NIS2 · UKSC · 2026

Świadomość. Przygotowanie. Cyberodporność = Państwa bezpieczeństwo

Sprawdzimy, czy NIS2 i nowa ustawa o KSC obejmują Państwa firmę, wdrożymy wszystkie obowiązki – prawne, dokumentacyjne i techniczne – a po wdrożeniu zapewnimy stałą ochronę SOC. Jeden zespół i jeden punkt kontaktu zamiast koordynowania osobnych dostawców na własną rękę.

Rozmowa jest bezpłatna i bez zobowiązań · z prawnikiem i inżynierem, nie z infolinią.

01Analiza prawna
02Dokumentacja i polityki
03Audyt IT
04Ciągły SOC
Dlaczego teraz

NIS2 i UKSC to nie zalecenie – to obowiązek z realnymi sankcjami

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdraża w Polsce dyrektywę NIS2. Wielokrotnie poszerza katalog firm i instytucji objętych obowiązkami – według szacunków Ministerstwa Cyfryzacji to około 38 tysięcy podmiotów, z których wiele podlega takim obowiązkom po raz pierwszy i często o tym nie wie.

Obowiązki obejmują zarządzanie ryzykiem, dokumentację, zgłaszanie incydentów do CSIRT oraz osobistą odpowiedzialność kierownika podmiotu. Brak przygotowania to ryzyko kar finansowych i sankcji wobec osób kierujących firmą.

Ustalenie, czy i w jakim zakresie nowa ustawa o KSC obejmuje Państwa organizację, to pełnoprawna analiza prawna — szczególnie w grupach kapitałowych, przy wielu profilach działalności (PKD) i złożonej roli w łańcuchu dostaw. Od tej klasyfikacji zaczyna się każda współpraca: z niej wynikają obowiązki, terminy i odpowiedzialność kierownictwa.

Na co trzeba się przygotować

  • Konieczność samoidentyfikacji i dokonania zgłoszenia
  • Nowe obowiązki dotyczące zgłaszania incydentów
  • Nowe obowiązki w zakresie zarządzania ryzykiem i audytu
  • Nowe rozbudowane środki nadzoru i wysokie kary pieniężne

Kluczowe terminy nowej ustawy o KSC

  1. 3 kwietnia 2026Wejście w życie nowej ustawy o KSC (Dz.U. 2026 poz. 252).
  2. 7 maja 2026Start samorejestracji w Wykazie KSC (usługa systemu S46); wybrane kategorie podmiotów wpisano wcześniej z urzędu.
  3. 3 października 2026Upływa termin złożenia wniosku o wpis do Wykazu KSC.
  4. 3 kwietnia 2027Upływa termin wdrożenia obowiązków, w tym systemu zarządzania bezpieczeństwem informacji i zarządzania ryzykiem.
  5. 3 kwietnia 2028Upływa termin pierwszego audytu bezpieczeństwa dla podmiotów kluczowych; kolejne co najmniej raz na 3 lata.

Podmioty, które spełnią przesłanki później, liczą powyższe terminy od dnia ich spełnienia. Niezależnie od harmonogramu obowiązuje zgłaszanie poważnych incydentów: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny i raport końcowy w ciągu miesiąca.

Nawet jeśli ustawa Państwa nie obejmuje

Odporność na cyberataki to dziś rachunek ekonomiczny, nie tylko wymóg prawny. W 2025 r. CERT Polska zarejestrował 260 783 incydenty cyberbezpieczeństwa – o 152% więcej niż rok wcześniej. Globalne straty powodowane przez cyberprzestępczość szacuje się na 10,5 bln USD rocznie, a do 2031 r. mają sięgnąć 12,2 bln USD – gdyby cyberprzestępczość była państwem, stanowiłaby trzecią największą gospodarkę świata, po USA i Chinach. Te same zabezpieczenia, których wymagają NIS2 i UKSC, chronią ciągłość działania każdej firmy.

Źródła: CERT Polska / NASK, raport za 2025 r. · Cybersecurity Ventures, Official Cybercrime Report

Kogo dotyczy

Branże objęte NIS2 i UKSC — podmioty kluczowe i ważne

Ustawa dzieli objęte podmioty na dwie kategorie według sektora działalności. Warto sprawdzić, czy Państwa branża znajduje się na liście z załączników do ustawy.

Podmioty kluczowe

  • Energetyka (prąd, ciepło, ropa, gaz, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość
  • Infrastruktura rynków finansowych
  • Ochrona zdrowia
  • Zaopatrzenie w wodę pitną
  • Ścieki
  • Infrastruktura cyfrowa (DNS, TLD, IXP, centra danych, chmura, CDN)
  • Zarządzanie usługami ICT (B2B)
  • Administracja publiczna
  • Przestrzeń kosmiczna

Podmioty ważne

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja i dystrybucja chemikaliów
  • Produkcja i dystrybucja żywności
  • Produkcja (wyroby medyczne, elektronika, maszyny, pojazdy)
  • Dostawcy usług cyfrowych (platformy, wyszukiwarki, media społ.)
  • Organizacje badawcze

O zakwalifikowaniu jako podmiot kluczowy lub ważny decyduje nie tylko branża, ale też wielkość organizacji (zwykle próg średniego przedsiębiorstwa) oraz rola w łańcuchu dostaw. Kod PKD bywa pomocną wskazówką, lecz o statusie przesądza analiza prawna na podstawie ustawy — wykonujemy ją w pierwszym kroku współpracy.

Sprawdźmy Państwa firmę
Wspólna oferta

Trzy kompetencje, jedna kompletna zgodność z NIS2 i UKSC

Prawo, dokumentacja i technologia w jednym projekcie. Każdy filar pokrywa inną warstwę wymogów ustawy – razem składają się na pełną zgodność.

SD Legal

Warstwa prawna i zgodność

Ustalamy, czy i w jakim zakresie UKSC obejmuje Państwa firmę, i zamieniamy przepisy ustawy na jasną listę obowiązków – wiadomo, co trzeba zrobić i za co odpowiada kierownictwo.

  • Prawna analiza podlegania podmiotu pod UKSC (w tym specyfika podmiotów publicznych, grup kapitałowych oraz podmiotów z sektorów cyfrowych)
  • Wsparcie w obowiązkowym zgłoszeniu do wykazu podmiotów kluczowych i ważnych
  • Mapowanie obowiązków prawnych i ram odpowiedzialności (UKSC oraz inne regulacje z zakresu cyberbezpieczeństwa, np.: dyrektywa CER, ustawa o zarządzaniu kryzysowym, RODO, KRI, DORA, PZP, normy ISO, dokumenty ENISA)
  • Wdrożenie wewnętrznych polityk i procedur cyberbezpieczeństwa oraz wsparcie w zarządzaniu personelem powołanym do zadań z zakresu cyberbezpieczeństwa
  • Wsparcie w polityce zarządzania incydentami
  • Wdrożenie środków zapewniających bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT
  • Ciągły monitoring zmian prawnych
  • Wsparcie i szkolenia dla kierownictwa organizacji z zakresu ról, zadań i odpowiedzialności
  • Wsparcie w przeprowadzaniu audytów i przygotowaniu się do kontroli
BBQuality

Dokumentacja, SZBI i koordynacja

Koordynujemy całe wdrożenie i budujemy System Zarządzania Bezpieczeństwem Informacji zintegrowany z normami ISO, które już działają w Państwa organizacji.

  • Koordynacja wdrożenia (prawo + IT + Państwa zespół) od startu do odbioru
  • Audyt techniczno-dokumentacyjny: identyfikacja luk i harmonogram
  • Integracja SZBI z istniejącymi normami ISO 27001 / ISO 9001
  • Audyt bezpieczeństwa informacji (obszary proceduralne i systemowe)
  • Komplet dokumentów wymaganych przez UKSC
  • Pełnienie funkcji Pełnomocnika ds. cyberbezpieczeństwa
Cloudsintegrator + SecIQ

Audyt IT, zabezpieczenia i SOC 24/7

NIS2 i UKSC to przede wszystkim ciągłość cyberbezpieczeństwa – utrzymywana codziennie, nie raz na audyt. Cloudsintegrator wykonuje audyty i wdrożenia techniczne, a SecIQ (spółka z udziałem Cloudsintegrator) obejmuje infrastrukturę SOC-iem 24/7 i odpowiada za odporność oraz reagowanie na incydenty.

  • Audyt IT: inwentaryzacja aktywów, analiza ryzyka i ocena ciągłości działania (BIA) – Cloudsintegrator
  • Analiza luk (gap analysis) wg uznanych standardów – CIS Benchmarks i Microsoft Security Baselines
  • Utwardzanie systemów (hardening), firewalle, EDR/XDR/SIEM, segmentacja sieci, MFA i zarządzanie tożsamością
  • Kopie zapasowe i odtwarzanie po awarii (disaster recovery), audyt łańcucha dostaw ICT
  • Testy penetracyjne i przeglądy środowisk chmurowych (Azure, M365, AWS)
  • SOC 24/7 (SecIQ): ciągły monitoring, reagowanie na incydenty, wsparcie zgłoszeń do CSIRT + szkolenia techniczne
Droga do zgodności

Od ustawy do stałej ochrony – jeden uporządkowany proces

Prowadzimy Państwa firmę przez wszystkie etapy zgodności – od analizy prawnej po stałą ochronę. Zaczynamy od oceny prawnej, a kolejne etapy układamy w logicznej kolejności, z jednym punktem koordynacji – bez luk i przestojów.

  1. 01

    Analiza prawna i klasyfikacja

    Sprawdzamy, czy Państwa firma podlega UKSC jako podmiot kluczowy lub ważny, i wyznaczamy zakres obowiązków oraz odpowiedzialności kierownictwa.

    SD Legal
  2. 02

    Audyt IT i analiza ryzyka

    Badamy infrastrukturę i porównujemy ją z wymaganym poziomem zabezpieczeń. Wynikiem jest jasna mapa: co działa, czego brakuje i co naprawić w pierwszej kolejności.

    Cloudsintegrator
  3. 03

    Dokumentacja, polityki i SZBI

    Tworzymy komplet dokumentów wymaganych przez UKSC: polityki bezpieczeństwa, procedury i SZBI zintegrowany z Państwa systemem ISO.

    BBQuality
  4. 04

    Wdrożenie zabezpieczeń

    Wdrażamy środki techniczne i organizacyjne – od hardeningu i MFA po procedury reagowania na incydenty.

    Wszyscy partnerzy
  5. 05

    Ciągła ochrona SOC 24/7

    SecIQ obejmuje organizację monitoringiem SOC w trybie 24/7, reaguje na incydenty i utrzymuje zgodność audytami oraz szkoleniami – bo NIS2 i UKSC to przede wszystkim ciągłość cyberbezpieczeństwa.

    SecIQ
Dlaczego konsorcjum

Jeden zespół zamiast czterech osobnych dostawców

Zgodność z NIS2 i UKSC wymaga prawa, dokumentacji i technologii naraz. Łączymy je w jeden zespół, dzięki czemu koordynacja nie spada na Państwa firmę.

Prawo, dokumentacja i IT pod jednym dachem

Trzy kompetencje w jednym zespole, ze wspólnym obrazem Państwa organizacji. Odpada koordynowanie osobnych dostawców, którzy odsyłają od jednego do drugiego.

Jeden punkt koordynacji, jeden harmonogram

Całość ma wspólny harmonogram i jeden punkt kontaktu – po stronie prawnej, technicznej i Państwa zespołu. Koniec z pilnowaniem kilku dostawców na własną rękę.

Zgodność, która nie kończy się na audycie

NIS2 i UKSC to przede wszystkim ciągłość cyberbezpieczeństwa – a tę zapewnia SOC. Po wdrożeniu zostaje stała ochrona SecIQ w trybie 24/7: monitoring incydentów, reagowanie, cykliczne audyty i śledzenie zmian prawnych. Zgodność utrzymujemy na bieżąco, także po odbiorze projektu.

Realna wiedza, nie tylko papier

Szkolimy zarząd z odpowiedzialności i zespoły IT z reagowania na incydenty – dokumentacja idzie w parze z gotowością operacyjną.

FAQ

Najczęstsze pytania o NIS2 i UKSC

  • NIS2 to unijna dyrektywa dotycząca cyberbezpieczeństwa, którą Polska wdraża nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Nowe przepisy znacząco rozszerzają katalog podmiotów objętych obowiązkami oraz zaostrzają wymagania dotyczące zarządzania ryzykiem, dokumentacji i zgłaszania incydentów.

  • Cyberzagrożenia nie są już incydentalnym zjawiskiem, ale stały się „nową normą operacyjną”. Polska jest systematycznie atakowana w cyberprzestrzeni (również z powodów geopolitycznych). Wg raportu rocznego CERT Polska cyberzagrożenia osiągają w Polsce rekordowe poziomy – w 2025 r. 658 320 zgłoszeń, co oznacza wzrost liczby incydentów nawet o ponad 150% rok do roku. Ataki obejmują dane (kradzież, wycieki), finanse (oszustwa) oraz infrastrukturę krytyczną (np. energetyka). Cyberbezpieczeństwo to dziś warunek ciągłości działania państwa i biznesu.

  • Od tego zaczyna się współpraca. Kancelaria SD Legal przeprowadza formalną klasyfikację organizacji na podstawie kryteriów UKSC (sektor, wielkość, rola w łańcuchu dostaw, struktura grupy kapitałowej) i ustala, czy firma jest podmiotem kluczowym, ważnym, czy też obowiązki jej nie dotyczą. To pierwsza usługa w ramach współpracy – bezpłatna konsultacja pozwala wcześniej wstępnie ocenić, czy taka klasyfikacja jest w Państwa przypadku potrzebna.

  • UKSC wdraża kary administracyjne przewidziane w NIS2: dla podmiotów kluczowych nawet do 10 mln € lub 2% rocznego obrotu światowego (liczy się kwota wyższa), a dla podmiotów ważnych do 7 mln € lub 1,4% obrotu. Dochodzi do tego osobista odpowiedzialność kierownictwa – w przypadku podmiotów kluczowych z możliwym czasowym zakazem pełnienia funkcji kierowniczych.

  • Wdrożone ISO to bardzo dobry punkt wyjścia, ale nie pokrywa wszystkich wymogów UKSC. BBQuality integruje wymagania ustawy z istniejącym systemem ISO, zamiast budować osobny – pozwala to uniknąć duplikowania dokumentacji.

  • RODO chroni dane osobowe, a NIS2 i UKSC dotyczą odporności na incydenty cyberbezpieczeństwa i ciągłości działania kluczowych usług. Obszary się uzupełniają, ale to odrębne reżimy obowiązków, dokumentacji i raportowania.

  • UKSC obowiązuje od 3 kwietnia 2026 r., a wniosek o wpis do Wykazu KSC trzeba złożyć do 3 października 2026 r. Samo wdrożenie to miesiące pracy prawnej, dokumentacyjnej i technicznej. Firmy, które zaczynają wcześnie, rozkładają je spokojnie w czasie; spóźnione robią wszystko naraz, pod presją terminów i kontroli.

  • Zakres i koszt zależą od wielkości i dojrzałości organizacji. Zaczynamy od bezpłatnej konsultacji, a pierwszym płatnym etapem jest analiza podlegania pod ustawę (klasyfikacja prawna) – na jej podstawie przedstawiamy wycenę dalszych prac dopasowaną do realnego zakresu, bez płacenia za usługi, których firma nie potrzebuje.

  • To zależy od wielkości i dojrzałości organizacji. Zaczynamy od analizy prawnej, a po niej – audytu IT; następnie przedstawiamy harmonogram z konkretnymi etapami i terminami. Kolejne prace układamy w logicznej kolejności, z jednym punktem koordynacji, tak aby nie było luk ani przestojów.

  • Komplet dokumentacji wymaganej przez UKSC (polityki, procedury, SZBI), wdrożone i przetestowane zabezpieczenia techniczne, gotowość do zgłaszania incydentów do CSIRT oraz – opcjonalnie – stałą ochronę SOC i funkcję Pełnomocnika ds. cyberbezpieczeństwa.

  • Tak – i to jest sedno NIS2 oraz UKSC, które dotyczą przede wszystkim ciągłości cyberbezpieczeństwa. SecIQ (spółka z udziałem Cloudsintegrator) obejmuje infrastrukturę SOC-iem w trybie 24/7, z reagowaniem na incydenty i wsparciem zgłoszeń do CSIRT. Audyty IT wykonuje Cloudsintegrator, a BBQuality może pełnić funkcję Pełnomocnika ds. cyberbezpieczeństwa. Zgodność utrzymujemy cyklicznymi audytami i monitoringiem zmian prawnych.

Kontakt

Zacznijmy od bezpłatnej konsultacji w sprawie NIS2 i UKSC

Wystarczy zostawić numer w formularzu – oddzwonimy, wstępnie ocenimy sytuację Państwa firmy i przedstawimy propozycję dalszych kroków wraz z wyceną, począwszy od klasyfikacji prawnej wykonywanej przez kancelarię SD Legal.

Rozmowa jest bezpłatna i bez zobowiązań.

Wolą Państwo, żebyśmy oddzwonili?

Wystarczy zostawić numer — oddzwonimy w ciągu jednego dnia roboczego. Bez zobowiązań.

Informacja o przetwarzaniu danych osobowych

Współadministratorami danych podanych w formularzu są partnerzy konsorcjum: SD Legal Stoiński Drzymała radcowie prawni sp. p. (Kraków), BBQuality (Kraków) oraz Cloudsintegrator / SecIQ. Dane przetwarzamy w celu kontaktu w sprawie zapytania i przedstawienia oferty, a w razie wyrażenia odrębnej zgody — także w celu przekazywania informacji o usługach i zmianach przepisów. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, sprzeciwu, wycofania zgody w dowolnym momencie oraz wniesienia skargi do Prezesa UODO. Szczegóły, w tym okresy przechowywania i odbiorców danych, opisuje Polityka prywatności.

Partnerzy konsorcjum

Warstwa prawna

SD Legal Stoiński Drzymała radcowie prawni sp. p.

ul. Urzędnicza 26/1, 30-051 Kraków
ISO 27001, koordynacja i SZBI

BBQuality

Certyfikat ISO 9001
ul. Opolska 110, 31-323 Kraków
IT, audyty techniczne i wdrożenia

Cloudsintegrator

Wykonawca audytów IT; udziałowiec SecIQ
SOC 24/7 i cyberodporność

SecIQ

Ciągły monitoring i reagowanie na incydenty 24/7