vCISO — formalna funkcja Dyrektora ds. Bezpieczeństwa

Fractional CISO dla SMB w sektorach regulowanych i NGO ochrony ludności. Formalna funkcja CISO w modelu kontraktowym — Standard lub Premium.

Czym jest vCISO

Dyrektor ds. Bezpieczeństwa (CISO) jest formalnie wymagany dla podmiotów istotnych pod NIS2 oraz dla wielu organizacji w sektorze finansowym pod DORA. Pełen etat to często overkill — dla SMB i NGO koszt CISO senior-level znacząco przekracza realny scope pracy. vCISO to ta sama formalna funkcja w modelu kontraktowym: nasz konsultant występuje jako Twój CISO przed regulatorem, audytorem i radą nadzorczą, ale rozliczamy się za faktyczny scope godzin.

Dwa pakiety

Punkt startowy — scope dopasowywany do dojrzałości organizacji i wymagań regulatora.

vCISO Standard

Funkcja CISO dla SMB w sektorach regulowanych i NGO civil protection. Strategiczne planowanie cyberbezpieczeństwa, risk management framework, compliance oversight, miesięczny executive briefing. Typowy zakres godzin: 20–40 miesięcznie.

STANDARD

vCISO Premium

Rozszerzony scope dla większych organizacji lub złożonego compliance landscape. Zakres Standard + zaangażowanie executive na poziomie zarządu, regular board reporting, wsparcie due diligence M&A, cross-functional risk leadership. Typowy zakres godzin: 60–100 miesięcznie.

PREMIUM

Co realizuje vCISO

Strategiczne planowanie cyberbezpieczeństwaRoadmap z perspektywy biznesowej, priorytetyzacja inwestycji, alignment z ryzykami biznesowymi.
Risk management i compliance oversightFormalny risk register, oversight nad zgodnością NIS2 / DORA / ISO 27001, komunikacja z regulatorem.
Policy framework i proceduryInformation Security Policy, procedury incident response, procedury bezpieczeństwa łańcucha dostaw.
Vendor i third-party risk managementOcena ryzyka dostawców ICT, due diligence vendorów krytycznych, monitoring third-party register pod DORA.
Leadership w incident responseReprezentacja organizacji przed regulatorem (CSIRT NASK, KNF, ENISA), zarządzanie kryzysem, post-incident debrief.

Kiedy vCISO ma sens

Przygotowanie do certyfikacji ISO 27001 — wymagana formalna funkcja odpowiedzialna za ISMS. Pełen scope: Pre-audit ISO 27001.
Compliance NIS2 / DORA — formalna funkcja CISO wymagana dla podmiotów istotnych. Pełen scope: NIS2 / DORA / KSC compliance.
Post-incident — potrzeba senior leadership — po większym incydencie organizacja potrzebuje senior security ownership, by ustabilizować recovery i zbudować długoterminową strukturę bezpieczeństwa.
Pre-IPO / pre-acquisition due diligence — formalna CISO function jako sygnał dojrzałości operacyjnej dla inwestorów i akwizytorów.

Dla kogo

SMB w sektorach regulowanych — finansowy, infrastruktura krytyczna i cyfrowa, ochrona zdrowia.
NGO ochrony ludności i organizacje pro-obronne — z formalnym wymogiem CISO function lub potrzebą senior security ownership.
Organizacje z dojrzewającym ISMS — przygotowanie do recertyfikacji, surveillance audits, scale-up cyklu zarządczego.

Najczęstsze pytania

Czym vCISO różni się od konsultanta cybersec?

vCISO to formalna funkcja — Twój CISO wobec regulatora, audytora i zarządu. Konsultant cybersec realizuje punktowy projekt; vCISO bierze long-term ownership nad funkcją bezpieczeństwa.

Ile czasu vCISO faktycznie pracuje u Klienta?

Standard typowo 20–40 godzin miesięcznie, Premium 60–100. Faktyczny scope dostosowujemy do dojrzałości organizacji i cyklu regulacyjnego (więcej godzin przed audytem, mniej w okresach stabilnych).

Czy vCISO Premium jest wymagane dla NIS2?

Nie. NIS2 nie definiuje godzinowego zakresu funkcji CISO — wymaga jej formalnego istnienia i kompetencji. Standard jest wystarczający dla większości podmiotów istotnych. Premium ma sens dla podmiotów kluczowych pod NIS2 lub organizacji z multi-sektorowym compliance scope (NIS2 + DORA + ISO 27001).

Czy podpisujemy NDA?

Standardowo, przed pierwszym executive briefingiem. Wszystkie nasze zaangażowania vCISO operują pod NDA z klientem.

Umów konsultację vCISO

Bezpłatna konsultacja wstępna — ustalimy scope i tier dopasowany do Twojej organizacji.

Umów konsultację