Przygotowanie organizacji do KSC 2.0 nie kończy się na opracowaniu polityk bezpieczeństwa i procedur reagowania na incydenty. Dopiero analiza faktycznego sposobu działania firmy pokazuje, czy zapisane zasady są stosowane w praktyce, odpowiedzialność została jednoznacznie przypisana, a zespoły potrafią zareagować pod presją czasu.
Ma to szczególne znaczenie teraz, gdy polska nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, już obowiązuje. Przepisy weszły w życie 3 kwietnia 2026 roku. Podmioty, które spełniały w tym dniu kryteria uznania za podmiot kluczowy lub ważny i nie są wpisywane do Wykazu KSC z urzędu, powinny złożyć wniosek o wpis do 3 października 2026 roku. Organizacje nie przygotowują się więc do przyszłej regulacji, lecz do realizacji konkretnych obowiązków dotyczących między innymi zarządzania ryzykiem, obsługi incydentów, ciągłości działania i bezpieczeństwa dostawców.
Podczas analiz luk i audytów zgodności prowadzonych przez ekspertów TTMS w 2026 roku zauważyliśmy, że problemem rzadko jest jedna izolowana niezgodność. Najczęściej występuje kilka powiązanych braków, które mogą utrudnić spełnienie wymagań ustawy i wydłużyć reakcję na incydent. W artykule przedstawiamy pięć luk wykrywanych najczęściej, ich praktyczne konsekwencje oraz obszary, które warto zweryfikować w pierwszej kolejności.
1. Audyt NIS2 – co to jest i dlaczego Twoja firma go potrzebuje
Audyt NIS2 to proces oceny, który pozwala sprawdzić, jak organizacja radzi sobie z wymaganiami dyrektywy i polskiej ustawy o krajowym systemie cyberbezpieczeństwa. W praktyce audytorzy TTMS analizują systemy informatyczne, procedury zarządzania ryzykiem oraz plany reagowania na incydenty, a następnie porównują stan faktyczny z obowiązkami prawnymi. Podstawą oceny środków bezpieczeństwa są przede wszystkim art. 21 dyrektywy NIS2 oraz art. 8 ustawy o KSC, który wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji. Firmy, które weryfikują zgodność odpowiednio wcześnie, zyskują czas na spokojne wdrożenie poprawek zamiast działania pod presją kontroli.
1.1. Czym jest dyrektywa NIS2 w skrócie
Dyrektywa NIS2 to unijna regulacja dotycząca bezpieczeństwa sieci i systemów informacyjnych, która zastąpiła wcześniejsze przepisy NIS. Wprowadza znacznie bardziej rygorystyczne wymagania niż jej poprzedniczka, szczególnie dla organizacji istotnych z punktu widzenia funkcjonowania państwa i gospodarki. Chodzi o ujednolicenie standardów bezpieczeństwa w całej Unii Europejskiej i realne zwiększenie odporności na cyberatak.
1.2 Jaki jest cel i zakres audytu zgodności z NIS2
Celem audytu jest ocena, na ile organizacja spełnia wymagania dyrektywy, oraz wskazanie konkretnych luk w zabezpieczeniach wraz z planem ich usunięcia. Zakres takiego przeglądu obejmuje zarówno kwestie techniczne, jak konfigurację sieci czy zarządzanie dostępami, jak i organizacyjne, takie jak polityki bezpieczeństwa, procedury zarządzania ryzykiem oraz plany ciągłości działania. Dobrze przeprowadzony audyt kończy się realną mapą działań do wdrożenia, nie tylko listą braków.

2. Kto podlega obowiązkom KSC 2.0 i kiedy wymagany jest audyt
Nowelizacja obejmuje podmioty kluczowe i podmioty ważne działające w sektorach wskazanych w załącznikach nr 1 i 2 do ustawy, między innymi w energetyce, transporcie, ochronie zdrowia, infrastrukturze cyfrowej, wybranych branżach produkcyjnych i usługach cyfrowych. Objęcie organizacji ustawą zależy od sektora, rodzaju działalności, wielkości przedsiębiorstwa oraz kryteriów szczególnych. Niektóre podmioty podlegają regulacji niezależnie od liczby pracowników lub obrotu.
2.1 Sektory i wielkość firm objęte obowiązkiem
Nie należy traktować progu 50 pracowników lub 10 mln euro obrotu jako samodzielnego testu. W wielu sektorach punktem wyjścia jest status średniego lub dużego przedsiębiorstwa, jednak ustawa przewiduje wyjątki i odrębne zasady kwalifikacji. Dlatego pierwszym etapem powinno być zestawienie faktycznej działalności organizacji z art. 5 oraz załącznikami nr 1 i 2 ustawy o KSC.
2.2 Podmioty kluczowe a podmioty ważne – różnice w wymogach
Podmioty kluczowe i ważne realizują zasadniczo podobny katalog obowiązków w zakresie zarządzania ryzykiem, obsługi incydentów i bezpieczeństwa łańcucha dostaw, z uwzględnieniem wyjątków przewidzianych w ustawie i regulacjach sektorowych. Różnice dotyczą przede wszystkim modelu nadzoru i audytu. Zgodnie z art. 15 ustawy o KSC podmiot kluczowy przeprowadza, na własny koszt, audyt bezpieczeństwa co najmniej raz na trzy lata. Organ właściwy może nakazać podmiotowi kluczowemu audyt zewnętrzny w każdym czasie, a podmiotowi ważnemu – w przypadku poważnego incydentu lub innego naruszenia ustawy.
3. Czy audyt NIS2 jest obowiązkowy i kiedy go wykonać
Nie każda analiza luki oferowana na rynku jest ustawowym audytem. Obowiązek okresowego audytu z art. 15 dotyczy podmiotów kluczowych, natomiast dobrowolna analiza luki może pomóc zarówno podmiotom kluczowym, jak i ważnym ocenić gotowość, ustalić priorytety i zebrać dowody zgodności. Ustawowy audyt musi zostać przeprowadzony przez podmiot lub co najmniej dwóch audytorów spełniających wymagania kwalifikacyjne z art. 15 ust. 2, z zachowaniem wymogu niezależności określonego w art. 15 ust. 2a.
3.1 Najważniejsze terminy KSC 2.0 w Polsce
Polska wdrożyła dyrektywę NIS2 ustawą z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252). Ustawę ogłoszono 2 marca 2026 r., a jej zasadnicza część weszła w życie 3 kwietnia 2026 r. Dla podmiotów, które spełniały kryteria uznania za podmiot kluczowy lub ważny w dniu wejścia ustawy w życie, samorejestracja w Wykazie KSC trwa od 7 maja do 3 października 2026 r., o ile podmiot nie jest wpisywany z urzędu. Podmioty należące do tej grupy powinny realizować obowiązki z rozdziału 3 najpóźniej od 3 kwietnia 2027 r. Podmioty kluczowe z tej grupy muszą przeprowadzić pierwszy ustawowy audyt bezpieczeństwa do 3 kwietnia 2028 r. W przypadku podmiotów obejmowanych ustawą później lub wpisywanych na podstawie decyzji termin należy ustalać zgodnie z przepisem właściwym dla danego trybu.

3.2 Jak często powtarzać audyt zgodności
Ustawowy audyt podmiotu kluczowego przeprowadza się co najmniej raz na trzy lata, zgodnie z art. 15 ustawy o KSC. Niezależnie od tego zalecamy coroczny wewnętrzny przegląd zgodności oraz dodatkową weryfikację po istotnej zmianie, takiej jak modernizacja infrastruktury IT, wdrożenie nowego systemu, poważny incydent albo zmiana dostawcy usług krytycznych. Bezpieczeństwa nie da się ustawić raz i o nim zapomnieć.
4. Konsekwencje braku zgodności z NIS2
Niewykonanie obowiązków wynikających z ustawy o KSC wdrażającej NIS2 może prowadzić do poważnych konsekwencji. Obejmują one działania nadzorcze, nakazy usunięcia naruszeń oraz administracyjne kary pieniężne.
4.1 Kary finansowe i sankcje administracyjne
Podmioty, które nie wykonują obowiązków wynikających z ustawy o KSC, mogą zostać objęte środkami nadzorczymi i sankcjami administracyjnymi. Ustawa przewiduje wysokie limity kar, a w przypadkach naruszeń powodujących szczególnie poważne zagrożenia – karę do 100 mln zł. Zgodnie z art. 35 ustawy nowelizującej nowe kary wskazane w tym przepisie mogą zostać po raz pierwszy nałożone po upływie dwóch lat od wejścia ustawy w życie, zasadniczo od 3 kwietnia 2028 r. Nie odracza to terminów rejestracji, wdrażania obowiązków ani raportowania incydentów.
4.2 Odpowiedzialność zarządu i ryzyko reputacyjne
Niewykonanie ustawowych obowiązków może skutkować również osobistą karą pieniężną dla kierownika podmiotu kluczowego lub ważnego. Art. 73a ustawy o KSC przewiduje karę do 300% wynagrodzenia kierownika, a w określonych podmiotach publicznych – do 100% wynagrodzenia. To, kto jest kierownikiem konkretnego podmiotu, zależy od jego formy prawnej i struktury zarządzania. Niezależnie od sankcji incydent i ujawnione zaniedbania mogą także osłabić zaufanie klientów oraz partnerów biznesowych.
5. Co obejmuje audyt NIS2 – zakres kontroli
Ta część naszej pracy jako audytorów pokazuje najwięcej, tu dokładnie widać, gdzie organizacje najczęściej mają problemy. Poniżej opisujemy pięć obszarów, w których podczas przygotowań do KSC 2.0 wykrywamy luki najczęściej, wraz z konkretnymi przykładami z praktyki i konsekwencjami, jakie grożą, jeśli firma ich nie usunie.
5.1 Niejasny podział odpowiedzialności i niedojrzałe zarządzanie ryzykiem
Pierwszą rzeczą, którą sprawdzamy, jest to, kto formalnie odpowiada za cyberbezpieczeństwo w organizacji. Z naszych doświadczeń wynika, że niejasny podział odpowiedzialności należy do najczęściej identyfikowanych problemów. Role między działem IT, bezpieczeństwa i zarządem bywają opisane, ale w praktyce nie istnieje jednoznaczna ścieżka decyzyjna dla każdego rodzaju poważnego incydentu. Wtedy cenne godziny schodzą na ustalanie, kto ma prawo podjąć decyzję, zamiast na reagowanie.
Z tym problemem łączy się niedojrzałe zarządzanie ryzykiem. Wiele organizacji ma dokument o nazwie „polityka zarządzania ryzykiem”, ale ocena była wykonana jednorazowo i od tamtej pory nikt jej nie aktualizuje. Art. 21 dyrektywy NIS2 oraz art. 8 ustawy o KSC wymagają stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych opartych na systematycznym zarządzaniu ryzykiem. Jeśli organizacja nie potrafi wykazać regularnego procesu, nie wie też, gdzie realnie jest najbardziej narażona.
5.2 Niekompletna inwentaryzacja aktywów IT i OT
Brak kompletnej i aktualnej inwentaryzacji aktywów IT oraz OT pojawia się w naszych analizach bardzo często. Klasyczny przykład: firma produkcyjna deklaruje pełną kontrolę nad infrastrukturą, ale podczas warsztatów nikt nie potrafi jednoznacznie powiedzieć, ile ma aktywnych serwerów, które działają na przestarzałych systemach i jakie urządzenia OT mają dostęp do sieci firmowej. Bez takiej inwentaryzacji ocena ryzyka jest fikcją, bo nie można ocenić ryzyka zasobu, o którego istnieniu się nie wie. Podczas incydentu zespół traci wtedy czas na ustalanie, co właściwie zostało zaatakowane.
5.3 Nieprzetestowane procedury reagowania na incydenty
Z naszych obserwacji wynika, że w większości analizowanych organizacji procedura reagowania na incydenty istniała wyłącznie w dokumentacji i nie była wcześniej testowana w praktyce. Tymczasem art. 23 dyrektywy NIS2 oraz art. 11 ustawy o KSC przewidują wieloetapowe raportowanie: wczesne ostrzeżenie należy przekazać niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia poważnego incydentu, a zgłoszenie incydentu – nie później niż w ciągu 72 godzin. Następnie przekazuje się wymagane sprawozdania, w tym sprawozdanie końcowe co do zasady w ciągu miesiąca od zgłoszenia incydentu. Procedura musi więc działać również w nocy, w weekend i podczas nieobecności kluczowych osób.
5.4 Niewystarczające plany ciągłości działania
Sama procedura incydentowa nie wystarczy, jeśli organizacja nie potrafi utrzymać lub odtworzyć kluczowych usług. W praktyce sprawdzamy, czy plany ciągłości działania i odtwarzania awaryjnego obejmują krytyczne zależności, dostawców, kopie zapasowe, komunikację kryzysową oraz realne czasy odtworzenia. Art. 21 ust. 2 dyrektywy NIS2 i art. 8 ustawy o KSC wskazują ciągłość działania, zarządzanie kopiami zapasowymi, odtwarzanie po awarii i zarządzanie kryzysowe jako elementy środków zarządzania ryzykiem. Plan, którego nie przetestowano, pozostaje założeniem, a nie dowodem odporności.
5.5 Brak systematycznej oceny ryzyka dostawców
Zarządzanie bezpieczeństwem dostawców pozostaje jednym z największych wyzwań. W zdecydowanej większości analizowanych przez TTMS organizacji nie prowadzono systematycznej oceny ryzyka związanego z dostawcami usług lub partnerami posiadającymi dostęp do systemów. Art. 21 ust. 2 lit. d dyrektywy NIS2 oraz art. 8 ustawy o KSC wprost obejmują bezpieczeństwo łańcucha dostaw. Typowy przykład z naszej praktyki to zewnętrzny dostawca IT ze zdalnym dostępem do systemów firmy, którego zabezpieczeń nikt wcześniej nie zweryfikował. Atak na takiego partnera może bezpośrednio zagrozić organizacji korzystającej z jego usług.
5.6 Podsumowanie pięciu najczęstszych luk
| Obszar | Obserwacja z projektów TTMS |
| 1. Odpowiedzialność i zarządzanie ryzykiem | często identyfikowany problem |
| 2. Inwentaryzacja aktywów IT i OT | bardzo często |
| 3. Testowanie procedur incydentowych | większość analizowanych organizacji |
| 4. Ciągłość działania | często wymaga dodatkowych testów i doprecyzowania |
| 5. Ocena ryzyka dostawców | zdecydowana większość analizowanych organizacji |
| Luki wysokiego ryzyka w jednym audycie | zwykle od jednej do kilku |
Dane w tabeli są zanonimizowanymi obserwacjami jakościowymi z analiz luk i audytów prowadzonych przez TTMS w latach 2025–2026. Nie są badaniem reprezentatywnym dla całego rynku.

6. Jak przebiega audyt NIS2 – krok po kroku
Poniżej opisujemy, jak wygląda nasza praca krok po kroku, kiedy prowadzimy audyt NIS2 dla klienta, od pierwszego kontaktu do gotowej roadmapy.
Krok 1: Weryfikacja, czy organizacja podlega obowiązkom KSC 2.0
Pierwszym krokiem jest ustalenie, czy dana organizacja podlega obowiązkom ustawy o KSC i do której kategorii – podmiotu kluczowego czy ważnego – się zalicza. To ustalenie determinuje dalszy zakres analizy oraz obowiązki, które należy uwzględnić.
Krok 2: Ankieta i zbieranie danych wyjściowych
Następnie przeprowadzamy szczegółową ankietę oraz zbieramy dane wyjściowe od zespołu IT, bezpieczeństwa i zarządu, co pozwala nam zbudować pierwszy obraz stanu bezpieczeństwa w organizacji, jeszcze przed wejściem w szczegóły dokumentacji.
Krok 3: Przegląd dokumentacji i procesów
W kolejnym etapie dokonujemy przeglądu dokumentacji i istniejących procesów, porównując to, co jest zapisane na papierze, z tym, co faktycznie dzieje się w organizacji. To właśnie na tym etapie najczęściej wychodzą rozbieżności opisane wcześniej, na przykład procedura incydentowa, która istnieje, ale nigdy nie była testowana.
Krok 4: Warsztaty i wywiady z zespołem
Przeprowadzamy warsztaty oraz wywiady z pracownikami różnych działów, ponieważ dokumentacja rzadko mówi całą prawdę. Rozmowa z administratorem sieci czy z osobą odpowiedzialną za relacje z dostawcami często ujawnia więcej niż formalny audyt dokumentów.
Krok 5: Raport z wynikami i rekomendacjami
Na zakończenie przygotowujemy szczegółowy raport zawierający wyniki oraz konkretne rekomendacje działań naprawczych, opisane w sposób zrozumiały nie tylko dla działu IT, lecz także dla kierownictwa organizacji. Kierownik podmiotu i właściwe organy zarządzające odpowiadają za zatwierdzanie oraz nadzorowanie wdrożenia środków w zakresie wynikającym z ustawy i struktury danego podmiotu.
Krok 6: Roadmapa działań naprawczych
Raport końcowy zawiera roadmapę działań naprawczych z priorytetami. W praktyce podczas jednego audytu identyfikujemy zwykle od jednej do kilku niezgodności o wysokim poziomie ryzyka. Dlatego roadmapa nie polega na równoczesnym wdrażaniu wszystkich rekomendacji, lecz na ustaleniu kolejności działań, która pozwala najszybciej ograniczyć najważniejsze ryzyka biznesowe.

7. Jak przygotować firmę do audytu NIS2
Przygotowanie do audytu NIS2 wymaga zaangażowania wszystkich działów organizacji, nie tylko IT. Warto wcześniej zebrać aktualną dokumentację polityk bezpieczeństwa, listę systemów i dostawców zewnętrznych oraz wyznaczyć osobę, która będzie punktem kontaktowym dla audytorów. Im lepiej organizacja jest przygotowana na wstępie, tym szybciej i sprawniej przebiega cały proces, a to przekłada się na niższy koszt i mniej stresu dla zespołu.
8. Audyt NIS2 a inne audyty bezpieczeństwa – najważniejsze różnice
Analiza zgodności z NIS2 i KSC 2.0 różni się od innych przeglądów bezpieczeństwa, ponieważ odnosi się do konkretnych obowiązków regulacyjnych wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Certyfikacja ISO/IEC 27001 jest co do zasady dobrowolna, natomiast audyt zgodności z RODO koncentruje się na obowiązkach dotyczących ochrony danych osobowych. Zakresy te mogą się częściowo pokrywać, ale żaden z nich nie zastępuje automatycznie weryfikacji zgodności z KSC 2.0.
9. Co zyskujesz, zamawiając audyt NIS2 w naszej firmie
TTMS jest globalną firmą IT, która specjalizuje się we wdrażaniu i utrzymaniu dedykowanych systemów informatycznych, automatyzacji procesów biznesowych oraz usługach outsourcingowych. Dzięki doświadczeniu w integracji systemów, wdrożeniach Salesforce, Microsoft i AEM, a także zarządzaniu usługami IT, nasi konsultanci rozumieją nie tylko wymagania regulacyjne, ale też realną architekturę infrastruktury IT, z jaką mierzą się nasi klienci.
9.1 Zakres i przebieg naszej usługi
Nasza firma oferuje kompleksową analizę gotowości i luk w zakresie NIS2 oraz KSC 2.0, obejmującą wszystkie obszary opisane wcześniej: od inwentaryzacji aktywów, przez zarządzanie ryzykiem i procedury incydentowe, po bezpieczeństwo łańcucha dostaw. Pracujemy według sprawdzonego procesu, od ankiety wstępnej, przez warsztaty z zespołem, do konkretnej roadmapy działań. Jeżeli zakres współpracy obejmuje ustawowy audyt z art. 15, jego realizacja wymaga odrębnego potwierdzenia zakresu, kwalifikacji audytorów i niezależności.
9.2 Wsparcie we wdrożeniu wymagań po audycie
Prawdziwa wartość audytu leży we wdrożeniu rekomendacji, nie w samym raporcie. Po zakończeniu projektów obserwujemy, że uporządkowanie odpowiedzialności, aktualizacja dokumentacji oraz wdrożenie działań naprawczych skracają czas reakcji na incydenty, porządkują ewidencję aktywów i ograniczają liczbę niezgodności podczas kolejnych przeglądów. Oferujemy wsparcie między innymi w automatyzacji procesów bezpieczeństwa, integracji systemów monitorujących oraz budowie procedur, które działają w codziennej pracy zespołu.
10. Skontaktuj się z ekspertem TTMS i przygotuj organizację do audytu NIS2
10.1 Upewnij się, że Twoja organizacja jest gotowa na KSC 2.0
Gotowość do KSC 2.0 trudno ocenić wyłącznie na podstawie dokumentacji. Kluczowe jest sprawdzenie, czy odpowiedzialności, procesy i zabezpieczenia działają w praktyce oraz czy organizacja potrafi wykazać zgodność podczas audytu lub kontroli. Jeśli chcesz omówić sytuację swojej organizacji, skontaktuj się z ekspertami TTMS. Pomożemy określić, które obszary wymagają weryfikacji, jaki zakres audytu będzie adekwatny i od czego najlepiej rozpocząć przygotowania. Zakres współpracy dopasujemy do statusu podmiotu oraz obowiązków wynikających z KSC 2.0.

11. Podstawa prawna i źródła
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2), w szczególności art. 20, 21, 23, 32 i 33; ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa w brzmieniu nadanym ustawą z 23 stycznia 2026 r. (Dz.U. z 2026 r. poz. 252), w szczególności art. 5, 8, 11, 15, 73 i 73a oraz załączniki nr 1 i 2; art. 33–35 ustawy nowelizującej; komunikaty Ministerstwa Cyfryzacji dotyczące Wykazu KSC i Systemu S46. Stan prawny i harmonogram zweryfikowano 13 lipca 2026 r.
12. FAQ
Czy analiza luki jest tym samym co ustawowy audyt KSC?
Nie. Analiza luki jest dobrowolną oceną gotowości organizacji, która pomaga zidentyfikować braki i ustalić priorytety działań. Ustawowy audyt bezpieczeństwa, o którym mowa w art. 15 ustawy o KSC, musi natomiast spełniać wymagania dotyczące zakresu, kwalifikacji audytorów oraz ich niezależności.
Co to jest audyt zgodności z NIS2?
Audyt zgodności z NIS2 to rynkowe określenie procesu oceny, który weryfikuje przygotowanie organizacji do wymagań dyrektywy NIS2 i ustawy o KSC. Może obejmować analizę systemów IT, zarządzania ryzykiem oraz reagowania na incydenty. Nie każdy taki przegląd jest jednak ustawowym audytem bezpieczeństwa z art. 15 ustawy o KSC, który musi spełniać wymagania dotyczące zakresu, kwalifikacji audytorów i ich niezależności.
Na czym polega NIS2?
NIS2 to unijna dyrektywa, która wprowadza rygorystyczne wymagania dotyczące bezpieczeństwa sieci i systemów informacyjnych dla organizacji z sektorów kluczowych i ważnych. Jej celem jest ujednolicenie standardów bezpieczeństwa w Unii Europejskiej i zwiększenie odporności na cyberatak.
Ile kosztuje audyt NIS2?
Koszt audytu NIS2 zależy od wielkości organizacji, liczby systemów i lokalizacji objętych przeglądem oraz zakresu współpracy przy wdrożeniu rekomendacji. Dokładną wycenę można uzyskać po krótkiej rozmowie wstępnej, w której określamy realny zakres prac.