Zgodność z KSC i wdrożenie wymagań NIS2
Nowelizacja ustawy o KSC transponująca NIS2 rozszerza zakres podmiotów objętych regulacją w Polsce — operatorów usług kluczowych, dostawców cyfrowych oraz ich łańcuch dostaw. Kary sięgają 10 mln EUR lub 2% globalnego obrotu, z osobistą odpowiedzialnością zarządu. Przeprowadzimy Cię od kwalifikacji podmiotu, przez audyt luk i wdrożenie kontroli, po raportowanie incydentów do CSIRT i utrzymanie zgodności.
Czym jest dostosowanie do KSC i NIS2?
Dostosowanie do KSC (Krajowy System Cyberbezpieczeństwa) i NIS2 to proces, w którym organizacja klasyfikuje się jako podmiot kluczowy lub ważny, audytuje luki względem ustawy o KSC i dyrektywy NIS2, wdraża wymagane kontrole (SZBI, SCRM, incident response, BCM, kryptografia, MFA) oraz buduje proces raportowania incydentów do CSIRT w wymaganych terminach (24h / 72h / 1 miesiąc). nFlo prowadzi pełen cykl: od kwalifikacji podmiotu i gap analysis przez wdrożenie i dokumentację po utrzymanie zgodności i wsparcie podczas kontroli regulatora.
Kary do 10 mln EUR i osobista odpowiedzialność zarządu — KSC to nie tylko papier
Trzy filary zgodności z KSC i NIS2
Audyt luk (gap analysis)
Kwalifikacja podmiotu i ocena obecnego stanu względem wymagań ustawy o KSC i dyrektywy NIS2
Wdrożenie kontroli
SZBI, SCRM, incident response, BCM, kryptografia, MFA — dokumentacja i kontrole techniczne
Utrzymanie i raportowanie
Stały nadzór, raportowanie incydentów do CSIRT NASK w terminach 24h/72h/1 miesiąc
Czym jest KSC i NIS2 — w 60 sekund
KSC (Krajowy System Cyberbezpieczeństwa) to polska ustawa, która buduje krajowy system zarządzania bezpieczeństwem informacji i wdraża do prawa polskiego dyrektywę Unii Europejskiej NIS2 (Network and Information Security Directive 2). Nowelizacja transponująca NIS2 znacząco rozszerza katalog podmiotów objętych regulacją — z wąskiego grona operatorów usług kluczowych do całego ekosystemu sektorów krytycznych i ich łańcucha dostaw.
| Atrybut | Wartość |
|---|---|
| Akt UE | Dyrektywa NIS2 (2022/2555) |
| Akt PL | Ustawa o KSC (znowelizowana pod NIS2) |
| Zakres | 18 sektorów krytycznych + łańcuch dostaw ICT |
| Maksymalna kara | 10 mln EUR lub 2% globalnego obrotu |
| Termin zgłoszenia incydentu | 24h (early warning) / 72h (notification) / 1 mies. (final) |
| Organ właściwy w PL | CSIRT NASK, CSIRT GOV, sektorowe CSIRT |
nFlo prowadzi firmy w Polsce przez pełen cykl zgodności z KSC i NIS2 — od kwalifikacji podmiotu, przez audyt luk i wdrożenie kontroli, po stałe utrzymanie zgodności i raportowanie incydentów do CSIRT.
Operator usług kluczowych nie zdążył ze zgłoszeniem — kara plus kontrola
Średniej wielkości dostawca infrastruktury cyfrowej nie miał formalnej procedury klasyfikacji incydentu. Po ataku ransomware zespół IT spędził pierwsze 18 godzin na próbach przywrócenia usług i dopiero po 30 godzinach formalnie zgłosił incydent do CSIRT — przekraczając próg 24h early warning. Regulator wszczął postępowanie sprawdzające, w trakcie którego okazało się, że brakuje także aktualnej dokumentacji SZBI i ewidencji dostawców ICT. Wynik: administracyjna kara pieniężna, nakaz wdrożenia brakujących kontroli w 6 miesięcy oraz osobiste postępowanie wobec członka zarządu odpowiedzialnego za cyberbezpieczeństwo.
Bez przygotowania do KSC i NIS2:
- Ryzykujesz kary do 10 mln EUR lub 2% rocznego obrotu
- Nie wiesz czy podlegasz pod regulacje (rozszerzony katalog 18 sektorów)
- Tracisz kontrakty — odbiorcy w łańcuchu dostaw wymagają potwierdzenia zgodności
- Zarząd ponosi osobistą odpowiedzialność, w tym możliwy zakaz pełnienia funkcji
- Regulator może nakazać wstrzymanie świadczenia usługi
Kogo dotyczy nowelizacja 2024 — matryca podmiotów
Nowelizacja ustawy o KSC pod NIS2 wprowadza trzy kategorie objętych podmiotów. Klasyfikacja przesądza o zakresie obowiązków, terminach raportowania i wysokości potencjalnych kar.
Podmioty kluczowe (essential entities)
Średnie i duże przedsiębiorstwa w sektorach o najwyższym znaczeniu krytycznym:
- Energia — produkcja, przesył i dystrybucja energii elektrycznej, gazu, ropy, ciepła
- Transport — lotniczy, kolejowy, wodny, drogowy (operatorzy infrastruktury i usług transportowych)
- Bankowość — instytucje kredytowe
- Infrastruktura rynków finansowych — operatorzy systemów obrotu, CCP
- Ochrona zdrowia — szpitale, laboratoria diagnostyczne, producenci leków i wyrobów medycznych
- Woda pitna i ścieki
- Infrastruktura cyfrowa — IXP, DNS, TLD, dostawcy chmury, data center, CDN, dostawcy zaufania, łączność elektroniczna
- Zarządzanie usługami ICT (B2B) — dostawcy MSP i MSSP
Podmioty ważne (important entities)
Średnie i duże przedsiębiorstwa w pozostałych sektorach objętych dyrektywą:
- Usługi pocztowe i kurierskie
- Gospodarka odpadami
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja (m.in. wyrobów medycznych, komputerów, urządzeń elektronicznych, maszyn, pojazdów)
- Przetwarzanie chemikaliów
- E-commerce, internetowe wyszukiwarki i platformy społecznościowe
- Badania naukowe
Łańcuch dostaw operatorów usług kluczowych
Pośrednio objęci są wszyscy dostawcy ICT, którzy świadczą usługi na rzecz podmiotów kluczowych lub ważnych. Odbiorcy mają obowiązek prowadzić proces SCRM (Supply Chain Risk Management) i wymagać kontraktowo określonych kontroli od dostawców: raportowanie incydentów, prawo do audytu, MFA, kryptografii, zarządzania podatnościami i ciągłości działania.
Progi ilościowe
- Średnie przedsiębiorstwo — 50–249 pracowników LUB obrót do 50 mln EUR / suma bilansowa do 43 mln EUR
- Duże przedsiębiorstwo — powyżej 250 pracowników LUB obrót powyżej 50 mln EUR
Niezależnie od wielkości w pełnym zakresie objęte są m.in. dostawcy usług zaufania kwalifikowanych, dostawcy DNS, TLD, IXP oraz administracja publiczna w zakresie określonym ustawą o KSC.
Twoje obowiązki w 5 obszarach
Dyrektywa NIS2 i ustawa o KSC wymagają wdrożenia kontroli zarządzania ryzykiem w pięciu kluczowych obszarach. Każdy z nich rozliczany jest w procesie audytu i podczas kontroli regulatora.
1. SZBI — System Zarządzania Bezpieczeństwem Informacji
Zatwierdzona przez zarząd polityka bezpieczeństwa, zinwentaryzowane aktywa, role i odpowiedzialności, procedury klasyfikacji informacji, zarządzanie dostępem (MFA, least privilege), kryptografia (dane w spoczynku i transmisji), polityka backupu i odtwarzania, zarządzanie podatnościami, łatki bezpieczeństwa, monitoring i logowanie zdarzeń. Najlepiej oparte o uznany standard — ISO/IEC 27001, NIST CSF lub CIS Controls.
2. SCRM — Supply Chain Risk Management
Ewidencja wszystkich dostawców ICT, klasyfikacja krytyczności, ocena ryzyka łańcucha dostaw (w tym dostawców usług chmurowych i open source), klauzule kontraktowe wymagające raportowania incydentów i prawa do audytu, ocena bezpieczeństwa nowych dostawców przed zawarciem umowy. Wymóg art. 21 ust. 2 lit. d dyrektywy NIS2.
3. Incident Response
Plan reagowania na incydenty (IR plan), runbooki dla najczęstszych scenariuszy (ransomware, phishing, BEC, DDoS, włamanie do AD), ćwiczenia tabletop minimum raz w roku, zespół IR z jasno przypisanymi rolami, procedura zgłaszania incydentu do CSIRT w wymaganych terminach. Minimum: SOC 24/7 lub retainer Incident Response z gwarantowanym czasem reakcji.
4. BCM — Business Continuity Management
Plan ciągłości działania (BCP) i plan odtwarzania po awarii (DRP), Recovery Time Objective i Recovery Point Objective dla funkcji krytycznych, regularne testy odtwarzania, segmentacja sieci, kopie zapasowe offline (immutable backup) odporne na ransomware, geograficzna redundancja dla podmiotów kluczowych. Testy BCP minimum raz w roku, z udokumentowanymi wynikami.
5. Raportowanie incydentów
Procedura klasyfikacji incydentu (kiedy zdarzenie staje się „poważnym incydentem”), formularz early warning, kanał komunikacji z CSIRT NASK / CSIRT GOV / sektorowym CSIRT, wewnętrzna eskalacja do zarządu, prowadzenie dziennika incydentów, mechanizm cyklicznej oceny skuteczności kontroli. Trzy progi: 24h (early warning), 72h (notification), 1 miesiąc (final report).
Nasz proces wdrożenia (6 kroków)
Krok 1 — Klasyfikacja podmiotu
Sprawdzamy, czy organizacja jest podmiotem kluczowym, ważnym lub działa w łańcuchu dostaw operatora usług kluczowych. Analizujemy działalność, sektor, wielkość (pracownicy, obrót, suma bilansowa), produkty i usługi świadczone na rzecz podmiotów objętych regulacją. Wynik: udokumentowana klasyfikacja z uzasadnieniem prawnym, którą można przedstawić regulatorowi.
Krok 2 — Audyt luk (gap analysis)
Porównujemy obecny stan kontroli z wymaganiami ustawy o KSC, dyrektywy NIS2 i właściwych standardów sektorowych. Analizujemy dokumenty (polityki, procedury, ewidencje), konfiguracje techniczne (firewall, EDR, IAM, backup, SIEM) oraz procesy organizacyjne (incident response, BCM, SCRM). Wynik: raport luk z oceną ryzyka i priorytetyzacją.
Krok 3 — Plan wdrożenia (roadmap)
Budujemy priorytetyzowaną roadmapę z timeline, budżetem, właścicielami zadań i kamieniami milowymi. Wskazujemy quick wins (zmiany konfiguracyjne, polityki) oraz długoterminowe projekty (SIEM, segmentacja, IAM, kryptografia). Roadmap zawiera podział na kontrole obowiązkowe i rekomendowane oraz mapowanie na ISO/IEC 27001 i NIST CSF, jeśli organizacja chce zachować jeden spójny program.
Krok 4 — Wdrożenie kontroli
Wspieramy w faktycznym wdrożeniu kontroli — od opracowania dokumentacji SZBI, przez konfigurację narzędzi (MFA, EDR, SIEM, kryptografia, backup), po wewnętrzne komunikaty i szkolenia. W razie potrzeby angażujemy vCISO jako stałego doradcę, który nadzoruje wdrożenie po stronie organizacyjnej i procesowej.
Krok 5 — Walidacja
Weryfikujemy skuteczność wdrożonych kontroli przez testy penetracyjne, audyt wewnętrzny oraz ćwiczenia tabletop — symulację incydentu, w której zespół przechodzi pełną ścieżkę od wykrycia do zgłoszenia do CSIRT. Walidacja realizuje wymóg art. 21 NIS2 dotyczący regularnej oceny skuteczności.
Krok 6 — Raportowanie 24h i utrzymanie
Wdrażamy operacyjną procedurę zgłaszania incydentów do CSIRT z gwarantowanym czasem reakcji <15 min poprzez nasz SOC 24/7. W modelu retainer prowadzimy stały nadzór nad zgodnością: kwartalne przeglądy, aktualizacje dokumentacji po zmianach w infrastrukturze, wsparcie podczas kontroli regulatora oraz cykliczne testy weryfikacyjne i ćwiczenia tabletop.
Co dostarczamy
- Klasyfikacja podmiotu z uzasadnieniem prawnym (na poziomie umożliwiającym przedstawienie regulatorowi)
- Raport gap analysis względem ustawy o KSC, NIS2 i sektorowych wytycznych
- Roadmapa wdrożenia z timeline, budżetem, właścicielami i kamieniami milowymi
- Komplet dokumentacji SZBI: polityki, procedury, role, ewidencje aktywów i ryzyk
- Program SCRM: ewidencja dostawców, klasyfikacja krytyczności, klauzule kontraktowe, proces oceny
- Plan Incident Response z runbookami dla 6–10 scenariuszy
- Plan ciągłości działania (BCP) i odtwarzania (DRP) z RTO/RPO dla funkcji krytycznych
- Procedura raportowania incydentów do CSIRT (24h / 72h / 1 mies.) z formularzami i kanałami komunikacji
- Materiały szkoleniowe dla zarządu, zespołów IT/security oraz pracowników (awareness)
- Raporty z testów penetracyjnych weryfikacyjnych i ćwiczeń tabletop
- Wsparcie podczas kontroli regulatora (przygotowanie dokumentacji, asysta, odpowiedzi na wnioski)
- Opcjonalnie: stały nadzór compliance (vCISO) i SOC 24/7
Cennik — trzy modele współpracy
Model 1 — Audyt luk (gap analysis)
Jednorazowy projekt kończący się raportem luk i roadmapą wdrożenia. Zakres: klasyfikacja podmiotu, ocena kontroli, dokumentacja istniejących luk z priorytetyzacją, plan działań naprawczych. Typowy czas realizacji: 3–6 tygodni. Najlepszy dla organizacji, które chcą zrozumieć skalę pracy przed decyzją o pełnym wdrożeniu lub potrzebują formalnego raportu na potrzeby zarządu.
Model 2 — Pełne wdrożenie
Projekt obejmujący wszystkie kroki od klasyfikacji po walidację i przekazanie procedury raportowania incydentów. Zakres: gap analysis, roadmap, dokumentacja SZBI/SCRM/IR/BCM, wsparcie wdrożeniowe, szkolenia, testy weryfikacyjne, tabletop exercise. Typowy czas realizacji: 3–9 miesięcy w zależności od dojrzałości i skali organizacji. Najlepszy dla podmiotów kluczowych i ważnych, które startują od zera lub mają znaczące luki.
Model 3 — Utrzymanie zgodności (retainer)
Stały nadzór nad zgodnością z KSC i NIS2 z dedykowanym opiekunem oraz dostępem do SOC 24/7 dla zgłoszeń incydentów. Zakres: kwartalne przeglądy SZBI, aktualizacje dokumentacji po zmianach w infrastrukturze, cykliczne testy weryfikacyjne, ćwiczenia tabletop, wsparcie podczas kontroli regulatora, mentoring zespołu cybersecurity. Najlepszy dla podmiotów, które już osiągnęły zgodność i chcą ją utrzymać oraz dla podmiotów kluczowych obowiązkowo raportujących incydenty w terminie 24h.
Indywidualną wycenę przygotowujemy po wstępnej rozmowie scopingowej (15–30 min) — bez kosztu po stronie klienta.
Dlaczego nFlo
- 200+ klientów w obszarze cyberbezpieczeństwa, w tym podmioty z sektorów objętych KSC i NIS2 (energia, ochrona zdrowia, finanse, infrastruktura cyfrowa, administracja publiczna)
- 98% retencja klientów — wskaźnik, który pokazuje, że nasi klienci zostają z nami w długoterminowych modelach utrzymania
- <15 min reakcja w SOC 24/7 — kluczowe dla spełnienia wymogu early warning 24h do CSIRT
- Zespół posiada certyfikaty CISSP, CISA, ISO 27001 Lead Auditor, OSCP, CEH — pełne pokrycie obszarów audytu, wdrożenia i testów weryfikacyjnych
- Doświadczenie z testami penetracyjnymi zgodnymi z wymogiem oceny skuteczności kontroli (art. 21 NIS2)
- Pełen ekosystem usług: od KSC compliance po vCISO, incident response i programy sektorowe takie jak Cyberbezpieczny Samorząd dla JST oraz compliance NIS2 dla pozostałych sektorów
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Powiązane usługi
- Compliance NIS2 i DORA — ogólne wdrożenie NIS2 i DORA dla 18 sektorów krytycznych
- Cyberbezpieczny Samorząd — dedykowana ścieżka dla JST z dotacją do 2 mln PLN
- Testy penetracyjne — pentesty weryfikacyjne wymagane przez art. 21 NIS2
- vCISO — stały nadzór nad programem cyberbezpieczeństwa i zgodnością z KSC
Skontaktuj się z opiekunem
Porozmawiaj o Zgodność z KSC i wdrożenie wymagań NIS2 z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Klasyfikacja podmiotu
Sprawdzamy czy jesteś podmiotem kluczowym, ważnym lub w łańcuchu dostaw OUK
Audyt luk
Gap analysis względem ustawy o KSC, NIS2 i sektorowych wytycznych
Plan wdrożenia
Priorytetyzowana roadmapa z timeline, budżetem i właścicielami zadań
Wdrożenie kontroli
SZBI, SCRM, IR, BCM, kryptografia, MFA, testy weryfikacyjne, szkolenia
Walidacja
Testy penetracyjne, audyt wewnętrzny, próba zgłoszenia incydentu (tabletop exercise)
Raportowanie 24h
Procedura zgłaszania do CSIRT NASK, retainer dla SOC 24/7, wsparcie podczas kontroli
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Unikasz kar do 10 mln EUR
Spełnione wymagania KSC i NIS2 dla podmiotów kluczowych i ważnych
Gotowość do kontroli
Pełna dokumentacja SZBI, SCRM, IR i BCM zgodna z wymaganiami regulatora
Raportowanie 24h
Procedura i SOC 24/7 spełniający termin early warning do CSIRT
Łańcuch dostaw odporny
Audyt i wymagania kontraktowe dla dostawców ICT (SCRM)
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Bezpieczeństwo OT/ICS w energetyce — dlaczego podejście znane z IT tu nie działa
Sieci sterowania w energetyce rządzą się inną logiką niż systemy biurowe — tu liczy się ciągłość procesu, a nie poufność danych. Pokazujemy, dlaczego narzędzia i odruchy przeniesione z IT zawodzą w środowisku OT i jak budować ochronę zgodną z IEC 62443 oraz wymaganiami KSC/NIS2.
Czytaj więcej →NIS2 w energetyce: od „audytu na papierze" do realnej odporności opartej na ryzyku
Spełnienie wymagań NIS2 to nie wypełniona checklista, lecz żywy program zarządzania ryzykiem. Wyjaśniamy, czym różni się zgodność „na papierze" od realnej odporności i jak operator energetyczny ma ustalać priorytety, gdy nie da się zabezpieczyć wszystkiego naraz.
Czytaj więcej →Podmiot kluczowy w energetyce — checklista obowiązków KSC/NIS2 i kluczowe terminy
Sektor energetyczny należy do podmiotów kluczowych w rozumieniu KSC/NIS2 — z najwyższym poziomem nadzoru i wymagań. Zebraliśmy obowiązki organizacyjne, techniczne i raportowe w jedną praktyczną checklistę wraz z kluczowymi terminami, od których warto zaplanować działania.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Zgodność z KSC i wdrożenie wymagań NIS2.
Czym różni się KSC od NIS2?
NIS2 to dyrektywa Unii Europejskiej, która sama z siebie nie tworzy bezpośrednich obowiązków dla firm w Polsce — wymaga implementacji do prawa krajowego. KSC (Krajowy System Cyberbezpieczeństwa) to polska ustawa, która te wymagania transponuje. W praktyce: jeśli podlegasz pod NIS2 w UE, w Polsce wypełniasz obowiązki wynikające z ustawy o KSC w wersji znowelizowanej pod NIS2. Audyt zgodności robimy pod oba akty równocześnie, bo definicje, terminy i kary są ze sobą powiązane.
Kogo dotyczy nowelizacja ustawy o KSC pod NIS2?
Nowelizacja rozszerza katalog podmiotów. Objęte są: operatorzy usług kluczowych (OUK) w sektorach takich jak energia, transport, bankowość, ochrona zdrowia, wodociągi, infrastruktura cyfrowa; dostawcy usług cyfrowych (cloud, marketplace, search engine); podmioty administracji publicznej oraz średnie i duże przedsiębiorstwa w 18 sektorach krytycznych. Dochodzi do tego pośrednie objęcie łańcucha dostaw — dostawcy ICT podmiotów kluczowych muszą spełniać wymagania kontraktowe SCRM.
Jakie kary grożą za niespełnienie wymagań KSC i NIS2?
Dla podmiotów kluczowych maksymalna kara to 10 mln EUR lub 2% globalnego obrotu (wyższa z kwot). Dla podmiotów ważnych — 7 mln EUR lub 1.4% obrotu. Dyrektywa NIS2 wprowadza także osobistą odpowiedzialność zarządu, w tym możliwość czasowego zakazu pełnienia funkcji kierowniczych. Polska ustawa o KSC dodaje administracyjne kary pieniężne i sankcje za niezgłoszenie incydentu w wymaganym terminie.
W jakim terminie muszę zgłosić incydent do CSIRT?
Obowiązują trzy poziomy zgłaszania. Early warning — w ciągu 24 godzin od wykrycia poważnego incydentu, z podstawowymi informacjami. Notification — w ciągu 72 godzin, ze wstępną oceną i danymi technicznymi. Final report — w ciągu 1 miesiąca od zdarzenia, z root cause analysis, opisem działań naprawczych i wnioskami. Zgłoszenia kieruje się do właściwego CSIRT — w Polsce najczęściej CSIRT NASK dla podmiotów cywilnych.
Czy KSC i NIS2 wymagają testów penetracyjnych?
Tak. Art. 21 dyrektywy NIS2 wprost wymaga regularnej oceny skuteczności środków zarządzania ryzykiem, co w praktyce realizuje się przez testy penetracyjne, audyty bezpieczeństwa i ćwiczenia red team. Dla podmiotów sektora finansowego dodatkowo obowiązują TLPT (Threat-Led Penetration Testing) pod DORA. Pentesty weryfikacyjne dostarczamy w ramach naszej usługi [testów penetracyjnych](/uslugi/testy-penetracyjne/) i są one zalecane co najmniej raz w roku oraz po każdej istotnej zmianie infrastruktury.
Czym różni się ta usługa od programu Cyberbezpieczny Samorząd?
Program [Cyberbezpieczny Samorząd](/uslugi/cyberbezpieczny-samorzad/) jest dedykowany jednostkom samorządu terytorialnego (gminy, powiaty, województwa) i opiera się na dotacji do 2 mln PLN. Niniejsza usługa KSC compliance jest skierowana do operatorów usług kluczowych, dostawców cyfrowych, podmiotów łańcucha dostaw oraz średnich i dużych przedsiębiorstw spoza JST — bez ścieżki dotacyjnej, za to z pełnym wsparciem w klasyfikacji podmiotu, wdrożeniu SZBI/SCRM, raportowaniu do CSIRT i utrzymaniu zgodności.
Czy łańcuch dostaw mojego klienta wymusza na mnie zgodność z KSC?
Tak — jeśli świadczysz usługi ICT (cloud, software, integracja, hosting, MSP) na rzecz podmiotu kluczowego w rozumieniu KSC/NIS2, ten podmiot ma obowiązek wymagać od Ciebie kontraktowo określonych kontroli bezpieczeństwa w ramach swojego procesu SCRM (Supply Chain Risk Management). W praktyce oznacza to klauzule o raportowaniu incydentów, prawie do audytu, MFA, kryptografii, zarządzaniu podatnościami i ciągłości działania. W ramach usługi pomagamy zarówno odbiorcom (jak budować program SCRM dla dostawców), jak i dostawcom (jak spełnić wymagania kontraktowe i zachować konkurencyjność).
Ile trwa wdrożenie zgodności z KSC i NIS2?
Czas wdrożenia zależy od dojrzałości organizacji i obecnego stanu kontroli. Audyt luk i klasyfikacja podmiotu zajmują typowo 3–6 tygodni. Wdrożenie brakujących kontroli (SZBI, SCRM, IR, BCM, kryptografia, MFA, raportowanie) — od 3 do 9 miesięcy w zależności od skali. Utrzymanie zgodności i raportowanie to proces ciągły, najczęściej w modelu retainer z dedykowanym opiekunem oraz dostępem do SOC 24/7 dla zgłoszeń incydentów.