CZ Cybersecurity - Sprawdź czy Twoja firma może podlegać pod KSC | Audyty NIS2, AI Compliance

Q: Jak sprawdzić, czy moja firma może podlegać pod KSC?

Skorzystaj z bezpłatnego kwalifikatora na stronie czcyber.pl - wpisz NIP firmy, a system automatycznie sprawdzi kody PKD i porówna z sektorami objętymi ustawą o KSC. Wynik otrzymasz w kilka sekund. Dla pełnej oceny (z uwzględnieniem grupy kapitałowej i wyjątków) skontaktuj się z nami.

Ścieżka do zgodności z KSC

Kompleksowe przygotowanie Twojej organizacji do wymogów ustawy o krajowym systemie cyberbezpieczeństwa - od wstępnej oceny po ciągły monitoring.

1

Faza 1 - Ocena i diagnostyka

Analiza statusu podmiotu - kluczowy, ważny lub niepodlegający pod ustawę
Gap analysis zgodności z ustawą o KSC (12 kategorii środków z art. 8 ust. 1)
Ocena ryzyka cyberbezpieczeństwa zgodna z ISO 27005

2

Faza 2 - Wdrożenie

Opracowanie dokumentacji SZBI - polityki, procedury, rejestry
Plany ciągłości działania BCP/DRP
Wdrożenie środków technicznych: logowanie, MFA, segmentacja sieci, skanowanie podatności
Szkolenia kadry zarządzającej (art. 8e, obowiązkowe raz w roku) i pracowników (art. 8 ust. 1 lit. k)

3

Faza 3 - Formalny audyt KSC (art. 15)

Audyt bezpieczeństwa systemu informacyjnego przez certyfikowanych audytorów
Sprawozdanie z audytu zgodne z wymogami rozporządzenia Ministra Cyfryzacji
Zespół min. 2 audytorów z certyfikatami z wykazu MC (CISSP, CISA, CISM, ISO 27001 LA)

4

Faza 4 - microSOC CZ Cybersecurity

Wariant Basic - ciągły monitoring bezpieczeństwa:

Centralne zbieranie logów (SIEM)
Monitoring 8/6 (pon–sob)
Automatyczna eskalacja alarmów krytycznych 24/7 - niezależnie od godzin monitoringu
Triage L1: klasyfikacja zdarzeń, oddzielenie false positives
Alertowanie z rekomendacją działań
Miesięczny raport z monitoringu - dowód audytowy dla KSC
Wsparcie w zgłaszaniu incydentów do CSIRT przez S46

Zapytaj o warianty Standard i Premium →

Nie wiesz, od czego zacząć? Wypełnij formularz - bezpłatnie ocenimy, czy Twoja firma może podlegać pod KSC i jakie obowiązki mogą Cię dotyczyć.

Umów bezpłatną konsultację →

Bezpieczeństwo systemów AI i LLM

Tam, gdzie cyberbezpieczeństwo spotyka regulację - łączymy kompetencje techniczne z wiedzą o przepisach dotyczących sztucznej inteligencji.

EU AI Act

Rozporządzenie 2024/1689

Ocena ryzyka systemów AI, klasyfikacja (high-risk, limited risk, minimal risk), dokumentacja techniczna, wymogi przejrzystości i nadzoru ludzkiego. Obowiązki dla systemów high-risk wchodzą od sierpnia 2026.

NIS2 × AI

Dyrektywa 2022/2555

Systemy AI jako elementy infrastruktury krytycznej wymagają szczególnej ochrony. Obejmuje to bezpieczeństwo łańcucha dostaw AI (model supply chain) oraz zabezpieczenie pipeline'ów ML/LLM przed atakami.

DORA × AI

Rozporządzenie 2022/2554

Odporność operacyjna instytucji finansowych korzystających z AI obejmuje testowanie scenariuszy (adversarial testing) oraz zarządzanie ryzykiem dostawców AI i modeli zewnętrznych.

Cyber Resilience Act

CRA - Rozporządzenie 2024/2847

Wymogi bezpieczeństwa dla produktów z elementami cyfrowymi, w tym oprogramowania z komponentami AI. Obowiązki dotyczące zgłaszania podatności i zapewnienia aktualizacji bezpieczeństwa.

RODO × AI

art. 22 RODO / DPIA

Ocena skutków dla ochrony danych (DPIA) przy systemach AI przetwarzających dane osobowe. Prawo do wyjaśnienia decyzji automatycznych oraz minimalizacja danych w procesie trenowania modeli.

Bezpieczeństwo LLM

OWASP Top 10 for LLMs

Ochrona przed prompt injection, data poisoning i model extraction. Compliance danych treningowych oraz wdrożenia offline LLM w środowiskach air-gapped dla sektorów wrażliwych.

Polska perspektywa

KSC + EU AI Act

Powiązanie wymogów EU AI Act z nowelizacją KSC - wspólne obowiązki raportowania, zarządzanie ryzykiem AI w kontekście wymogów art. 8 KSC i polskiej specyfiki regulacyjnej.

Budujemy własne rozwiązania AI - w tym offline'owe asystenty LLM dla sektorów regulowanych. Wiemy, jak działają te systemy od środka - i wiemy, jak je zabezpieczyć.

O CZ Cybersecurity

Działamy od 2014 roku, specjalizując się w cyberbezpieczeństwie, audytach systemów informacyjnych i compliance regulacyjnym. Obsługujemy sektor publiczny - w tym lotnictwo cywilne i obronność - oraz firmy prywatne z sektorów objętych regulacjami.

Współpracujemy z kancelariami prawnymi w zakresie compliance KSC/NIS2 i RODO, łącząc ekspertyzę techniczną z wiedzą prawną. Siedziba firmy znajduje się w Warszawie.

CISSP GCFE ISO 27001

Ponad dekada w IT dla sektorów regulowanych

Cyberbezpieczeństwo to nasz główny focus - ale nie jedyne doświadczenie.

Cyberbezpieczeństwo i compliance

Audyty bezpieczeństwa systemów informacyjnych, wdrożenia SZBI, oceny ryzyka, szkolenia. Zgodność z KSC/NIS2, ISO 27001, RODO. Ciągły monitoring (microSOC).

Systemy IT dla lotnictwa

Od 2014 roku budujemy i utrzymujemy systemy IT dla lotnictwa cywilnego i wojskowego - egzaminowanie, orzecznictwo medyczne, compliance EASA. Platforma MariaBPM.

AI i Large Language Models

Rozwiązania AI dla sektorów regulowanych: offline'owe asystenty LLM, analiza dokumentów prawnych, narzędzia compliance oparte na sztucznej inteligencji. Prywatność danych by design.

Analityka biznesowa i fintech

Cedo - scoring i analiza wiarygodności par biznesowych B2B dla sektora faktoringowego.

Zaufali nam m.in.

Skontaktuj się z nami

Opisz, czego potrzebujesz - odezwiemy się wkrótce.

Wolisz od razu wybrać termin?

Umów spotkanie →

Dane kontaktowe

Imię i nazwisko *

Adres e-mail *

Numer telefonu *

Nazwa firmy / instytucji *

Temat zapytania *

Opcjonalne - przyspieszy naszą odpowiedź

Sektor działalności

Przybliżona liczba pracowników

Czy firma posiada wdrożone ISO 27001?

Tak Nie Nie wiem

Czy firma była już audytowana pod kątem KSC/KRI?

Tak Nie Nie wiem

Wiadomość

Wyrażam zgodę na przetwarzanie moich danych osobowych przez CZ Cybersecurity sp. z o.o. z siedzibą w Warszawie w celu odpowiedzi na zapytanie. Szczegóły w Polityce Prywatności.

Najczęściej zadawane pytania

Jak sprawdzić, czy moja firma może podlegać pod KSC?

Skorzystaj z naszego bezpłatnego kwalifikatora na górze strony - wpisz NIP firmy, a system automatycznie sprawdzi kody PKD i porówna z sektorami objętymi ustawą o KSC. Wynik otrzymasz w kilka sekund. Dla pełnej oceny (z uwzględnieniem grupy kapitałowej i wyjątków) skontaktuj się z nami.

Czy moja firma może podlegać pod ustawę o KSC (NIS2)?

Pod nowelizację ustawy o krajowym systemie cyberbezpieczeństwa podlegają podmioty kluczowe i ważne z sektorów wymienionych w załącznikach do ustawy - m.in. energetyka, transport, zdrowie, infrastruktura cyfrowa, administracja publiczna, sektor obronny i finanse. Kryterium jest przynależność sektorowa oraz wielkość przedsiębiorstwa (co do zasady średnie i duże podmioty). Wypełnij nasz formularz, a bezpłatnie ocenimy Twój status.

Kiedy wchodzi w życie nowelizacja ustawy o KSC?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca dyrektywę NIS2 (Dyrektywa 2022/2555) w polskim prawie, wchodzi w życie 3 kwietnia 2026 roku. Podmioty objęte ustawą mają 12 miesięcy na dostosowanie się do nowych wymogów od momentu wpisania do wykazu podmiotów kluczowych lub ważnych.

Jakie są kary za brak zgodności z KSC/NIS2?

Dyrektywa NIS2 przewiduje kary administracyjne do 10 milionów euro lub 2% rocznego światowego obrotu dla podmiotów kluczowych oraz do 7 milionów euro lub 1,4% obrotu dla podmiotów ważnych. Dodatkowo, członkowie organów zarządzających mogą ponosić osobistą odpowiedzialność za niedopełnienie obowiązków w zakresie cyberbezpieczeństwa.

Ile trwa przygotowanie do audytu KSC?

Czas przygotowania zależy od dojrzałości cyberbezpieczeństwa organizacji. Dla firm posiadających wdrożone ISO 27001 proces może trwać 2–4 miesiące. Dla organizacji bez wdrożonego systemu zarządzania bezpieczeństwem informacji, pełne przygotowanie (gap analysis, wdrożenie SZBI, audyt formalny) zajmuje typowo 6–12 miesięcy.

Co to jest microSOC i czy jest wymagany przez KSC?

microSOC to usługa ciągłego monitoringu bezpieczeństwa obejmująca centralne zbieranie logów (SIEM), klasyfikację zdarzeń i alertowanie. Choć KSC nie wymaga wprost posiadania SOC, ustawa nakłada obowiązek monitorowania i wykrywania incydentów oraz zgłaszania ich do CSIRT w określonych terminach. microSOC jest efektywnym sposobem spełnienia tych wymogów, szczególnie dla organizacji niemających własnego zespołu bezpieczeństwa.

Czym różni się audyt KSC od certyfikacji ISO 27001?

Audyt KSC jest audytem zgodności z polską ustawą o krajowym systemie cyberbezpieczeństwa. Dla podmiotów kluczowych jest obowiązkowy cyklicznie (co 3 lata); podmioty ważne mogą zostać zobowiązane do audytu decyzją organu właściwego. ISO 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji, którego certyfikacja jest dobrowolna. Posiadanie ISO 27001 znacząco ułatwia spełnienie wymogów KSC, gdyż oba systemy opierają się na podobnych zasadach zarządzania ryzykiem.

Jak EU AI Act wpływa na obowiązki wynikające z KSC?

EU AI Act (Rozporządzenie 2024/1689) wprowadza dodatkowe wymogi dla organizacji wykorzystujących systemy AI, szczególnie w infrastrukturze krytycznej. Systemy AI klasy high-risk podlegają obowiązkom oceny ryzyka, dokumentacji technicznej i nadzoru ludzkiego (obowiązki wchodzą od sierpnia 2026). Dla podmiotów objętych KSC oznacza to konieczność uwzględnienia ryzyk związanych z AI w swoich systemach zarządzania bezpieczeństwem informacji.

Audyty i zgodność KSC/NIS2 dla podmiotów kluczowych i ważnych

Czy Twoja firma może podlegać pod KSC?