Jak najlepiej przygotować się na kontrolę zgodności z NIS2 i spełnienie wymagań nowelizacji UKSC?

Tomasz Matuła Data publikacji: 12.12.2025 6 min. czytania

Subiektywny poradnik

Na wszystkich warsztatach i szkoleniach dot. NIS2 i nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, ale też większości rozmów z Zarządami czy zespołami IT/security pojawia się zawsze jedno pytanie. A pytanie to brzmi mniej więcej następująco: „Jak będą wyglądały kontrole/audyty zgodności z NIS2/UKSC i jak się do nich najlepiej przygotować?”

Zwykle wtedy odpowiadam tak jak większość prawników (chociaż sam nie jestem prawnikiem) „to się okaże w praniu”oraz „to zależy”. Zaraz potem doprecyzowuję jednak jakie w ogóle kontrole i audyty mogą być przeprowadzane a są przewidziane w nowelizacji UKSC, a są to:

  1. Kontrole po zaistniałym incydencie bezpieczeństwa lub istotnym naruszeniu przepisów., w ramach nadzoru następczego, które mogą być przeprowadzane zarówno w podmiotach kluczowych jak i ważnych,
  2. Kontrole w ramach cyklicznej kontroli stanu spełnienia obowiązków, w ramach nadzoru prewencyjnego, które mogą być przeprowadzane tylko w podmiotach kluczowych, 
  3. Kontrole doraźne, w uzasadnionych przypadkach, gdzie organ właściwy do spraw cyberbezpieczeństwa:
    1. może nakazać w drodze decyzji, przeprowadzenie zewnętrznego audytu bezpieczeństwa systemu informacyjnego,
    2. może również określić i doprecyzować zakres audytu. 
  4. Obowiązkowy, cykliczny audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi:
    1. raz na trzy lata, tylko podmioty kluczowe
    2. przy czym pierwszy audyt musi zostać wykonany w ciągu 24 miesięcy

W przypadku wszystkim ww kontroli oraz obowiązkowego, cyklicznego audytu ich zakres musi być ściśle powiązany z wymogami i obowiązkami w zakresie cyberbezpieczeństwa nakładanymi na podmioty przez ustawę.

UWAGA: Ustawa nie dostarcza i nie dostarczy bezpośrednio szczegółowej listy kontrolnej dla audytu czy kontroli, wskazuje natomiast że audyt ten ma weryfikować bezpieczeństwo systemu informacyjnego wykorzystywanego w procesie świadczenia usługi

Podstawa audytu i kontroli – obowiązki w ramach SZBI 

Innymi słowy obowiązki, które podmiot musi wdrożyć w ramach systemu zarządzania bezpieczeństwem informacji (SZBI), stanowią jednocześnie podstawę do przeprowadzanego audytu czy kontroli, obejmują między innymi:

Zarządzanie ryzykiem i środki techniczne/organizacyjne

Audyt musi obejmować weryfikację, czy podmiot:

  • Prowadzi systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządza tym ryzykiem.
  • Wdrożył odpowiednie i proporcjonalne środki techniczne i organizacyjne do oszacowanego ryzyka. Środki te są obszerne i obejmują:
  • Polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego.
  • Bezpieczeństwo w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego (w tym testowanie systemu).
  • Bezpieczeństwo fizyczne i środowiskowe, w tym kontrole dostępu.
  • Bezpieczeństwo zasobów ludzkich.
  • Bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT.
  • Wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działaniaplanów awaryjnych oraz planów odtworzenia działalności.
  • Objęcie systemu informacyjnego ciągłym monitorowaniem.
  • Polityki i procedury oceny skuteczności środków technicznych i organizacyjnych.
  • Edukacja personelu z zakresu cyberbezpieczeństwa i podstawowe zasady cyberhigieny.
  • Polityki i procedury stosowania kryptografii, w tym szyfrowania.
  • Stosowanie bezpiecznych środków komunikacji elektronicznej, uwzględniających w stosownych przypadkach uwierzytelnianie wieloskładnikowe.
  • Zarządzanie aktywami i polityki kontroli dostępu.

Zarządzanie Incydentami

Audyt ocenia, czy podmiot wdrożył odpowiednie procedury w zakresie:

  • Zbierania informacji o cyberzagrożeniach i podatnościach na incydenty.
  • Zarządzania incydentami, co obejmuje obsługę incydentu, wyszukiwanie wzajemnych zależności i powiązań, usuwanie przyczyn oraz opracowywanie wniosków, które na przyszłość mają zapewnić poprawę cyber odporności.

Zapobieganie i ograniczanie wpływu incydentów

Ważnym elementem audytu jest sprawdzenie środków mających na celu zapobieganie incydentom i ograniczanie ich wpływu, w tym:

  • Stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych.
  • Regularne przeprowadzanie aktualizacji oprogramowania.
  • Ochrona przed nieuprawnioną modyfikacją systemu.
  • Niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń (w tym czasowe ograniczenie ruchu sieciowego).

Najlepsze praktyki i wskazówki w przygotowaniu do audytu/kontroli NIS 2 i nowelizacji UKSC

Przygotowanie do audytu zgodności z Dyrektywą NIS 2 i nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) wymaga opartego na ryzyku podejścia oraz zaangażowania a nie tylko udawanego wsparcia kierownictwa podmiotu. 

Wychodząc z ww obowiązków określonych w UKSC oraz nakładając na to dobre praktyki połączone z pragamatyką rekomenduję zawsze możliwie kompleksowe podejście, uwzględniając m.in.:

Zarządzanie i odpowiedzialność 

1. Zapewnienie pełnej świadomości i poczucia odpowiedzialności Zarządu/Kierownika Podmiotu 

  • Najważniejszym krokiem jest upewnienie się, że Kierownictwo Podmiotu jest świadome, że NIS 2/nowelizacja UKSC mają duży wpływ na organizację i ponosi osobistą odpowiedzialność za spełnienie obowiązków w zakresie cyberbezpieczeństwa.
  • Kierownik podmiotu musi wiedzieć, że to on podejmuje decyzje dotyczące przygotowania, wdrażania, stosowania, przeglądu i nadzoru nad Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) oraz planować adekwatne środki finansowe na realizację obowiązków. 
  • Wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych leży w gestii Zarządu/Kierownika Podmiotu.
  • UWAGA: Jeśli okazało by się w czasie kontroli, że Zarząd/Kierownik Podmiotu nie ma ww świadomości to przynajmniej ja na miejscu kontrolujących „wlepił bym karę” :-p

2. Analiza GAP 

  • Byłoby wskazane, by na pytanie jak podmiocie podeszliście do spełnienia obowiązków NIS2/UKSC wskazać, że przeprowadziliśmy uczciwą ocenę wymagań UKSC w porównaniu z bieżącym stanem naszej organizacji (Analiza GAP)
  • a na podstawie ww, określiliśmy, jakie działania (procesy, kompetencje, dokumentacje, narzędzia itp.) musimy poprawić lub wdrożyć 

3. Wdrożenie i utrzymanie SZBI w oparciu o ryzyko 

  • Prowadzenie systematycznego szacowania ryzyka w podejściu opartym na „all hazard approach”: Szacowanie ryzyka (identyfikacja, analiza, ocena, priorytetyzacja) powinno być przeprowadzane moim zdaniem co najmniej raz do roku lub po ważnej zmianie. 
  • Analiza ryzyka powinna uwzględniać cztery atrybuty: dostępność, poufność, integralność oraz autentyczność (jeśli tego atrybutu nie uwzględnia – ja nie jestem jego fanem – to należy wykazać, że obejmuje go integralność), oraz otoczenie wewnętrzne i zewnętrzne. 
  • ZAWSZE to analiza ryzyka musi być podstawą do wyboru i wdrożenia konkretnych zabezpieczeń i to musimy WYKAZAĆ.
  • Polityka szacowania ryzyka: Musimy posiadać metodykę szacowania i zarządzania ryzykiem, obejmującą podejście „all hazard approach” i utrzymywać aktualizowany rejestr ryzyk.

Kluczowe obowiązki operacyjne

1. Zarządzanie Incydentami Wymagane jest wdrożenie kompleksowego procesu zarządzania incydentami obejmującego: politykę obsługi, monitorowanie/wykrywanie, rejestrowanie, zgłaszanie podejrzanych zdarzeń, ocenę/klasyfikację, reagowanie oraz przeglądy po wystąpieniu incydentu.

  • Jeśłi nie mamy to należy powołać wewnętrzną strukturę odpowiedzialną za cyberbezpieczeństwo (lub zawrzeć umowę z dostawcą usług zarządzanych w zakresie cybersec),
  • Zespół reagowania na incydenty powinien aktywnie reagować, izolować zagrożenie, gromadzić dowody.
  • Wymogi czasowe zgłaszania incydentów poważnych: Musimy zapewnić procesy umożliwiające zgłoszenie wczesnego ostrzeżenia o incydencie poważnym do CSIRT sektorowego nie później niż w ciągu 24 godzin od wykrycia a Zgłoszenie incydentu poważnego musi nastąpić nie później niż w ciągu 72 godzin od wykrycia
  • System S46: Należy pamiętać, że korzystanie z systemu S46 będzie obowiązkowe jako główny środek komunikacji i pojedynczy punkt kontaktowy dla wymiany informacji o incydentach, cyberzagrożeniach i podatnościach z CSIRT-ami,
  • UWAGA: Jeśli „lekce sobie ważymy” dotrzymanie czasów zgłaszania wczesnych ostrzeżeń czy samych incydentów poważnych to jest to moim zdaniem najlepsza droga do uzyskania zacnej kary.

2. Ciągłe monitorowanie zagrożeń i zbieranie danych CTI 

  • System informacyjny musi być objęty systemem monitorowania w trybie ciągłym.
  • Telemetria i logi: Kluczowe jest zbieranie telemetrii i retencja logów do analiz, a także korelacja różnych źródeł danych (endpointy, sieć, serwery, aplikacje) w czasie rzeczywistym, aby móc udowodnić zdolność do reagowania na zagrożenia.
  • Aktywne śledzenie zagrożeń: Należy aktywnie śledzić ogłoszenia CSIRT-ów, naszego sektorowego CSIRT, a także uwzględniać feed-y z Cyber Threat Intelligence (CTI) na poziomie branżowym lub lokalnym. Zbieranie informacji może odbywać się samodzielnie, poprzez narzędzia (SIEM, XDR) lub usługi zewnętrzne.

3. Zarządzanie bezpieczeństwem łańcucha dostaw  

  • Dyrektywa NIS 2 i nowela UKSC kładzie duży nacisk na bezpieczeństwo łańcucha dostaw.
  • Rejestr dostawców i analiza ryzyka: Prowadź i aktualizuj rejestr wszystkich bezpośrednich dostawców (Tier 1) z klasyfikacją pod kątem cyber ryzyk, podatności i krytyczności dostarczanych usług. 
  • Przeprowadzaj cykliczną analizę ryzyk dla dostawców ICT, zwłaszcza tych mających dostęp do systemów informacyjnych, uczestniczących w przetwarzaniu danych lub dostarczających rozwiązania cyberbezpieczeństwa.
  • Wymogi kontraktowe: Standaryzowane wymagania cyberbezpieczeństwa powinny być moim zdaniem zawarte w umowach, w tym obowiązek zgłaszania incydentów, prawo do audytu oraz zobowiązanie do postępowania z podatnościami.

Dokumentacja, audyt, testy i szkolenia

1. Stosowanie i aktualizacja dokumentacji 

  • Czy to nam się podoba czy nie wymagane jest opracowanie, stosowanie i aktualizacja dokumentacji normatywnej (SZBI, ochrony infrastruktury, ciągłości działania) oraz dokumentacji operacyjnej.
  • Kluczowa dokumentacja operacyjna: Zadbaj o szczegółowe zapisy poświadczające wykonywanie czynności wymaganych przez dokumentację normatywną, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych. 
  • UWAGA: Dokumentacja operacyjna jest kluczowa, aby móc udowodnić zgodność z rzeczywistością podczas kontroli – jeśłi posiadasz piękną, dopracowaną politykę zarządzania backupami a nie będziesz w stanie udowodnić, że backupy cyklicznie wykonujesz i sprawdzasz poprawność ich odtwarzania to ja na miejscu kontrolerów nałożył bym karę🙂
  • Polityki tematyczne: Wprowadź polityki tematyczne, w tym: politykę kontroli dostępu (z zasadą least privilege access), kryptografii, czystego biurka, klasyfikacji informacji, zarządzania incydentami oraz politykę dotyczącą nośników wymiennych itp.

2. Audyt i testowanie zabezpieczeń 

  • Podmioty kluczowe muszą przeprowadzać audyt bezpieczeństwa systemu informacyjnego raz na trz lata (pierwszy audyt w ciągu 24 miesięcy).
  • Cykliczne testy: Stosuj polityki i procedury oceny skuteczności środków technicznych i organizacyjnych, w tym cykliczne i realistyczne kampanie phishingowe, cykliczne audyty bezpieczeństwa, testy penetracyjne, skany podatności oraz ćwiczenia Red/Blue Team.
  • Zarządzanie podatnościami: Pozyskuj informacje o podatnościach technicznych (z CSIRT-ów, od dostawców, CTI), przeprowadzaj cykliczne skany podatności i niezwłocznie usuwaj krytyczne podatności zgodnie z procedurami zarządzania zmianą i ryzykiem.

3. Edukacja i cyberhigiena 

  • UWAGA: wybitnie ważny obszar – moim zdaniem każdy audyt i kontrola będzie w szczególności na niego zwracała uwagę
  • Zapewnij edukację z zakresu cyberbezpieczeństwa dla całego personelu
  • Szkolenia dostosowane do ról: Szkolenia muszą być dostosowane do specyfiki organizacji i poszczególnych stanowisk. 
  • Pamiętaj, że szkolenia powinny obejmować również dostawców i usługodawców (Tier 1).
  • Szkolenia dla Zarządu: Kierownik podmiotu musi brać udział w szkoleniach dotyczących oceny ryzyka i praktyk zarządzania cyberbezpieczeństwem co najmniej raz do roku.

Czego należy unikać – „pułapki”, w które lubimy wpadać

Moim zdaniem należy wystrzegać się szczególnie następujących błędów:

Podsumowując, moim zdaniem co najmniej w zakresie NIS2 i nowelizacji UKSC nie powinno się liczyć na cuda – najlepsze przygotowanie do audytui kontroli opiera się na podstawowych elementach:

  • pełne zaangażowanie i nadzór Kierownika podmiotu/Zarządu, 
  • wdrożenie SZBI opartego na systematycznej analizie ryzyka (obejmującej aktywa, dostawców i incydenty), 
  • rygorystyczne zarządzanie incydentami z wymaganymi czasami raportowania,
  • utrzymanie kompletnej dokumentacji operacyjnej,
  • szkolenia i edukacja personelu. 

Musisz nie tylko wdrożyć zabezpieczenia, ale przede wszystkim być w stanie udowodnić, że są one stosowane i regularnie testowane.

Pamiętajmy, że ważniejsze od naszego przygotowywania się do pozytywnego przejścia audytu czy kontroli jest realna, prawdziwa cyberodporność naszej organizacji. Co nam po pozytywnym audycie, jeśli cyber przestępcy wykradną strategiczne dane naszej firmy czy unieruchomią naszą organizację na wiele dni czy tygodni…

Tomasz Matuła – ekspert w obszarze technologii, cyberbezpieczeństwa i transformacji cyfrowej, wieloletni lider IT w Orange Polska i Telekomunikacji Polskiej. Doradca zarządów i organizacji jako Technology & Business Trusted Advisor, współtwórca programów rozwojowych CIONET Polska i Digital Excellence. Specjalizuje się w budowie strategii bezpieczeństwa, zarządzaniu infrastrukturą ICT oraz wspieraniu liderów IT w skutecznym łączeniu technologii z celami biznesowymi. Prelegent, mentor i aktywny uczestnik środowiska CIO w Polsce.

Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?






    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.

    Grupa Trecom

    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać