Sprint Data Center • ul. Jagiellończyka 26, 10-062 Olsztyn
+48 89 522 12 20
info@sprintdatacenter.pl

NIS2: pierwszy obowiązkowy audyt do 3 kwietnia 2028 — jak przygotować firmę z partnerem data center

blog informacyjny dla użytkowników usług SDC

Created with Sketch.

   Informacje ogólne    04.05.2026  |  0

NIS2: pierwszy obowiązkowy audyt do 3 kwietnia 2028 — jak przygotować firmę z partnerem data center

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC 2.0), implementująca dyrektywę NIS2, weszła w życie 3 kwietnia 2026 roku. Dla wielu podmiotów najgłośniejszą datą jest 3 października 2026 — termin samoidentyfikacji i wpisu do wykazu w systemie S46. Ale to dopiero początek harmonogramu. Prawdziwym egzaminem dla podmiotów kluczowych będzie pierwszy obowiązkowy audyt cyberbezpieczeństwa, który musi zakończyć się najpóźniej do 3 kwietnia 2028 roku. Brzmi odlegle? Tylko z pozoru. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), uporządkowanie łańcucha dostaw i zebranie dowodów dla audytora to projekt na dobre 18–24 miesięcy.

W tym wpisie tłumaczymy, co dokładnie wymusza ustawa, co będzie sprawdzał audytor, oraz w jaki sposób dobrze dobrany partner data center skraca drogę do zgodności i odciąża zespół IT.

Trzy kluczowe daty, które trzeba mieć w kalendarzu zarządu

KSC 2.0 nie wprowadza jednego deadline’u — wprowadza ścieżkę.

  • 3 kwietnia 2026 — ustawa weszła w życie. Od tego dnia biegną wszystkie pozostałe terminy.
  • 3 października 2026 — koniec sześciomiesięcznego okresu na samoidentyfikację oraz złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych w systemie S46.
  • 3 kwietnia 2027 — koniec okresu przejściowego na pełne wdrożenie środków zarządzania ryzykiem (SZBI) i integrację z S46.
  • 3 kwietnia 2028 — najpóźniejszy termin zakończenia pierwszego obowiązkowego audytu cyberbezpieczeństwa dla podmiotów kluczowych.

Ten ostatni termin to nie formalność. Audyt musi zostać przeprowadzony przez uprawniony, niezależny podmiot, a jego raport — wraz z dokumentacją SZBI — może być przedmiotem postępowania nadzorczego. Kary administracyjne sięgają do 10 mln euro lub 2% rocznego światowego obrotu dla podmiotów kluczowych. Do tego dochodzi osobista odpowiedzialność członków organów zarządzających.

Co audytor będzie sprawdzał

Pierwszy audyt nie sprowadzi się do "checklisty zabezpieczeń". Audytorzy będą weryfikować spójność całego cyklu zarządzania ryzykiem. Spodziewaj się pytań w sześciu obszarach:

  1. System zarządzania bezpieczeństwem informacji (SZBI). Polityki, procedury, role i odpowiedzialności — udokumentowane, zatwierdzone przez zarząd, faktycznie stosowane.
  2. Zarządzanie ryzykiem i łańcuch dostaw. Rejestr ryzyk, ocena dostawców (w tym dostawców infrastruktury i usług ICT), klauzule bezpieczeństwa w umowach.
  3. Ciągłość działania (BCP) i odtwarzanie po awarii (DR). Plany BCP/DR, testy przełączeń, RTO/RPO ustalone z biznesem, dowody z faktycznie przeprowadzonych testów.
  4. Bezpieczeństwo fizyczne i środowiskowe. Kontrola dostępu, monitoring, zasilanie redundantne, ochrona przeciwpożarowa, klimatyzacja precyzyjna — czyli wszystko, co dzieje się "wokół" serwerów.
  5. Wykrywanie i obsługa incydentów. Procedury zgłaszania do zespołu CSIRT, dzienniki, retencja logów, ćwiczenia z reakcji na incydenty.
  6. Zarządzanie tożsamościami, dostępem i kryptografią. MFA, zasada najmniejszych uprawnień, segregacja zadań, polityka kluczy.

Wąskim gardłem dla wielu firm okaże się dowód operacyjny: nie wystarczy mieć politykę — trzeba pokazać, że została wdrożona w praktyce, najlepiej z metrykami z całego okresu obowiązywania.

Jak partner data center skraca drogę do zgodności

Wewnętrznie odpowiadasz za swoje aplikacje, dane, dostępy i procesy. Ale obszar fizyczny i środowiskowy — punkt 4 powyżej — można w dużej mierze "outsourcować" do operatora data center, jeśli wybierzesz go świadomie. Co zyskujesz, przenosząc infrastrukturę do centrum danych w Olsztynie?

  • Polska jurysdykcja. Dane fizycznie na terenie UE, procedury zgodne z RODO. Audytor nie będzie pytał, czy dostawca chmurowy "spoza UE" stosuje SCC i którą wersję — bo problem nie istnieje.
  • Redundancja zasilania. Dwutorowe zasilanie z UPS i agregatem prądotwórczym to jeden z dowodów dla planu ciągłości działania, którego firma nie musi budować od zera.
  • Kontrola dostępu fizycznego 24/7. Logi wejść, monitoring, asysta techniczna na miejscu — gotowe artefakty audytowe.
  • Klimatyzacja precyzyjna i ochrona przeciwpożarowa. Standardowy element oferty, a w SZBI — formalnie spełnione wymagania środowiskowe.
  • Odpowiedzialność umowna. Klauzule SLA, warunki bezpieczeństwa i procedury obsługi incydentów wpisane w umowę kolokacyjną — co ułatwia spełnienie wymogów oceny dostawców z punktu 2.

Innymi słowy: zamiast inwestować w własną serwerownię z całym jej kosztem operacyjnym i obowiązkami audytowymi, kupujesz gotową, udokumentowaną warstwę fizyczną od dostawcy, który "mówi językiem audytu".

Plan przygotowań na 24 miesiące

Jeśli zaczynasz dziś (kwiecień 2026), zostały Ci dokładnie 24 miesiące do twardego terminu. Roboczy harmonogram:

Miesiące 0–6 (do października 2026)

  • Gap-analysis względem NIS2 / KSC 2.0 i własnych obecnych polityk.
  • Samoidentyfikacja: jesteśmy podmiotem kluczowym, ważnym, czy poza zakresem?
  • Wniosek o wpis do wykazu w systemie S46.
  • Decyzja, gdzie hostowane są systemy krytyczne — własna serwerownia czy kolokacja w polskim data center.

Miesiące 6–18 (do października 2027)

  • Wdrożenie SZBI: polityki, procedury, role, plan szkoleń.
  • Rejestr ryzyk i przegląd dostawców (umowy, klauzule bezpieczeństwa, oceny okresowe).
  • Plan BCP/DR — z realnymi testami, nie tylko na papierze.
  • Wybór serwerów docelowych — czy serwery dedykowane w polskim DC, czy własny sprzęt w kolokacji.

Miesiące 18–24 (październik 2027 → kwiecień 2028)

  • Próbny audyt wewnętrzny. Wąskie gardła? Brakujące dowody? Czas to naprawić.
  • Wybór audytora i zarezerwowanie terminu — w okolicach pierwszego kwartału 2028 audytorzy będą obłożeni.
  • Audyt formalny i raport.

Każdy z tych etapów ma punkty styku z partnerem infrastrukturalnym. Im wcześniej go wybierzesz, tym więcej dowodów audytowych zdąży się "zbudować" w naturalnym trybie pracy — zamiast być "doszywanych" tuż przed audytem.

Podsumowanie

NIS2 nie jest projektem na ostatni kwartał. To dwuletni proces, w którym wybór dostawcy infrastruktury jest jedną z pierwszych — i najtrudniej odwracalnych — decyzji. Przeniesienie systemów do polskiego, certyfikowanego operacyjnie data center upraszcza nie tylko obszar fizyczny audytu, ale też zarządzanie dostawcami i ciągłość działania.

Jeśli zaczynacie planowanie zgodności z KSC 2.0 i chcecie omówić, jak kolokacja w SDC może wpisać się w Wasz plan, skontaktujcie się z nami — pomożemy ułożyć infrastrukturalną część układanki, zanim pierwszy audytor zapuka do drzwi.

Znajdź nas

Sprint Data Center
Sprint S.A.
ul. Jagiellończyka 26
10-062 Olsztyn
Tel. +48 89 522 12 20
info@sprintdatacenter.pl

©  2026 Blog Sprint Data Center.