Sprint Data Center • ul. Jagiellończyka 26, 10-062 Olsztyn
+48 89 522 12 20
info@sprintdatacenter.pl

ISO 27001 i SZBI w praktyce — jak data center pomaga spełnić wymogi ustawy o KSC (NIS2)

blog informacyjny dla użytkowników usług SDC

Created with Sketch.

ISO 27001 i SZBI w praktyce — jak data center pomaga spełnić wymogi ustawy o KSC (NIS2)

ISO 27001 i SZBI w praktyce — jak data center pomaga spełnić wymogi ustawy o KSC (NIS2)

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża w Polsce dyrektywę NIS2, weszła w życie 3 kwietnia 2026 roku. Dla wielu firm oznacza to nie tylko formalne zgłoszenie do wykazu, ale konkretny, egzekwowalny obowiązek: wdrożenie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Dobra wiadomość jest taka, że nie trzeba wymyślać koła na nowo — istnieje sprawdzony, międzynarodowy szkielet takiego systemu. To norma ISO/IEC 27001. Gorsza wiadomość: znaczącej części wymagań nie da się spełnić samą polityką w segregatorze — dotyczą one twardej infrastruktury, w której fizycznie stoją Twoje serwery.

W tym wpisie pokazujemy, jak połączyć trzy elementy — obowiązki z ustawy o KSC, normę ISO 27001 i wybór miejsca dla serwerów — w jeden spójny plan zgodności.

SZBI, ISO 27001 i ustawa o KSC — co się z czym łączy?

Ustawa o KSC w wersji wdrażającej NIS2 dzieli objęte nią organizacje na podmioty kluczowe i podmioty ważne. Obie kategorie mają obowiązek zbudować system zarządzania bezpieczeństwem informacji — czyli uporządkowany, udokumentowany i regularnie przeglądany sposób panowania nad ryzykiem w obszarze cyberbezpieczeństwa.

SZBI w rozumieniu ustawy to dokładnie to, co świat zna pod nazwą ISMS (Information Security Management System) — a jego wzorcowym opisem jest norma ISO/IEC 27001. Dlatego organizacje, które mają już wdrożone ISO 27001, startują z dużą przewagą: pokrywają większość wymagań organizacyjnych ustawy — od analizy ryzyka, przez politykę bezpieczeństwa, po zarządzanie ciągłością działania. ISO 27001 nie zwalnia jednak automatycznie ze wszystkich obowiązków KSC (np. zgłaszania incydentów do właściwego CSIRT-u), ale jest najkrótszą znaną drogą do „szkieletu" zgodności.

Terminarz — do kiedy trzeba zdążyć

Harmonogram jest napięty i lepiej nie zostawiać go na ostatnią chwilę:

  • 3 października 2026 — termin samoidentyfikacji i wpisu do wykazu podmiotów kluczowych i ważnych.
  • 3 kwietnia 2027 — koniec okresu na wdrożenie SZBI dla podmiotów, które spełniły kryteria już w kwietniu 2026 (ustawowe 12 miesięcy).
  • 2028 — początek okresu, w którym uruchamiane są audyty i dotkliwe kary finansowe (liczone w milionach euro lub jako procent rocznego obrotu — w zależności od kategorii podmiotu).

Wdrożenie dojrzałego SZBI trwa miesiącami, a nie tygodniami. Jeśli częścią Twojego systemu ma być zmiana lokalizacji serwerów, to decyzję o infrastrukturze warto podjąć jako jedną z pierwszych.

Które wymagania SZBI pokrywa data center — a które zostają po Twojej stronie

To jest sedno sprawy, o którym łatwo zapomnieć. Norma ISO 27001 grupuje zabezpieczenia w cztery obszary: organizacyjne, dotyczące ludzi, fizyczne i technologiczne. Sporą część zabezpieczeń fizycznych i środowiskowych najłatwiej — a często jedynie sensownie — spełnić, umieszczając sprzęt w profesjonalnym data center.

Kolokacja w data center pomaga pokryć m.in.:

  • bezpieczeństwo fizyczne — całodobową kontrolę dostępu do pomieszczeń, w których stoi sprzęt,
  • zasilanie i środowisko — gwarantowane, redundantne zasilanie oraz kontrolowane warunki klimatyczne, które chronią przed przestojami wynikającymi z awarii prądu czy przegrzania,
  • monitoring — ciągły nadzór nad infrastrukturą, z którego zapisy przydają się później przy audycie.

Po Twojej stronie zostają natomiast obszary, których żaden dostawca infrastruktury nie „załatwi" za Ciebie: polityki i procedury, analiza ryzyka, szkolenia i świadomość pracowników, nadzór zarządu oraz obowiązek zgłaszania incydentów do właściwego zespołu CSIRT. Ważne, by nie mylić „mam serwery w dobrym data center" z „jestem zgodny z KSC" — data center pokrywa fundament, ale system budujesz Ty. Więcej o podziale odpowiedzialności piszemy we wpisie NIS2 a dostawca data center — czego wymagać od kolokacji i serwerów.

Czego wymagać od data center pod kątem SZBI

Wybierając miejsce dla serwerów w kontekście zgodności, warto sprawdzić konkretne cechy infrastruktury. W ofercie kolokacji serwerów w Sprint Data Center są to m.in.:

  • gwarantowane, dwutorowe zasilanie wsparte systemem UPS oraz agregatem prądotwórczym,
  • precyzyjna klimatyzacja utrzymująca stabilne warunki pracy sprzętu,
  • monitoring wewnętrzny i zewnętrzny 24/7 oraz kontrola dostępu fizycznego,
  • ochrona anty-DDoS oraz zdalne zarządzanie serwerem przez KVM over IP,
  • lokalizacja w Polsce, co upraszcza spełnienie wymogów RODO i argument suwerenności danych.

Ten ostatni punkt ma dziś dużą wagę — trzymanie danych w polskiej jurysdykcji to realne uproszczenie zgodności, nie tylko hasło marketingowe. Rozwijamy ten wątek we wpisie Suwerenność danych w 2026 — dlaczego polskie data center upraszcza zgodność z RODO i KSC (NIS2).

Podsumowanie

ISO 27001 to najkrótsza znana droga do zbudowania SZBI wymaganego przez ustawę o KSC (NIS2), a spora część zabezpieczeń — te fizyczne i środowiskowe — najłatwiej spełnić, umieszczając serwery w profesjonalnym data center. Zamiast inwestować we własną serwerownię spełniającą normy, można oprzeć fundament zgodności o kolokację i skupić własne zasoby na politykach, ludziach i procesach.

Jeśli terminarz KSC dotyczy Twojej organizacji, dobrze zacząć od infrastruktury. Sprawdź ofertę kolokacji serwerów w Sprint Data Center i porozmawiaj z naszym zespołem o tym, jak dopasować ją do wymagań Twojego SZBI.

FAQ – najczęściej zadawane pytania o ISO 27001, SZBI i KSC

Czy certyfikat ISO 27001 wystarcza do zgodności z ustawą o KSC (NIS2)?

ISO 27001 pokrywa większość wymagań organizacyjnych, ponieważ opisuje dokładnie taki system zarządzania bezpieczeństwem informacji, jakiego oczekuje ustawa. Nie zastępuje jednak wszystkich obowiązków — m.in. zgłaszania incydentów do właściwego CSIRT-u czy nadzoru zarządu. To bardzo dobry punkt startowy, ale nie automatyczny „papier zgodności".

Do kiedy muszę wdrożyć SZBI?

Podmioty, które spełniły kryteria podmiotu kluczowego lub ważnego w kwietniu 2026, mają na wdrożenie SZBI 12 miesięcy — czyli czas do 3 kwietnia 2027. Wcześniej, do 3 października 2026, obowiązuje termin samoidentyfikacji i wpisu do wykazu.

Czy muszę mieć własne certyfikowane data center, czy wystarczy kolokacja?

Nie musisz budować własnej serwerowni. Kolokacja w profesjonalnym data center pozwala pokryć fizyczne i środowiskowe zabezpieczenia SZBI — zasilanie, klimatyzację, kontrolę dostępu i monitoring — bez inwestycji w całą infrastrukturę od zera. Systemem zarządzania nadal jednak zarządzasz Ty.

Czy dostawca kolokacji odpowiada za moją zgodność z KSC?

Nie. Dostawca odpowiada za warstwę infrastruktury, którą Ci dostarcza, i może to udokumentować. Za zgodność całej organizacji — polityki, analizę ryzyka, zgłaszanie incydentów, szkolenia — odpowiada zarząd podmiotu objętego ustawą. Data center pokrywa fundament, ale nie przejmuje Twojej odpowiedzialności prawnej.