Dlatego tak ważne jest, aby audyt poprzedzić rzetelnym przygotowaniem — raport trafia bezpośrednio do organu.
Czym różni się audyt zgodności od audytu ustawowego?
Audyt zgodności (przedaudyt) to wewnętrzna weryfikacja, która pokazuje luki i pozwala je usunąć bez konsekwencji. Audyt ustawowy to formalne badanie wymagane przez UKSC, którego raport trafia do organu nadzorczego. Rozsądna kolejność: najpierw audyt zgodności i naprawa, dopiero potem audyt ustawowy.
Jakie kary grożą za brak audytu?
Brak wymaganego audytu to naruszenie obowiązków ustawowych. Kary sięgają 10 mln EUR dla podmiotów kluczowych i 7 mln EUR dla podmiotów ważnych, a za najpoważniejsze naruszenia — do 100 mln zł. Kierownik podmiotu odpowiada osobiście karą do 300% miesięcznego wynagrodzenia.
Umów audyt zgodności
Pierwsza rozmowa i wstępna wycena są bezpłatne. Zakres dopasowujemy do wielkości firmy i liczby systemów.