Przejdź do treści
nis2.org.plby AYO Solutions
← Blog

Czy ISO 27001 wystarczy do zgodności z KSC? Mapa różnic NIS2 vs ISO

Opublikowano 16 lipca 2026Igor Bielecki

Stan prawny: 10 lipca 2026 r.

Nie — sam certyfikat ISO 27001 nie wystarczy do zgodności z ustawą KSC, choć bardzo w niej pomaga. Pokrycie tematyczne normy względem ustawowego katalogu SZBI jest duże (szacunkowo rzędu 80%), więc organizacja z wdrożonym ISMS startuje z przewagą — ale KSC ma własne wymogi rejestrowe, terminowe, raportowe i nadzorcze, których norma nie zna. Poniżej dokładna mapa: co ISO pokrywa, a co trzeba dobudować.

Co ISO 27001 daje przy wdrożeniu NIS2/KSC

ISO/IEC 27001 i normy pokrewne nie są przepisem, ale są najlepszą dostępną „instrukcją wykonawczą” SZBI: wdrożenie zgodne z normą pokrywa większość ustawowego katalogu obszarów bezpieczeństwa i daje gotową strukturę dokumentacji. Ustawowy katalog SZBI (analiza ryzyka i polityki, obsługa incydentów, ciągłość działania, łańcuch dostaw, nabywanie i utrzymanie systemów, ocena skuteczności, cyberhigiena i szkolenia, kryptografia, zasoby ludzkie i kontrola dostępu, MFA i zabezpieczona komunikacja) to tematyka dobrze znana każdej organizacji z działającym ISMS.

Kluczowe zastrzeżenie: certyfikat może wspierać uporządkowanie, ale nie zastępuje indywidualnej oceny wymagań KSC — a zakres certyfikacji bywa węższy niż zakres ustawy. Jeśli certyfikat obejmuje np. tylko jedną lokalizację albo wybrane usługi, pozostała część organizacji objęta ustawą pozostaje „niepokryta”.

Mapa różnic: czego ISO 27001 nie załatwia

ObszarISO 27001Ustawa KSC — co dochodzi
Rejestracja w systemie państwowymbrak takiego pojęciawniosek o wpis do wykazu podmiotów kluczowych i ważnych, wskazanie co najmniej dwóch osób do kontaktu, aktualizacja danych, korzystanie z systemu S46
Zgłaszanie incydentówwymaga procesu obsługi incydentów, bez ustawowych terminówsztywny zegar zgłoszeń do CSIRT: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny, raport końcowy zasadniczo w 1 miesiąc
Audytaudyt certyfikacyjny — inna podstawa, zakres i adresat raportuaudyt ustawowy podmiotów kluczowych: pierwszy w 24 miesiące, kolejne co najmniej raz na 3 lata; raport przekazywany organowi właściwemu
Zarządwymaga zaangażowania kierownictwacoroczne szkolenie kierownictwa i osobista odpowiedzialność kierownika z karą do 300% wynagrodzenia
Sankcjeutrata certyfikatukary do 10 mln EUR lub 2% obrotu (kluczowy), do 7 mln EUR lub 1,4% (ważny), do 100 mln zł w przypadkach kwalifikowanych

W skrócie: luka do domknięcia to obowiązki rejestrowe, zegar zgłoszeń 24/72, specyfika audytu ustawowego i wymogi wobec zarządu.

Audyt ISO to nie audyt ustawowy

Audyt ustawowy z KSC to nie to samo co audyt certyfikacyjny ISO — różni się podstawą, zakresem i adresatem raportu; jeden nie zastępuje drugiego. Dobrze zaplanowane mogą jednak dzielić znaczną część prac — warto więc zsynchronizować kalendarze obu audytów i wykorzystać wspólny materiał dowodowy. Audyt ustawowy wykonuje akredytowana jednostka oceniająca albo audytorzy o kwalifikacjach określonych w przepisach, a raport przekazuje się organowi właściwemu.

Praktyczny plan dla organizacji z ISO 27001

  1. **Porównaj zakres certyfikacji z zakresem ustawy.** Zakres SZBI nie może sztucznie wyłączać elementów niezbędnych do świadczenia usługi objętej KSC — jeśli certyfikat pokrywa mniej, rozszerz system.
  2. **Domknij warstwę rejestrową.** Wpis do wykazu, osoby kontaktowe, dostęp do S46, wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo.
  3. **Przystosuj proces incydentowy do zegara ustawowego.** Twój proces ISO musi „stwierdzać” incydent poważny i uruchamiać wczesne ostrzeżenie w 24 godziny od wykrycia w organizacji.
  4. **Uzupełnij obowiązki zarządu.** Coroczne, dokumentowane szkolenie kierownictwa i dowody nadzoru (uchwały, zatwierdzenia, przeglądy).
  5. **Zaplanuj audyt ustawowy** (podmioty kluczowe) niezależnie od audytów certyfikacyjnych — z uwzględnieniem terminu pierwszego audytu.

Mit do odłożenia: „bez certyfikatu ani rusz”

Ustawa nie wymaga certyfikatu ISO 27001 — certyfikat pomaga wykazać zgodność, ale jej nie zastępuje. Działa to też w drugą stronę: organizacja bez certyfikatu może być w pełni zgodna z KSC, jeśli zbuduje system przemyślany, udokumentowany, wdrożony, mierzony i zatwierdzony przez zarząd. Wymagany jest system proporcjonalny do ryzyka — nie maksymalny i nie certyfikowany.

Zwykle mniej niż innym: pokrycie tematyczne normy względem ustawowego katalogu SZBI jest szacunkowo rzędu 80%. Do domknięcia zostają obowiązki rejestrowe (wykaz, S46, osoby kontaktowe), zegar zgłoszeń 24/72, audyt ustawowy i wymogi wobec zarządu — oraz weryfikacja, czy zakres certyfikacji pokrywa cały zakres ustawy.

Masz ISO i chcesz domknąć KSC?

Sprawdź gotowość organizacji samooceną albo umów konsultację — wskażemy dokładnie, czego brakuje między Twoim ISMS a ustawą.

Przewodnik po ustawie KSC 2026 (PDF)

Kwalifikacja, obowiązki, terminy i kary — prostym językiem, do pobrania za e-mail.

Sprawdźmy, na czym stoisz

Bezpłatna, ok. 15-minutowa rozmowa. Ustalimy, czy i jako jaki podmiot podlegasz pod ustawę, jakie masz najbliższe terminy i co warto zrobić w pierwszej kolejności. Bez zobowiązań.

office@ayo-solutions.com