Audyt zgodności z uKSC i NIS2 to nie produkt z półki. To narzędzie diagnostyczne, którego wartość zależy bezpośrednio od stanu organizacji, która po nie sięga.
Audyt przeprowadzony zbyt wcześnie — zanim organizacja poukłada podstawy — to kosztowna lista braków bez mapy drogowej. Audyt przeprowadzony zbyt
późno — po upływie ustawowych terminów, bez wdrożonych struktur — to ryzyko sankcji zamaskowane pod pozorem formalnej staranności.
Pytanie, które warto sobie zadać zanim podniesiesz słuchawkę i zadzwonisz do audytora, brzmi:
Czy wiem, co audyt ma potwierdzić – czy dopiero chcę się dowiedzieć, od czego zacząć?
Jeśli odpowiedź brzmi „chcę się dowiedzieć od czego zacząć” – audyt zgodności jest przedwczesnym krokiem.
Audyt zgodności vs audyt gotowości – czym się różnią?
To rozróżnienie jest kluczowe, bo wiele organizacji, gdy słyszy „audyt KSC2”, myśli o jednej rzeczy, a potrzebne są oba audyty tylko w innych sytuacjach. W rzeczywistości są to dwa zupełnie inne projekty: o różnym charakterze prawnym, różnych wymaganiach wobec audytora i różnej funkcji dla organizacji.
Audyt zgodności – obowiązek ustawowy
Audyt zgodności to audyt bezpieczeństwa systemu informacyjnego w rozumieniu art. 15 uKSC. Jest to obowiązek ustawowy każdego operatora usługi kluczowej — przeprowadzany co najmniej raz na 2 lata, a po raz pierwszy w terminie roku od dnia doręczenia decyzji o uznaniu za OUK.
Ustawa definiuje też, czym jest „praktyka”: to udokumentowane przeprowadzenie w ciągu ostatnich 3 lat co najmniej 3 audytów bezpieczeństwa systemów informacyjnych lub ciągłości działania albo wykonywanie takich audytów w wymiarze co najmniej 1/2 etatu.
Produktem audytu zgodności jest pisemne sprawozdanie wraz z dokumentacją, które operator przechowuje i (na uzasadniony wniosek) udostępnia organowi właściwemu ds. cyberbezpieczeństwa, Rządowemu Centrum Bezpieczeństwa lub Agencji Bezpieczeństwa Wewnętrznego. Brak przeprowadzenia audytu grozi karą do 200 000 zł oraz osobistą odpowiedzialnością finansową kierownika OUK.
Audyt gotowości – narzędzie doradcze
Audyt gotowości nie jest pojęciem ustawowym. To praktyczne narzędzie konsultingowe i prawne, którego celem jest ocena stanu przygotowania organizacji do spełnienia wymogów uKSC, zanim zostanie przeprowadzony audyt zgodności. Może go przeprowadzić kancelaria prawna, firma doradcza lub specjalista ds. cyberbezpieczeństwa, którzy mogą, ale nie muszą spełniać żadnych szczególnych wymogów kwalifikacyjnych określonych w ustawie.
Jego wynik nie jest dokumentem urzędowym, nie zastępuje audytu z art. 15 i nie „zalicza” obowiązku ustawowego. Właśnie dlatego jest tak wartościowy: daje szczery obraz luk bez ryzyka formalnych konsekwencji, pozwala ustalić priorytety wdrożeniowe i, co najważniejsze, sprawia, że właściwy audyt zgodności staje się weryfikacją dojrzałości, a nie listą zaskoczeń.
Które organizacje mają obowiązek audytu zgodności?
Zanim przejdziemy do listy kontrolnej, fundamentalne pytanie: czy i w jakim charakterze jesteś objęty ustawą o krajowym systemie cyberbezpieczeństwa?
Ustawa KSC implementując dyrektywę NIS2 wprowadza nową architekturę podmiotową. Wyróżnia dwie kategorie podmiotów: podmioty kluczowe oraz podmioty ważne. To rozróżnienie ma bezpośrednie i zasadnicze znaczenie dla obowiązku audytu.
Podmioty kluczowe objęte są obowiązkiem cyklicznego audytu bezpieczeństwa systemu informacyjnego. Podmiot kluczowy przeprowadza, na własny koszt, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi – co najmniej raz na 3 lata, licząc od dnia sporządzenia i podpisania raportu z poprzedniego audytu.
Podmioty ważne nie mają ustawowego obowiązku cyklicznego audytu. Organ właściwy do spraw cyberbezpieczeństwa może jednak nakazać przeprowadzenie zewnętrznego audytu podmiotowi ważnemu, ale wyłącznie w razie wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy. Audyt podmiotu ważnego jest więc z natury reaktywny, nie planowy.
Kiedy przeprowadzić pierwszy audyt zgodności?
Co do zasady podmiot kluczowy zapewnia przeprowadzenie audytu po raz pierwszy w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny. Jeżeli podmiot został uznany za kluczowy lub ważny decyzją organu, pierwszy audyt przeprowadza się w terminie 24 miesięcy od dnia doręczenia tej decyzji.
Dla podmiotów, które już w dniu wejścia w życie ustawy spełniają przesłanki uznania za podmiot kluczowy, termin pierwszego audytu wynosi 24 miesiące od dnia wejścia w życie ustawy.
Co istotne: termin ten nie biegnie od „kiedy nam wygodnie”, ale biegnie od momentu nabycia statusu lub wejścia w życie ustawy. Warto więc jak najwcześniej ustalić, czy i kiedy organizacja stała się podmiotem kluczowym.
Ważne zastrzeżenie dla sektora finansowego — DORA
Dla podmiotów kluczowych i ważnych z sektora bankowości i infrastruktury rynków finansowych ustawa wyłącza stosowanie przepisów uKSC dotyczących systemu zarządzania bezpieczeństwem informacji oraz zgłaszania poważnych incydentów — w zakresie, w jakim podmioty te mają obowiązek stosować rozporządzenie DORA (UE) 2022/2554.
Oznacza to, że dla banków i instytucji finansowych objętych DORA obowiązek cyklicznego audytu z uKSC nie istnieje – nie „zmienia się zakresowo”, lecz odpada w całości, zastąpiony reżimem testowania odporności cyfrowej przewidzianym przez DORA. To fundamentalna różnica, którą należy uwzględnić już na etapie planowania audytu.
Niezależność audytora – wymóg ustawowy
Ustawa wprost wprowadza wymóg niezależności: audytu nie może przeprowadzać osoba, która w audytowanym podmiocie realizuje lub realizowała, w ciągu roku przed audytem, zadania z zakresu zarządzania bezpieczeństwem systemu informacyjnego.
Innymi słowy: wewnętrzny specjalista ds. cyberbezpieczeństwa nie może jednocześnie być audytorem w tym samym podmiocie. To nie formalność, to wymóg, którego naruszenie podważa ważność całego audytu. Warto to sprawdzić, zanim podpiszesz umowę z podmiotem proponującym audyt.
Raport z audytu – nowy obowiązek automatycznego przekazania
W odróżnieniu od poprzedniego stanu prawnego, gdzie sprawozdanie było udostępniane organowi „na wniosek”, nowa ustawa wprowadza obowiązek aktywny: podmiot kluczowy ma obowiązek przekazać kopię raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych od dnia jego otrzymania drogą elektroniczną. Raport trafia do organu nadzoru automatycznie i niemal natychmiast. To zmienia charakter audytu z narzędzia wewnętrznego w dokument o wymiarze nadzorczym.
Co warto sprawdzić przed audytami gotowości i zgodności? Checklista
Poniższa lista kontrolna nie jest zastępnikiem audytu. To jego warunek wstępny. Przed zleceniem audytu przejdź przez każdy z pięciu bloków i odpowiedz szczerze na pytania. Wynik tej refleksji powie ci więcej niż niejeden raport z audytu pobranego „z półki”.
Warto też pamiętać, że lista ma cel praktyczny: jest podstawą do przeprowadzenia audytu gotowości (gap analysis) — narzędzia doradczego, które nie zastępuje formalnego audytu zgodności, ale pozwala do niego rzetelnie się przygotować. Audyt zgodności przeprowadzony na nieuporządkowanym gruncie daje listę braków, nie mapę drogową. Audyt zgodności przeprowadzony po audycie gotowości daje realny obraz dojrzałości organizacji — i trafia do organu nadzoru w terminie 3 dni roboczych od jego otrzymania.
Blok 1 – Status podmiotu i zakres obowiązków
- Czy jestem podmiotem kluczowym czy podmiotem ważnym — i skąd to wiem?
- Który sektor i organ właściwy do spraw cyberbezpieczeństwa są dla mnie właściwe?
- Czy dotyczy mnie wyłącznie uKSC / NIS2, czy również DORA?
- Czy spełniam warunki terytorialne objęcia ustawą (siedziba, zarząd, główne miejsce prowadzenia działalności)?
Ustawa wyróżnia podmioty kluczowe i podmioty ważne – kategorie te są określane na podstawie sektora działalności wskazanego w załącznikach do ustawy oraz, w wielu przypadkach, wielkości przedsiębiorstwa. Przynależność do danej kategorii determinuje zakres obowiązków i reżim nadzorczy. Kwestia terytorialna ma samodzielne znaczenie – ustawa stosuje zasady głównego miejsca prowadzenia działalności, powiązane m.in. z siedzibą kierownika podejmującego decyzje dotyczące systemu zarządzania bezpieczeństwem informacji. Podmioty z sektora bankowości i infrastruktury rynków finansowych objęte rozporządzeniem DORA (UE) 2022/2554 podlegają wyłączeniom w zakresie części obowiązków uKSC – w tym dotyczących systemu zarządzania bezpieczeństwem i raportowania incydentów. Bez wiedzy o własnym statusie regulacyjnym niemożliwe jest określenie zakresu audytu, właściwego audytora i priorytetów wdrożeniowych.
Blok 2 – Etap wdrożenia i dojrzałość organizacji
- Czy jestem przed wdrożeniem, w trakcie, czy po wdrożeniu systemu zarządzania bezpieczeństwem informacji?
- Jakie obowiązki są już wymagalne – biorąc pod uwagę datę nabycia statusu podmiotu kluczowego lub ważnego?
- Czy mam wdrożony, działający system zarządzania bezpieczeństwem informacji (SZBI)?
Ustawa wymaga, aby podmiot kluczowy wdrożył system zarządzania bezpieczeństwem informacji obejmujący co najmniej: systematyczne szacowanie ryzyka i zarządzanie nim, polityki bezpieczeństwa informacji, procedury obsługi incydentów, środki zapewniające ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo przy pozyskiwaniu i utrzymaniu systemów, zarządzanie podatnościami, polityki i procedury oceny skuteczności środków cyberbezpieczeństwa, szkolenia z cyberbezpieczeństwa i cyberhigieny, polityki dotyczące kryptografii i szyfrowania, bezpieczeństwo zasobów ludzkich, kontrolę dostępu i zarządzanie aktywami, stosowanie uwierzytelniania wieloskładnikowego tam, gdzie jest to zasadne. Co do zasady obowiązki te powinny zostać wdrożone w terminie 12 miesięcy od nabycia statusu, a pierwszy audyt przeprowadzony w terminie 24 miesięcy.
Audyt gotowości przeprowadzony przed upływem 12-miesięcznego terminu wdrożenia ma charakter diagnostyczny, pozwala wskazać luki i uszeregować priorytety.
Blok 3 – Odpowiedzialność i właściciele działań
- Czy mam jasno przypisane role i odpowiedzialność za ryzyko, incydenty, dokumentację i relację z organem nadzoru?
- Czy wiadomo, kto jest właścicielem kluczowych działań, a kto tylko „uczestniczy w procesie”?
- Czy kierownik podmiotu aktywnie nadzoruje SZBI — i czy ma udokumentowane szkolenie z cyberbezpieczeństwa?
Ustawa wprost nakłada na kierownika podmiotu kluczowego odpowiedzialność za wykonywanie obowiązków z uKSC: kierownik podejmuje decyzje dotyczące systemu zarządzania bezpieczeństwem informacji, planuje środki finansowe na jego realizację, przydziela zadania i nadzoruje ich wykonanie oraz zapewnia zgodność z przepisami prawa i regulacjami wewnętrznymi. Kierownik oraz osoba, której powierzono obowiązki w zakresie cyberbezpieczeństwa ma obowiązek odbyć coroczne szkolenie z zakresu cyberbezpieczeństwa, a udział w szkoleniu powinien być udokumentowany.
Odpowiedzialność osobista kierownika jest realna: ustawa przewiduje możliwość nałożenia kary pieniężnej na kierownika podmiotu za naruszenie obowiązków, w tym dotyczących SZBI, dokumentacji, zgłaszania incydentów i audytu — z limitem sięgającym do 300% wynagrodzenia w przypadku kierowników podmiotów prywatnych. Brak jasnych właścicieli procesów to jeden z najczęstszych i najbardziej kosztownych braków wykrywanych w audytach — warto to ustalić przed, a nie w trakcie audytu zgodności.
Blok 4 – Gotowość operacyjna i dokumentacyjna
- Czy mam kompletną, nadzorowaną dokumentację bezpieczeństwa — z wersjonowaniem i kontrolą dostępu?
- Czy mam wdrożone procedury klasyfikacji i zgłaszania incydentów — w tym wczesne ostrzeżenie w 24 godziny i pełne zgłoszenie w 72 godziny?
- Czy mój model operacyjny — wewnętrzny zespół / outsourcing / model mieszany — realnie spełnia wymagania ustawowe?
- Czy osoby realizujące zadania z zakresu cyberbezpieczeństwa przeszły wymaganą weryfikację niekaralności?
Ustawa wymaga opracowania, stosowania i aktualizowania dokumentacji bezpieczeństwa systemu informacyjnego, a także sprawowania nadzoru nad tą dokumentacją — obejmującego kontrolę dostępu, ochronę przed utratą i zniszczeniem oraz wersjonowanie zmian. Dokumentacja musi być przechowywana co najmniej przez 2 lata od jej wycofania z użytkowania lub zakończenia świadczenia usługi — z odrębnymi regułami archiwalnymi przewidzianymi w przepisach szczególnych.
W zakresie incydentów ustawa wprowadza dwustopniowy reżim raportowania: wczesne ostrzeżenie o incydencie poważnym musi zostać zgłoszone niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia, a pełne zgłoszenie incydentu poważnego — nie później niż w ciągu 72 godzin. Następnie wymagane jest sprawozdanie końcowe w terminie miesiąca od daty zgłoszenia, przekazywane za pośrednictwem dedykowanego systemu teleinformatycznego.
Ustawa dopuszcza zarówno wewnętrzne struktury cyberbezpieczeństwa, jak i outsourcing do dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa. Niezależnie od wybranego modelu operacyjnego, osoby realizujące zadania z zakresu zarządzania bezpieczeństwem informacji i obsługi incydentów podlegają weryfikacji niekaralności za przestępstwa przeciwko ochronie informacji — z wyjątkiem przypadków posiadania ważnego poświadczenia bezpieczeństwa na poziomie co najmniej „poufne”.
Brak dokumentacji to brak dowodu na spełnienie obowiązku — nawet jeśli środki faktycznie działają. To element, który audytor sprawdza w pierwszej kolejności.
Blok 5 – Historia i wiarygodność audytu
- Jakie były wyniki poprzednich audytów?
- Czy zalecenia z audytu i zalecenia pokontrolne zostały wdrożone — i w terminie?
- Czy podmiot przeprowadzający audyt spełnia wymóg niezależności i kwalifikacji ustawowych?
Organ właściwy może nakazać — w drodze decyzji — wdrożenie zaleceń wydanych w wyniku przeprowadzonego audytu. Organ przekazuje zalecenia pokontrolne z wyznaczonym terminem usunięcia nieprawidłowości, a niewykonanie tych zaleceń w terminie podlega karze pieniężnej.
Podmiot kluczowy przeprowadza audyt co najmniej raz na 3 lata. Organ nadzoru może w każdym czasie nakazać przeprowadzenie audytu zewnętrznego — określając termin, uprawnione podmioty i zakres — a decyzja taka jest natychmiast wykonalna. Kopia raportu z audytu musi zostać przekazana organowi właściwemu w terminie 3 dni roboczych od jego otrzymania.
Kluczowy wymóg: audytu nie może przeprowadzać osoba, która w audytowanym podmiocie realizuje — lub realizowała w ciągu roku przed audytem — zadania z zakresu zarządzania bezpieczeństwem informacji lub obsługi incydentów. Naruszenie wymogu niezależności podważa ważność całego audytu.
Audyt z listą rekomendacji, których nikt nie wdrożył, to w postępowaniu nadzorczym dowód przeciwko organizacji, nie dowód staranności. Historia audytów i stopień realizacji zaleceń to aktywo lub zobowiązanie — warto wiedzieć, po której stronie bilansu się znajdujesz, zanim raport z kolejnego audytu trafi automatycznie do organu nadzoru.
Co grozi, jeśli audyt odsłoni luki, albo jeśli go nie ma?
Warto mieć przed oczami skalę konsekwencji. Nowa ustawa uKSC całkowicie przebudowała system kar – odchodząc od symbolicznych, stałych kwot na rzecz modelu procentowego, powiązanego z przychodami podmiotu. To zmiana o zasadniczym znaczeniu praktycznym: im większa organizacja, tym wyższe ryzyko finansowe.
Kary dla podmiotów kluczowych
Kara pieniężna dla podmiotu kluczowego nie może przekroczyć 10 000 000 euro (przeliczonych na złote według kursu NBP z 31 grudnia roku poprzedzającego rok wydania decyzji) lub 2% przychodów osiągniętych z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Zastosowanie ma kwota wyższa. Kara nie może być niższa niż 20 000 zł.
Kary dla podmiotów ważnych
Kara pieniężna dla podmiotu ważnego nie może przekroczyć 7 000 000 euro lub 1,4% przychodów osiągniętych z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Kara nie może być niższa niż 15 000 zł.
Za co grozi kara?
Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który m.in.: nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza tym ryzykiem; nie wdrożył systemu zarządzania bezpieczeństwem informacji lub system ten nie spełnia wymogów ustawowych; nie wykonuje obowiązków dokumentacyjnych; nie wykonuje obowiązków dotyczących zgłaszania incydentów; nie przeprowadził audytu w terminie; nie wykonał w wyznaczonym terminie zaleceń pokontrolnych.
Kara przy naruszeniu wywołującym zagrożenie systemowe
Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług — organ właściwy nakłada karę w wysokości do 100 000 000 zł.
Kara dla kierownika podmiotu — odpowiedzialność osobista
Karze pieniężnej może podlegać kierownik podmiotu kluczowego lub podmiotu ważnego, który m.in. nie wykonuje obowiązków dotyczących SZBI, dokumentacji, zgłaszania incydentów lub audytu — jeżeli przemawia za tym czas, zakres lub charakter naruszenia. Kara może być wymierzona kierownikowi podmiotu prywatnego w kwocie nie większej niż 300% jego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. W przypadku kierownika podmiotu publicznego górna granica wynosi 100% wynagrodzenia.
Kara na kierownika jest niezależna od kary nałożonej na podmiot — można ją nałożyć niezależnie od kary pieniężnej nałożonej na sam podmiot za niewykonanie tych samych obowiązków.
Kara okresowa — za każdy dzień opóźnienia
Niezależnie od kary zasadniczej organ właściwy może nałożyć na podmiot kluczowy albo podmiot ważny, w drodze decyzji, okresową karę pieniężną w wysokości od 500 zł do 100 000 zł za każdy dzień opóźnienia w wykonaniu decyzji wydanych przez organ w ramach środków nadzorczych.
Podsumowanie — tabela nowego systemu kar
| Podmiot | Maksymalna kara | Minimum |
| Podmiot kluczowy | 10 000 000 EUR lub 2% przychodów (wyższa z kwot) | 20 000 zł |
| Podmiot ważny | 7 000 000 EUR lub 1,4% przychodów (wyższa z kwot) | 15 000 zł |
| Zagrożenie systemowe (każdy podmiot) | 100 000 000 zł | — |
| Kierownik podmiotu prywatnego | 300% wynagrodzenia | — |
| Kierownik podmiotu publicznego | 100% wynagrodzenia | — |
| Kara okresowa (za dzień opóźnienia) | 100 000 zł/dzień | 500 zł/dzień |
Nowy system kar to jakościowy przeskok w stosunku do poprzednich, stałych kwot. Dla dużej organizacji maksymalna kara może sięgać dziesiątek milionów złotych. Audyt gotowości to nie koszt — to ochrona przed znacznie wyższym kosztem. Ale tylko wtedy, gdy jest przeprowadzony w odpowiednim momencie i pozwala organizacji wejść na audyt zgodności z poukładanymi podstawami, a nie z listą nieusuniętych luk.
Najpierw status. Potem audyt.
W praktyce audyt zgodności nie powinien być pierwszym krokiem.
Najpierw warto uporządkować trzy rzeczy: status podmiotu, zakres obowiązków i poziom gotowości organizacji. Dopiero wtedy audyt daje realny obraz — a nie tylko formalną ocenę.
Nie wiesz, od czego zacząć? Skorzystaj z NIS2 Testera — narzędzia, które w kilka minut pomaga określić, czy i w jakim zakresie Twoja organizacja jest objęta uKSC oraz jakie obowiązki są dla Ciebie aktualne. To pierwszy krok, który pozwala zadać audytorowi właściwe pytania — i dostać na nie użyteczne odpowiedzi.
