Case study
Od 10 krytycznych luk do programu przyjętego przez zarząd — w 6 tygodni
Program prowadzimy od środka — w roli dyrektora IT i cyberbezpieczeństwa, nie zewnętrznego doradcy. To ten sam program, o którym piszemy na całej stronie: „wdrażamy KSC u siebie, jako podmiot kluczowy". Poniżej pokazujemy, jak to wygląda w praktyce.
Organizacja
Duży producent farmaceutyczny (ponad 250 pracowników), wytwórca leków znajdujących się w wykazie leków krytycznych. Podmiot kluczowy w rozumieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. Środowisko regulowane (GMP), złożona infrastruktura IT wspierająca produkcję.
Punkt wyjścia (maj 2026)
Ustawa o KSC obowiązuje od 3 kwietnia 2026. Organizacja miała realne atuty — uwierzytelnianie wieloskładnikowe, zarządzanie dostępem uprzywilejowanym, zewnętrzny SOC, ochronę stacji końcowych — ale nie miała formalnego systemu zarządzania bezpieczeństwem informacji.
Diagnoza 17 obszarów wymagań (14 obszarów SZBI z art. 8 ustawy o KSC plus 3 obowiązki przekrojowe) pokazała stan faktyczny: 2 obszary gotowe, 5 częściowych, 10 luk krytycznych. Wśród nich pięć egzystencjalnych:
- brak kopii zapasowych poza lokalizacją i brak zapasowego ośrodka przetwarzania,
- urządzenia brzegowe sieci po zakończeniu wsparcia producenta,
- brak centralnego zarządzania tożsamością i cyklem życia uprawnień,
- brak udokumentowanej procedury obsługi incydentów w rygorze 24 h / 72 h / 30 dni,
- brak analizy wpływu na biznes (BIA) i klasyfikacji informacji — fundamentu, bez którego nie da się zaprojektować ciągłości działania ani priorytetów ochrony.
Co zrobiliśmy w pierwszych 6 tygodniach
- Pełna analiza luk — każdy z 17 obszarów opisany schematem: wymóg prawny → stan faktyczny → luka → działanie → twardy termin. Bez tego każda rozmowa o budżecie jest zgadywaniem.
- Pierwsza luka zamknięta od ręki — urządzenia brzegowe po końcu wsparcia wymienione bez przerwy w produkcji — pierwszy zamknięty wymóg programu.
- Program dla zarządu — mapa drogowa dopięta do trzech ustawowych terminów (wpis do wykazu podmiotów kluczowych do 3.10.2026, wdrożony SZBI do 3.04.2027, pierwszy obowiązkowy audyt do 3.04.2028), wieloletni budżet i sekwencja prac: audyt zerowy → BIA i analiza ryzyka → polityki i procedury → dowody i testy.
- Właściwe umocowanie — NIS2 przedstawione zarządowi jako obowiązek nadzorczy organu (z osobistą odpowiedzialnością członków zarządu), a nie projekt IT. Zakres odłożony w czasie trafił do formalnej akceptacji ryzyka przez zarząd — zamiast pozostać cichym założeniem w dziale IT.
- Program świadomości — obowiązkowe comiesięczne mikroszkolenia dla wszystkich pracowników, cykliczne symulacje phishingu i jeden prosty kanał zgłaszania incydentów.
Rezultat (stan na lipiec 2026 — program w toku)
- Program i budżet przyjęte przez zarząd; kick-off z zarządem i dyrektorami pionów za nami — 6 tygodni od pierwszego dnia diagnozy do decyzji zarządu.
- Harmonogram zsynchronizowany z terminami ustawowymi — z zapasem czasowym na postępowania zakupowe.
- Kampania świadomości działa, pierwszy wymóg techniczny zamknięty.
- W toku: zewnętrzny audyt zerowy oraz warsztaty BIA z właścicielami procesów biznesowych — kolejne kroki sekwencji.
Trzy wnioski, które dotyczą także Twojej organizacji
1. Zgodność zaczyna się od diagnozy, nie od zakupów. Ta organizacja miała dobre technologie — a mimo to 10 luk krytycznych. Audytor nie pyta, czy coś działa, tylko czy jest polityka, dowód i cykl przeglądu.
2. BIA i decyzje o ryzyku należą do biznesu i zarządu. IT może je przygotować i moderować, ale nie może ich zastąpić — to warunek, by SZBI przetrwał audyt i kontrolę organu.
3. Terminy ustawowe są wykonalne — pod warunkiem wczesnej decyzji. Każdy miesiąc zwłoki zawęża okno na wdrożenie do 3.04.2027 i podnosi koszt oraz ryzyko jakościowe programu.
Chcesz wiedzieć, jak wyglądałby taki program u Ciebie? Umów bezpłatną konsultację (15 minut) — zaproponujemy sensowny pierwszy krok.
Umów bezpłatną konsultacjęOpisz krótko sytuację organizacji — zaproponujemy sensowny pierwszy krok
Rozmawiasz bezpośrednio z praktykiem — CIO prowadzącym wdrożenie KSC u wytwórcy leków krytycznych. Nie z handlowcem.