Nie — sam certyfikat ISO 27001 nie wystarczy do zgodności z ustawą KSC, choć bardzo w niej pomaga. Pokrycie tematyczne normy względem ustawowego katalogu SZBI jest duże (szacunkowo rzędu 80%), więc organizacja z wdrożonym ISMS startuje z przewagą — ale KSC ma własne wymogi rejestrowe, terminowe, raportowe i nadzorcze, których norma nie zna. Poniżej dokładna mapa: co ISO pokrywa, a co trzeba dobudować.
Co ISO 27001 daje przy wdrożeniu NIS2/KSC
ISO/IEC 27001 i normy pokrewne nie są przepisem, ale są najlepszą dostępną „instrukcją wykonawczą” SZBI: wdrożenie zgodne z normą pokrywa większość ustawowego katalogu obszarów bezpieczeństwa i daje gotową strukturę dokumentacji. Ustawowy katalog SZBI (analiza ryzyka i polityki, obsługa incydentów, ciągłość działania, łańcuch dostaw, nabywanie i utrzymanie systemów, ocena skuteczności, cyberhigiena i szkolenia, kryptografia, zasoby ludzkie i kontrola dostępu, MFA i zabezpieczona komunikacja) to tematyka dobrze znana każdej organizacji z działającym ISMS.
Kluczowe zastrzeżenie: certyfikat może wspierać uporządkowanie, ale nie zastępuje indywidualnej oceny wymagań KSC — a zakres certyfikacji bywa węższy niż zakres ustawy. Jeśli certyfikat obejmuje np. tylko jedną lokalizację albo wybrane usługi, pozostała część organizacji objęta ustawą pozostaje „niepokryta”.
Mapa różnic: czego ISO 27001 nie załatwia
| Obszar | ISO 27001 | Ustawa KSC — co dochodzi |
|---|---|---|
| Rejestracja w systemie państwowym | brak takiego pojęcia | wniosek o wpis do wykazu podmiotów kluczowych i ważnych, wskazanie co najmniej dwóch osób do kontaktu, aktualizacja danych, korzystanie z systemu S46 |
| Zgłaszanie incydentów | wymaga procesu obsługi incydentów, bez ustawowych terminów | sztywny zegar zgłoszeń do CSIRT: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny, raport końcowy zasadniczo w 1 miesiąc |
| Audyt | audyt certyfikacyjny — inna podstawa, zakres i adresat raportu | audyt ustawowy podmiotów kluczowych: pierwszy w 24 miesiące, kolejne co najmniej raz na 3 lata; raport przekazywany organowi właściwemu |
| Zarząd | wymaga zaangażowania kierownictwa | coroczne szkolenie kierownictwa i osobista odpowiedzialność kierownika z karą do 300% wynagrodzenia |
| Sankcje | utrata certyfikatu | kary do 10 mln EUR lub 2% obrotu (kluczowy), do 7 mln EUR lub 1,4% (ważny), do 100 mln zł w przypadkach kwalifikowanych |
W skrócie: luka do domknięcia to obowiązki rejestrowe, zegar zgłoszeń 24/72, specyfika audytu ustawowego i wymogi wobec zarządu.
Audyt ISO to nie audyt ustawowy
Audyt ustawowy z KSC to nie to samo co audyt certyfikacyjny ISO — różni się podstawą, zakresem i adresatem raportu; jeden nie zastępuje drugiego. Dobrze zaplanowane mogą jednak dzielić znaczną część prac — warto więc zsynchronizować kalendarze obu audytów i wykorzystać wspólny materiał dowodowy. Audyt ustawowy wykonuje akredytowana jednostka oceniająca albo audytorzy o kwalifikacjach określonych w przepisach, a raport przekazuje się organowi właściwemu.
Praktyczny plan dla organizacji z ISO 27001
- **Porównaj zakres certyfikacji z zakresem ustawy.** Zakres SZBI nie może sztucznie wyłączać elementów niezbędnych do świadczenia usługi objętej KSC — jeśli certyfikat pokrywa mniej, rozszerz system.
- **Domknij warstwę rejestrową.** Wpis do wykazu, osoby kontaktowe, dostęp do S46, wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo.
- **Przystosuj proces incydentowy do zegara ustawowego.** Twój proces ISO musi „stwierdzać” incydent poważny i uruchamiać wczesne ostrzeżenie w 24 godziny od wykrycia w organizacji.
- **Uzupełnij obowiązki zarządu.** Coroczne, dokumentowane szkolenie kierownictwa i dowody nadzoru (uchwały, zatwierdzenia, przeglądy).
- **Zaplanuj audyt ustawowy** (podmioty kluczowe) niezależnie od audytów certyfikacyjnych — z uwzględnieniem terminu pierwszego audytu.
Mit do odłożenia: „bez certyfikatu ani rusz”
Ustawa nie wymaga certyfikatu ISO 27001 — certyfikat pomaga wykazać zgodność, ale jej nie zastępuje. Działa to też w drugą stronę: organizacja bez certyfikatu może być w pełni zgodna z KSC, jeśli zbuduje system przemyślany, udokumentowany, wdrożony, mierzony i zatwierdzony przez zarząd. Wymagany jest system proporcjonalny do ryzyka — nie maksymalny i nie certyfikowany.
Zwykle mniej niż innym: pokrycie tematyczne normy względem ustawowego katalogu SZBI jest szacunkowo rzędu 80%. Do domknięcia zostają obowiązki rejestrowe (wykaz, S46, osoby kontaktowe), zegar zgłoszeń 24/72, audyt ustawowy i wymogi wobec zarządu — oraz weryfikacja, czy zakres certyfikacji pokrywa cały zakres ustawy.
Masz ISO i chcesz domknąć KSC?
Sprawdź gotowość organizacji samooceną albo umów konsultację — wskażemy dokładnie, czego brakuje między Twoim ISMS a ustawą.
Przewodnik po ustawie KSC 2026 (PDF)