Zgodność z NIS2, DORA i KSC

Łączymy techniczną głębię z warstwą regulacyjną — dla sektora finansowego, infrastruktury krytycznej i cyfrowej, ochrony zdrowia oraz administracji. Pakiety sektorowe dopasowane do regulatora i specyfiki branży.

Kluczowe różnice NIS2 / DORA / KSC

Trzy nakładające się regulacje — różne podstawy prawne, różny scope, różni regulatorzy.

NIS2

Dyrektywa UE 2022/2555 obowiązująca podmioty kluczowe i istotne w 18 sektorach krytycznych. Egzekwowana w Polsce przez znowelizowaną ustawę o KSC. Wymagania: zarządzanie ryzykiem, raportowanie incydentów (24h/72h/30d), bezpieczeństwo łańcucha dostaw, ciągłość działania.

DYREKTYWA UE

DORA

Rozporządzenie UE 2022/2554 dla sektora finansowego — instytucje płatnicze, CASP, ubezpieczyciele, asset managers, dostawcy usług ICT dla finansów. Obowiązuje od stycznia 2025. Wymagania: operational resilience, ICT risk framework, third-party register, rejestr incydentów ICT.

ROZPORZĄDZENIE UE

KSC

Krajowy system cyberbezpieczeństwa — polska transpozycja NIS2 plus dodatkowy scope dla operatorów usług kluczowych, dostawców usług cyfrowych i administracji publicznej. Wymagania: szacowanie ryzyka, środki techniczne i organizacyjne, audyt zgodności co 2 lata, zgłoszenia do CSIRT NASK lub MON.

USTAWA PL

Pakiety sektorowe

Punkt startowy dla każdego sektora — rdzeń compliance zdefiniowany, scope dopasowywany do specyfiki organizacji po gap analysis.

JST Pack — wsparcie pod Cyberbezpieczny Samorząd

Pełen scope NIS2 i KSC dla jednostek samorządu terytorialnego. Audyt zgodności, dokumentacja regulacyjna, wsparcie w wymaganiach Programu Cyberbezpieczny Samorząd. Dla gmin, powiatów i ich jednostek organizacyjnych.

JST · NIS2 + KSC

Healthcare Pack

Compliance dla podmiotów leczniczych zaklasyfikowanych jako podmioty istotne w NIS2 — SP ZOZ-y, prywatne sieci szpitali, kliniki specjalistyczne. Specyfika: integracja z systemami P1/P2 i wymaganiami CSIOZ.

OCHRONA ZDROWIA · NIS2

Ochrona ludności Pack

Compliance dla NGO i podmiotów sektora ochrony ludności oraz obrony cywilnej. NIS2 jeśli zaklasyfikowane jako podmioty istotne, plus integracja procedur z systemami zarządzania kryzysowego. Pełen scope tej tematyki — Cyber consulting odporności społecznej.

NGO · OLiOC

DORA niebankowy Pack

Pakiet dla fintech, instytucji płatniczych, CASP, asset managers i dostawców usług ICT dla finansów. Pełen scope DORA bez assumpcji o infrastrukturze bankowej — operational resilience, ICT risk framework, third-party register, rejestr incydentów ICT.

FINTECH · DORA

KSC Audit Express

Szybki audyt zgodności KSC dla podmiotów już zarejestrowanych w krajowym systemie. Identyfikacja luk, klasyfikacja niezgodności i priorytetyzacja remediation w 2–3 tygodnie. Przygotowanie do kontroli ministerstwa cyfryzacji lub inspekcji NASK/CSIRT.

KSC · EXPRESS

Co zawiera każdy pakiet

Gap analysis i mapa zgodnościPełen przegląd obecnego stanu kontroli pod regulator. Klasyfikacja podmiotu, identyfikacja luk, priorytetowy plan remediation.
Dokumentacja regulacyjnie wymaganaProcedury incident reporting (NIS2 24h/72h/30d, DORA Article 17), ICT risk management framework, procedury bezpieczeństwa łańcucha dostaw. Dopasowane do sposobu pracy organizacji, nie generic szablony.
Plan wdrożenia z priorytetyzacjąRoadmap zgodności z timeline i scope budgetary. Iteracyjne wdrożenie z punktowymi review.
Wsparcie podczas audytu zewnętrznegoAsysta przy kontroli NASK/CSIRT, inspekcji KNF (dla DORA), audytu zgodności KSC. Przygotowanie zespołu i odpowiedzi na findings audytora.

Specjalistyczne kompetencje powiązane

Zgodność z regulatorem rzadko jest oddzielnym projektem. Przygotowując do NIS2, DORA lub KSC łączymy ją z pentestem sektora finansowego i AI/LLM, vCISO jako nadzorem compliance (formalna funkcja CISO wymagana dla podmiotów istotnych) oraz OSINT i Threat Intelligence sektorowym (CTI dla DORA, monitoring łańcucha dostaw pod NIS2). Dla podmiotów ochrony ludności i obrony cywilnej patrz osobno Cyber consulting odporności społecznej.

Kogo obejmuje NIS2

NIS2 dzieli organizacje na podmioty kluczowe i istotne. Klasyfikacja zależy od sektora, rozmiaru i krytyczności usług.

Energetyka

Operatorzy systemów przesyłowych i dystrybucyjnych, dostawcy energii elektrycznej, gazu, ciepłownictwa i paliw. Próg: przychody i krytyczność dla bezpieczeństwa dostaw.

Transport

Lotnictwo, kolej, transport drogowy, żegluga morska i śródlądowa, infrastruktura portowa. Operatorzy ruchu lotniczego, zarządcy infrastruktury.

Bankowość i finanse

Instytucje kredytowe i platformy płatnicze per PSD2/PSD3. Operatorzy infrastruktury rynku finansowego, giełdy. DORA jako lex specialis w zakresie ICT.

Ochrona zdrowia

Szpitale, sieci klinik, laboratoria badawcze, producenci wyrobów medycznych i farmaceutycznych. Integracja z P1/P2 i wymaganiami CSIOZ.

Infrastruktura cyfrowa

Dostawcy DNS, rejestry TLD, IXP, dostawcy chmury, CDN, hosting, centra danych, sieci łączności elektronicznej.

Administracja publiczna

Administracja centralna i samorządowa — podmioty kluczowe z pełnymi obowiązkami NIS2 i KSC. Dla samorządów: integracja z Programem Cyberbezpieczny Samorząd.

Najczęstsze pytania

Czy NIS2 dotyczy mojej organizacji?

NIS2 obejmuje podmioty kluczowe i istotne w 18 sektorach krytycznych — energetyka, transport, bankowość, infrastruktura cyfrowa, ochrona zdrowia, administracja i inne. Kryterium to sektor działalności i próg wielkości (zazwyczaj 50+ pracowników lub 10 mln EUR obrotu). Sprawdzimy klasyfikację w bezpłatnej analizie wstępnej.

Jakie są sankcje za niespełnienie NIS2?

Dla podmiotów kluczowych kary administracyjne do 10 mln EUR lub 2% całkowitego obrotu. Dla podmiotów istotnych do 7 mln EUR lub 1,4% obrotu. Dodatkowo możliwa osobista odpowiedzialność kadry zarządzającej.

Czym DORA różni się od NIS2 w kontekście sektora finansowego?

Podmioty finansowe objęte DORA stosują DORA jako lex specialis zamiast NIS2 w zakresie ICT. DORA ma bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem ICT, third-party register, rejestru incydentów oraz operational resilience. NIS2 może nadal dotyczyć innych aspektów działalności poza ICT.

Czy KSC i NIS2 to to samo?

Nie. NIS2 to dyrektywa UE; KSC (krajowy system cyberbezpieczeństwa) to polska transpozycja plus dodatkowe wymagania dla operatorów usług kluczowych i administracji. W praktyce KSC obejmuje także podmioty, których NIS2 explicite nie dotyczy — m.in. niektórych dostawców usług cyfrowych.

Czy pakiety są sztywne, czy dopasowujecie zakres?

Pakiety są punktem startowym. Każdy z nich obejmuje rdzeń wymaganego compliance dla sektora, ale rzeczywisty zakres dopasowujemy do dojrzałości organizacji, posiadanej dokumentacji i specyfiki ryzyka. Po gap analysis precyzujemy roadmap i timeline.

Umów konsultację compliance

Bezpłatna konsultacja wstępna — sprawdzimy klasyfikację i zakres obowiązków.

Umów konsultację