Centrum kompetencji NIS2/KSC
NIS2 i KSC praktycznie —od obowiązku do realnej odporności
Pomagamy organizacjom zrozumieć nowe obowiązki, właściwie określić zakres i przełożyć wymagania na skuteczne procesy, zabezpieczenia oraz dowody zgodności. Działamy pragmatycznie — tak, aby wdrożenie realnie wzmacniało bezpieczeństwo i ciągłość działania, było efektywne kosztowo oraz dopasowane do skali, ryzyka i potrzeb organizacji.
Test ma charakter wstępny. Ostateczna kwalifikacja zależy od działalności, sektora, wielkości, struktury grupy i wyjątków ustawowych.
Aktualności prawne
Najważniejsze terminy w Polsce
3 kwietnia 2026
Nowelizacja KSC weszła w życie — obowiązki już obowiązują
7 maja – 3 października 2026
Samorejestracja w Wykazie KSC dla podmiotów niewpisywanych z urzędu
do 3 kwietnia 2027
Wdrożone wymagania (w tym SZBI) i korzystanie z S46 zgodnie z harmonogramem
do 3 kwietnia 2028
Pierwszy audyt dla nowych podmiotów kluczowych (co do zasady)
3 kwietnia 2026
Nowelizacja KSC weszła w życie — obowiązki już obowiązują
7 maja – 3 października 2026
Samorejestracja w Wykazie KSC dla podmiotów niewpisywanych z urzędu
do 3 kwietnia 2027
Wdrożone wymagania (w tym SZBI) i korzystanie z S46 zgodnie z harmonogramem
do 3 kwietnia 2028
Pierwszy audyt dla nowych podmiotów kluczowych (co do zasady)
Pakiety
Trzy pakiety, jedna ścieżka
Krok 1
Audyt
Pełna klasyfikacja podmiotu, analiza luk (Gap Analysis) względem wymogów ustawy KSC, raport z listą działań i priorytetami.
Wiesz dokładnie, co i do kiedy musisz zrobić.
Krok 2
Wdrożenie
Wszystko z Audytu oraz wdrożenie systemu zarządzania bezpieczeństwem informacji: polityki, analiza ryzyka, procedury obsługi incydentów, plany ciągłości działania (BCP/DRP), bezpieczeństwo łańcucha dostaw, szkolenie zarządu i pracowników, wpis do wykazu.
Spełniasz wymogi przed 3 kwietnia 2027 r.
Krok 3
Opieka ciągła
Po wdrożeniu: monitoring zgodności, aktualizacja dokumentacji, coroczne szkolenia kierownictwa, wsparcie przy incydentach i podczas kontroli organu.
Utrzymujesz zgodność i gotowość.
Wycena dopasowana do skali i potrzeb organizacji
Zakres i koszt współpracy ustalamy indywidualnie po krótkiej konsultacji. Dzięki temu organizacja płaci wyłącznie za działania rzeczywiście potrzebne do osiągnięcia zgodności oraz podniesienia poziomu bezpieczeństwa i ciągłości działania.
Zespół
Ludzie, którzy prowadzą projekt

Igor Bielecki
bezpieczeństwo i technologia
CIO/CISO z blisko 20-letnim doświadczeniem. Prowadzi wdrożenie NIS2/KSC jako podmiot kluczowy u wytwórcy leków z listy leków krytycznych — od analizy ryzyka po wpis do wykazu S46. Wcześniej dyrektor IT w międzynarodowej grupie farmaceutycznej.
PMP · PRINCE2 · ITIL · MBA

Adriana Bielecka
zarządzanie projektem
Współzałożycielka AYO. Kilkanaście lat prowadzenia projektów w sektorze regulowanym — bankowość i fundusze inwestycyjne (m.in. mBank, IPOPEMA TFI, Raiffeisen). Pilnuje, żeby wdrożenie skończyło się przed ustawowym terminem.
PRINCE2 · zarządzanie projektami

Arkadiusz Górecki
prawo i compliance
Adwokat specjalizujący się w prawie nowych technologii i ochronie danych. Wcześniej ekspert ds. zarządzania zgodnością w międzynarodowej bankowości (Raiffeisen Bank International, BNP Paribas). Dba o to, by dokumentacja i decyzje obroniły się w razie kontroli organu.
Adwokat · studia podyplomowe z prawa nowych technologii i cyberbezpieczeństwa
Od czego zacząć?
Cztery pytania, które porządkują cały program
1. Czy organizacja podlega KSC?
Najpierw zweryfikuj sektor, rodzaj działalności, wielkość organizacji, strukturę grupy oraz przypadki szczególne. Bez poprawnej kwalifikacji nie da się ustalić obowiązków, terminów i właściwego organu.
Sprawdź kwalifikację2. Jakie usługi i procesy są krytyczne?
BIA pokazuje, które procesy nie mogą długo czekać, jakie skutki wywoła przerwa i od czego zależy ich działanie. To punkt wyjścia do RTO, RPO, backupu, disaster recovery oraz planów awaryjnych.
Poznaj BIA3. Jakie ryzyka trzeba ograniczyć?
Analiza ryzyka pozwala ustalić priorytety. Nie wszystkie systemy wymagają tego samego poziomu ochrony, a technologia ma odpowiadać na konkretny scenariusz zagrożenia.
Zobacz podejście do ryzyka4. Jak udowodnić, że system działa?
Potrzebne są nie tylko polityki, lecz także zapisy: wyniki testów, przeglądy dostępów, raporty z backupu, obsłużone incydenty, decyzje zarządu, działania korygujące i mierniki skuteczności.
Zobacz dokumenty i dowodyCo naprawdę trzeba zbudować?
Pięć zdolności, które mają znaczenie podczas incydentu
| Zdolność | Co oznacza w praktyce | Wartość dla organizacji |
|---|---|---|
| Wiedzieć, co chronimy | usługi, procesy, aktywa, dane, właściciele i zależności | właściwe priorytety i wydatki |
| Zapobiegać | kontrola dostępu, aktualizacje, konfiguracja, szkolenia i dostawcy | mniejsze prawdopodobieństwo incydentu |
| Wykrywać | monitoring endpointów, tożsamości, sieci, chmury i logów | krótszy czas obecności atakującego |
| Reagować | role, playbooki, eskalacja, komunikacja i raportowanie | ograniczenie skutków i chaosu |
| Odtwarzać | BCP, DRP, kopie, obejścia i testy | szybszy powrót do bezpiecznej działalności |
Centrum wiedzy
Wiedza uporządkowana według decyzji, nie według paragrafów
Narzędzia
Sprawdź stan swojej organizacji
Kalkulator RTO/RPO
uporządkuj oczekiwania biznesu wobec odtworzenia
w przygotowaniuGenerator listy dokumentów
lista dopasowana do skali i środowiska
w przygotowaniuUsługi
Wsparcie tam, gdzie potrzebna jest niezależność lub dodatkowa wiedza
Nie zaczynaj od zakupu narzędzia. Zacznij od poprawnego zakresu i ryzyka.
Podczas krótkiej rozmowy zweryfikujemy sytuację organizacji, najważniejsze terminy, aktualny poziom przygotowania i sensowny pierwszy krok. Bez zobowiązania do zakupu pełnego programu.
office@ayo-solutions.com
