Audyt zgodności z nową UoKSC i NIS2

Audyt zgodności z nową UoKSC: sprawdzamy poziom przygotowania zanim zrobi to organ nadzoru.

Nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) wprowadza znaczące zmiany. Dawni operatorzy usług kluczowych (OUK) zostają zastąpieni podmiotami ważnymi (PW) i podmiotami kluczowymi (PK). Zarazem ustawa nakłada szereg nowych zobowiązań: definiuje katalog obowiązkowej dokumentacji oraz nakazuje wdrożyć zabezpieczenia techniczne i organizacyjne. Ponadto kładzie nacisk na uświadamianie i cyberhigienę. Za całość spełnienia wymagań osobistą odpowiedzialność ponosi najwyższe kierownictwo. Dlatego audyt stanu bieżącego i opracowanie planu wdrożenia poprawek to kluczowe narzędzia dla terminowego uzyskania zgodności.

Wdrażamy praktyczną ocenę („audyt 0”).

Mapujemy wymagania → dowody i układamy plan na min. 90 dni.

Czasu jest mało — skontaktuj się z nami.

3 kroki

Diagnoza → Projekt → Wdrożenie kontrolne

Repozytorium dowodów

Przygotowane gotowych dowodów pod przyszłą kontrolę

Plan na 90 dni

Ustalenie priorytetów technicznych i organizacyjnych

Dlaczego teraz?

Projekt nowej UoKSC wdraża NIS2 i przesuwa ciężar na realną odporność, dowody oraz gotowość do zgłaszania incydentów. Terminy wdrożenia są krótkie, a wymagania obejmują zarówno środki techniczne, jak i organizacyjne. Im szybciej wykonasz audyt 0, tym mniej kosztowna i ryzykowna będzie implementacja.

Co zyskasz

  • Pewność zakresu – czy jesteś PK/PW, które akty wykonawcze mają zastosowanie.
  • Mapa wymagań → dowody – co trzeba mieć i jak to wykazać podczas kontroli.
  • Priorytety na 90 dni – działania o największym wpływie (IT/OT/procesy).
  • Gotowość do zgłoszeń – wczesne powiadomienie 24h, raport 72h, końcowy ≤ 1 mies.

Jak pracujemy? Audyt w 3 krokach

1. Diagnoza (0–60 dni)

Przeprowadzenie klasyfikacji jako PK/PW, inwentaryzacji usług i systemów. Przeprowadzenie audytu, w którym sprawdzamy:

  • Spełnienie wymagań art. 8–8h projektu UoKSC: polityki i role, zarządzanie ryzykiem i łańcuchem dostaw, logowanie zdarzeń i monitoring, ciągłość działania, kryptografia, podatności (w tym CVD), szkolenia kierownictwa i personelu.
  • Zgłaszanie incydentów: wczesne powiadomienie, raporty cząstkowe i końcowe.
  • Dopasowanie do ENISA/IR: mapowanie wymagań na praktyki i kontrolki (ISO/IEC 27001/27002/27005, NIST CSF).
  • Dowody: czy da się wykazać spełnienie wymogu, a nie tylko go opisać.

Audyt prowadzony jest wyłącznie przez doświadczonych, certyfikowanych audytorów wiodących norm ISO/IEC 27001 oraz ISO 22031. Gwarantuje to zgodność z wymaganiami UoKSC, sprawność procesu i wysoką jakość efektów.

Poznaj nasz zespół audytorów!

2. Projekt (do 120 dni)

Zarządzanie i rola kierownictwa w zakresie obowiązków Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Opracowanie metodyki szacowania ryzyka, przygotowanie procedur dotyczących zarządzania incydentami i ciągłością działania. Ustalenie planu wdrożenia wraz z miernikami ułatwiającymi nadzór nad wprowadzonymi działaniami.

3. Wdrożenie kontrolne (do 180 dni)

Konsultacje i pomoc podczas wdrożenia koniecznych środków technicznych i organizacyjnych. Przeprowadzenie niezbędnych testów systemów i planów, opracowanie repozytorium dowodów, przeprowadzenie szkoleń. Efektem jest uzyskanie gotowości do audytu lub kontroli.

Jakie są ryzyka zwłoki?

  • Luki zgodności to wyższe koszty „gaszenia pożarów”, mniej spójne działania i ryzyko nieprzygotowania do kontroli.
  • Sankcje pieniężne i decyzje administracyjne wobec PK/PW przy poważnych naruszeniach obowiązków spoczywających na podmiotach.
  • Przestoje i szkody dla reputacji po incydentach bez gotowości procesowej, w szczególności gdy koniecznym będzie informowanie klientów i użytkowników.

Jakie wyniki otrzymuję?

  • Raport wraz z mapą zgodności — ze szczegółowym wskazaniem obszarów spełniających obowiązki, wymagających poprawy oraz luk. Przygotowujemy także raport w skróconej formie, dla najwyższego kierownictwa, a w przypadku szczególnych wymagań klienta, także dodatkowe formy prezentacji.
  • Plan remediacji — wskazujemy priorytety, odpowiedzialności, opracowujemy harmonogram 90 dni. W ramach wdrożeń udostępniamy gotowe narzędzia służące do zarządzania implementacją wymagań.
  • Repozytorium dowodów — wzory i wskazówki do przygotowania dowodów wymaganych w przyszłych kontrolach i audytach.

FAQ — najczęściej zadawane pytania

Czy samo ISO 27001 wystarczy?
Pomaga, lecz projekt UoKSC/NIS2 wymaga szczegółowych praktyk (np. zgłaszanie incydentów, łańcuch dostaw, gotowość dowodowa). Audyt ujawnia luki między ISO a wymogami projektu.
Co musimy przygotować przed audytem?
Weryfikujemy zarówno polityki, procedury wewnętrzne i stosowane regulaminy, jak również dobre praktyki stosowane nieformalnie. W tym drugim przypadku dowodem działania mogą być np. emaile. tickety z systemów obsługi i podobne.
Czy audyt to tylko dokumenty?
Nie. Sprawdzamy rzeczywiste działanie środków i możliwość ich wykazania. To kluczowe podczas kontroli.
Jak chronione są nasze dane w czasie audytu i po jego zakończeniu?
Zapewniamy najwyższą poufność na każdym etapie procesu: od podpisania NDA, przez zabezpieczenia przekazywanych dokumentów, po szyfrowanie przechowywanych informacji.
Nie wiem, czy jestem PK czy PW — i od czego zacząć?
Zaczynamy od krótkiej kwalifikacji (PK/PW/poza), a następnie od razu przechodzimy do audytu 0 i planu 90 dni.

Kwalifikacja jako PK/PW dla firm

Udostępniamy narzędzie do wstępnej, samodzielnej kwalifikacji jako podmiot kluczowy lub podmiot ważny.
Sprawdź czy podlegasz pod UoKSC

Nasz sposób wdrażania

Poznaj korzyści gwarantowane dzięki bogatemu doświadczeniu i pracy z operatorami usług kluczowych oraz podmiotami, które będą PK/PW.

Dowiedz się więcej

Chcesz zacząć w tym tygodniu?

Zarezerwuj krótką rozmowę i poproś o checklistę startową.

Umów konsultację