Przejdź do treści
nis2.org.plby AYO Solutions

Case study

Od 10 krytycznych luk do programu przyjętego przez zarząd — w 6 tygodni

Program prowadzimy od środka — w roli dyrektora IT i cyberbezpieczeństwa, nie zewnętrznego doradcy. To ten sam program, o którym piszemy na całej stronie: „wdrażamy KSC u siebie, jako podmiot kluczowy". Poniżej pokazujemy, jak to wygląda w praktyce.

Organizacja

Duży producent farmaceutyczny (ponad 250 pracowników), wytwórca leków znajdujących się w wykazie leków krytycznych. Podmiot kluczowy w rozumieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. Środowisko regulowane (GMP), złożona infrastruktura IT wspierająca produkcję.

Punkt wyjścia (maj 2026)

Ustawa o KSC obowiązuje od 3 kwietnia 2026. Organizacja miała realne atuty — uwierzytelnianie wieloskładnikowe, zarządzanie dostępem uprzywilejowanym, zewnętrzny SOC, ochronę stacji końcowych — ale nie miała formalnego systemu zarządzania bezpieczeństwem informacji.

Diagnoza 17 obszarów wymagań (14 obszarów SZBI z art. 8 ustawy o KSC plus 3 obowiązki przekrojowe) pokazała stan faktyczny: 2 obszary gotowe, 5 częściowych, 10 luk krytycznych. Wśród nich pięć egzystencjalnych:

  • brak kopii zapasowych poza lokalizacją i brak zapasowego ośrodka przetwarzania,
  • urządzenia brzegowe sieci po zakończeniu wsparcia producenta,
  • brak centralnego zarządzania tożsamością i cyklem życia uprawnień,
  • brak udokumentowanej procedury obsługi incydentów w rygorze 24 h / 72 h / 30 dni,
  • brak analizy wpływu na biznes (BIA) i klasyfikacji informacji — fundamentu, bez którego nie da się zaprojektować ciągłości działania ani priorytetów ochrony.

Co zrobiliśmy w pierwszych 6 tygodniach

  • Pełna analiza luk — każdy z 17 obszarów opisany schematem: wymóg prawny → stan faktyczny → luka → działanie → twardy termin. Bez tego każda rozmowa o budżecie jest zgadywaniem.
  • Pierwsza luka zamknięta od ręki — urządzenia brzegowe po końcu wsparcia wymienione bez przerwy w produkcji — pierwszy zamknięty wymóg programu.
  • Program dla zarządu — mapa drogowa dopięta do trzech ustawowych terminów (wpis do wykazu podmiotów kluczowych do 3.10.2026, wdrożony SZBI do 3.04.2027, pierwszy obowiązkowy audyt do 3.04.2028), wieloletni budżet i sekwencja prac: audyt zerowy → BIA i analiza ryzyka → polityki i procedury → dowody i testy.
  • Właściwe umocowanie — NIS2 przedstawione zarządowi jako obowiązek nadzorczy organu (z osobistą odpowiedzialnością członków zarządu), a nie projekt IT. Zakres odłożony w czasie trafił do formalnej akceptacji ryzyka przez zarząd — zamiast pozostać cichym założeniem w dziale IT.
  • Program świadomości — obowiązkowe comiesięczne mikroszkolenia dla wszystkich pracowników, cykliczne symulacje phishingu i jeden prosty kanał zgłaszania incydentów.

Rezultat (stan na lipiec 2026 — program w toku)

  • Program i budżet przyjęte przez zarząd; kick-off z zarządem i dyrektorami pionów za nami — 6 tygodni od pierwszego dnia diagnozy do decyzji zarządu.
  • Harmonogram zsynchronizowany z terminami ustawowymi — z zapasem czasowym na postępowania zakupowe.
  • Kampania świadomości działa, pierwszy wymóg techniczny zamknięty.
  • W toku: zewnętrzny audyt zerowy oraz warsztaty BIA z właścicielami procesów biznesowych — kolejne kroki sekwencji.

Trzy wnioski, które dotyczą także Twojej organizacji

1. Zgodność zaczyna się od diagnozy, nie od zakupów. Ta organizacja miała dobre technologie — a mimo to 10 luk krytycznych. Audytor nie pyta, czy coś działa, tylko czy jest polityka, dowód i cykl przeglądu.

2. BIA i decyzje o ryzyku należą do biznesu i zarządu. IT może je przygotować i moderować, ale nie może ich zastąpić — to warunek, by SZBI przetrwał audyt i kontrolę organu.

3. Terminy ustawowe są wykonalne — pod warunkiem wczesnej decyzji. Każdy miesiąc zwłoki zawęża okno na wdrożenie do 3.04.2027 i podnosi koszt oraz ryzyko jakościowe programu.

Chcesz wiedzieć, jak wyglądałby taki program u Ciebie? Umów bezpłatną konsultację (15 minut) — zaproponujemy sensowny pierwszy krok.

Umów bezpłatną konsultację

Opisz krótko sytuację organizacji — zaproponujemy sensowny pierwszy krok

Rozmawiasz bezpośrednio z praktykiem — CIO prowadzącym wdrożenie KSC u wytwórcy leków krytycznych. Nie z handlowcem.

Wystarczy e-mail lub telefon — jedno z dwóch.

Odpowiadamy w 1 dzień roboczy · Poufność — na życzenie NDA · Bez zobowiązań