Nowelizacja ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa, kt\u00f3ra wesz\u0142a w \u017cycie 3 kwietnia 2026 roku, daje podmiotom kluczowym i wa\u017cnym dok\u0142adnie 12 miesi\u0119cy na wdro\u017cenie pe\u0142nego Systemu Zarz\u0105dzania Bezpiecze\u0144stwem Informacji (SZBI). Termin to 3 kwietnia 2027 roku \u2014 od tej daty audytorzy b\u0119d\u0105 mogli formalnie weryfikowa\u0107, czy organizacja faktycznie spe\u0142nia obowi\u0105zki wynikaj\u0105ce z UKSC i dyrektywy NIS2.<\/p>\n
Dla wielu firm, kt\u00f3re dopiero teraz mapuj\u0105 swoje obowi\u0105zki, oznacza to bardzo realny po\u015bpiech. Po dacie samoidentyfikacji (3 pa\u017adziernika 2026) zostaje jeszcze p\u00f3\u0142 roku na to, \u017ceby SZBI nie by\u0142 dokumentem na p\u00f3\u0142ce, ale dzia\u0142aj\u0105cym procesem.<\/p>\n
Polska implementacja NIS2 nie definiuje "SZBI" w jednym akapicie \u2014 wymaga natomiast wdro\u017cenia \u015brodk\u00f3w zarz\u0105dzania ryzykiem cyberbezpiecze\u0144stwa obejmuj\u0105cych mi\u0119dzy innymi:<\/p>\n
Standardowo organizacje buduj\u0105 t\u0119 ca\u0142o\u015b\u0107 na bazie ISO\/IEC 27001 \u2014 i to w\u0142a\u015bnie ten certyfikat jest najcz\u0119\u015bciej wymieniany jako praktyczny szablon spe\u0142nienia wymaga\u0144 NIS2. Norma ISO 22301 (zarz\u0105dzanie ci\u0105g\u0142o\u015bci\u0105 dzia\u0142ania) uzupe\u0142nia go w obszarze BCM\/DRP.<\/p>\n
W praktyce minimum to:<\/p>\n
Organy nadzoru b\u0119d\u0105 ocenia\u0107 nie tylko istnienie dokument\u00f3w, ale r\u00f3wnie\u017c operacyjn\u0105 skuteczno\u015b\u0107. Zapisy "polityka istnieje" w arkuszu zgodno\u015bci nie wystarcz\u0105.<\/p>\n
Realistyczny harmonogram, kt\u00f3ry wielokrotnie sprawdza si\u0119 w polskich firmach:<\/p>\n
Miesi\u0105ce 1\u20132: gap analysis i plan.<\/strong> Audyt zerowy wzgl\u0119dem ISO 27001 \/ NIS2 pokazuje rozbie\u017cno\u015b\u0107 mi\u0119dzy stanem obecnym a wymogami. Wynikiem jest plan dzia\u0142a\u0144 z przypisanymi w\u0142a\u015bcicielami i terminami.<\/p>\n Miesi\u0105ce 3\u20136: polityki i procesy.<\/strong> Spisanie i wdro\u017cenie wymaganych polityk, dostosowanie um\u00f3w z dostawcami (DPA, klauzule bezpiecze\u0144stwa \u0142a\u0144cucha dostaw), uruchomienie procesu zarz\u0105dzania incydentami i kontroli dost\u0119pu.<\/p>\n Miesi\u0105ce 7\u20139: techniczne \u015brodki bezpiecze\u0144stwa.<\/strong> Centralne logowanie, monitorowanie, kopie zapasowe z izolacj\u0105, segmentacja sieci, testy odtworzeniowe. Cz\u0119sto to moment, w kt\u00f3rym organizacje weryfikuj\u0105, czy ich infrastruktura \u2014 w\u0142asna, kolokacja czy chmura \u2014 faktycznie pozwala spe\u0142ni\u0107 wymogi (np. czy dostawca us\u0142ug data center udost\u0119pnia odpowiedni poziom redundancji i raportowania zdarze\u0144).<\/p>\n Miesi\u0105ce 10\u201311: testy i szkolenia.<\/strong> Test BCP\/DRP w warunkach zbli\u017conych do realnych, testy penetracyjne, szkolenia dla pracownik\u00f3w i zarz\u0105du, \u0107wiczenia zg\u0142oszeniowe.<\/p>\n Miesi\u0105c 12: audyt wewn\u0119trzny i podpis zarz\u0105du.<\/strong> Audyt wewn\u0119trzny weryfikuje skuteczno\u015b\u0107 wdro\u017cenia, zarz\u0105d formalnie akceptuje SZBI, a organizacja jest gotowa do oceny zewn\u0119trznej po 3 kwietnia 2027.<\/p>\n Wdro\u017cenie SZBI nie ko\u0144czy si\u0119 na dzia\u0142ach IT i compliance \u2014 bezpo\u015brednio dotyka warstwy infrastruktury. Wyb\u00f3r dostawcy kolokacji lub us\u0142ug hostingowych, kt\u00f3ry ju\u017c dzi\u015b dzia\u0142a w re\u017cimie wymaga\u0144 UKSC, wyra\u017anie skraca drog\u0119:<\/p>\n W us\u0142ugach kolokacji Sprint Data Center<\/a> dost\u0119pne s\u0105 te elementy infrastrukturalne. Z kolei oferta Cyber-Ochrona<\/a> realizowana przez SprintTech obejmuje m.in. audyt NIS2 i KSC, audyt ISO 27001\/22301, us\u0142ugi SOC oraz testy penetracyjne \u2014 czyli kluczowe komponenty, kt\u00f3re realnie domykaj\u0105 wdro\u017cenie SZBI.<\/p>\n 12 miesi\u0119cy do 3 kwietnia 2027 to czas wystarczaj\u0105cy, ale tylko pod warunkiem, \u017ce prace rusz\u0105 wkr\u00f3tce po samoidentyfikacji w pa\u017adzierniku 2026. Im szybciej zarz\u0105d przyjmie plan dzia\u0142a\u0144 i wska\u017ce w\u0142a\u015bciciela projektu SZBI, tym mniejsze ryzyko, \u017ce audyt 2028 zastanie firm\u0119 z dokumentami niepokrytymi rzeczywisto\u015bci\u0105.<\/p>\nRola partnera infrastrukturalnego<\/h2>\n
\n
Podsumowanie<\/h2>\n