Proxmox Reseller Oficjalny Reseller
699 715 046
699 715 035

Audyt NIS2 — zgodność z dyrektywą i ustawą KSC. Ceny, zakres, terminy

Audyt zgodności z dyrektywą NIS2 (2022/2555) i polską ustawą o krajowym systemie cyberbezpieczeństwa. Analiza GAP, plan wdrożenia, raport końcowy. Audytor Wiodący ISO/IEC 27001:2023. Cena od 5000 zł netto, wycena w 24 h.

Krótka odpowiedź

Audyt NIS2 w Sztorm IT od 5000 zł netto. Wykonujemy audyt zgodności z dyrektywą NIS2 (2022/2555) i polską ustawą o krajowym systemie cyberbezpieczeństwa (KSC). Zakres: analiza GAP, inwentaryzacja aktywów IT/OT, ocena ryzyka cybernetycznego, przegląd polityk bezpieczeństwa, audyt techniczny (firewall, segmentacja, backup, MFA), audyt łańcucha dostaw, plan działań naprawczych z priorytetami, raport końcowy + executive summary.

3 pakiety audytu: podstawowy (do 50 stanowisk) od 5000 zł, rozszerzony (50–250 stanowisk + OT) od 12 000 zł, enterprise (250+ stanowisk, infrastruktura krytyczna) od 25 000 zł. Pakiet dobierany po bezpłatnej konsultacji wstępnej (1 godzina) — wycena ostateczna w 24 godziny.

Audytor Wiodący ISO/IEC 27001:2023 w zespole. NIS2 dotyczy 18 sektorów (energetyka, transport, finanse, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i in.) — kary do 10 mln EUR lub 2% obrotu globalnego dla podmiotów kluczowych, 7 mln EUR lub 1,4% dla ważnych. Termin transpozycji do prawa krajowego: 17.10.2024.

Ludzie pytają również

Czy moja firma podlega NIS2?
NIS2 dotyczy podmiotów z 18 sektorów wymienionych w załącznikach I i II dyrektywy. Annex I (sektory kluczowe): energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, ICT services, administracja publiczna, kosmos. Annex II (sektory ważne): usługi pocztowe i kurierskie, gospodarka odpadami, produkcja chemikaliów i żywności, produkcja maszyn, dostawcy usług cyfrowych, badania naukowe. Próg: średnia firma (50+ pracowników i 10 mln EUR obrotu) lub duża. Klasyfikację ustalamy w bezpłatnej konsultacji wstępnej.
Ile kosztuje audyt NIS2?
Audyt podstawowy NIS2 (firma do 50 stanowisk, 1–2 lokalizacje) — od 5000 zł netto. Audyt rozszerzony (50–250 stanowisk, do 5 lokalizacji, integracja z systemami OT) — od 12 000 zł netto. Audyt enterprise (250+ stanowisk, infrastruktura krytyczna, klastry HA, środowiska rozproszone) — wycena indywidualna od 25 000 zł netto. Wycena ostateczna po bezpłatnej konsultacji wstępnej — w 24 godziny.
Kiedy muszę wdrożyć NIS2 w Polsce?
Dyrektywa NIS2 (2022/2555) weszła w życie 16 stycznia 2023, termin transpozycji do prawa krajowego: 17 października 2024. Polska implementacja: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Faktyczne wymagania na podmioty stosowane od momentu wejścia w życie ustawy KSC. Kary: do 10 mln EUR lub 2% rocznego obrotu globalnego (podmioty kluczowe), 7 mln EUR lub 1,4% obrotu (ważne).
Co zawiera audyt zgodności z NIS2?
1) Analiza GAP — porównanie aktualnego stanu bezpieczeństwa z wymaganiami NIS2 i KSC. 2) Inwentaryzacja aktywów IT/OT, klasyfikacja danych. 3) Ocena ryzyka cybernetycznego. 4) Przegląd polityk bezpieczeństwa, procedur reagowania na incydenty, planów ciągłości działania (BCP/DRP). 5) Audyt techniczny (firewall, segmentacja sieci, backup, monitoring, MFA, zarządzanie podatnościami). 6) Audyt łańcucha dostaw IT. 7) Plan działań naprawczych z priorytetami. 8) Raport końcowy + executive summary dla zarządu. 9) Konsultacje z radą nadzorczą jeśli wymagane.
Czy NIS2 wymaga raportowania incydentów?
Tak. Podmioty muszą zgłaszać do CSIRT poważne incydenty w trzech etapach: wczesne ostrzeżenie w 24 h, notyfikacja w 72 h, raport końcowy w ciągu 1 miesiąca. „Poważny incydent" to taki, który spowodował lub może spowodować poważne zakłócenie operacyjne lub straty finansowe albo wpłynął na inne osoby. Procedury raportowania, kanały komunikacji z CSIRT NASK i system zgłoszeń wewnętrznych wdrażamy w ramach naszego audytu.
Jak długo trwa wdrożenie zgodności z NIS2?
Audyt (analiza GAP, raport, rekomendacje): 4–8 tygodni w zależności od skali. Wdrożenie rekomendacji: 3–12 miesięcy. Najszybsze są zmiany techniczne (MFA, segmentacja, backup, monitoring). Najdłuższe — kultura bezpieczeństwa, szkolenia, polityki, procedury reagowania, ćwiczenia red team/tabletop. Średnia firma 100 stanowisk osiąga zgodność operacyjną w 6–9 miesiąc przy zaangażowaniu zarządu i właściwym budżecie.
Czy audyt NIS2 to to samo co audyt ISO 27001?
Pokrywają się w 60–70%. ISO 27001:2023 to dobrowolny standard zarządzania bezpieczeństwem informacji (ISMS), kompleksowy ale bez ustawowych kar. NIS2 to obowiązkowa dyrektywa UE z konkretnymi wymaganiami operacyjnymi (incydenty, łańcuch dostaw, zarządzanie ryzykiem). Firmy z certyfikatem ISO 27001 mają większość kontroli technicznych spełnionych — brakuje zwykle procedur raportowania incydentów, audytów łańcucha dostaw i regulacji z dyrektywy. Audyt NIS2 zwykle uzupełnia istniejące ISO 27001.

Cennik audytu NIS2 — 3 pakiety

Wybierasz pakiet dopasowany do skali firmy. Wycena ostateczna po bezpłatnej konsultacji wstępnej (1 godzina) — w 24 godziny od podpisania NDA.

PakietDla kogoCena nettoCzas realizacji
PodstawowyFirma do 50 stanowisk, 1–2 lokalizacje, jednolita infrastruktura ITod 5000 zł4 tygodnie
RozszerzonyFirma 50–250 stanowisk, do 5 lokalizacji, integracja z systemami OT (PLC/SCADA), klastry serwerówod 12 000 zł6 tygodni
EnterpriseFirma 250+ stanowisk, infrastruktura krytyczna, klastry HA, środowiska rozproszone, multi-cloud, wymagana certyfikacjaod 25 000 zł8–12 tygodni

Wszystkie pakiety zawierają: analizę GAP, inwentaryzację aktywów, ocenę ryzyka, przegląd polityk, audyt techniczny, plan działań, raport końcowy + executive summary. Pakiet rozszerzony dodatkowo: audyt OT/IoT, audyt łańcucha dostaw, konsultacje z radą nadzorczą. Pakiet enterprise: powyższe + testy penetracyjne, red team exercise, dokumentacja zgodności dla regulatorów, wsparcie powdrożeniowe 12 miesięcy.

Zakres audytu — co dokładnie sprawdzamy

Analiza GAP

Porównanie obecnego stanu bezpieczeństwa z wymaganiami NIS2 i ustawy KSC. Identyfikacja luk technicznych i organizacyjnych. Mapa zgodności (compliance heatmap) z priorytetyzacją.

Inwentaryzacja aktywów IT/OT

Kompletna lista aktywów: serwery, stacje robocze, urządzenia sieciowe, systemy OT (PLC, SCADA, IoT), oprogramowanie, dane. Klasyfikacja krytyczności i wrażliwości danych.

Ocena ryzyka cybernetycznego

Metodyka zgodna z ISO 27005. Identyfikacja zagrożeń, ocena podatności, kalkulacja ryzyka (prawdopodobieństwo × wpływ). Macierz ryzyka, plan mitygacji, akceptacja ryzyk rezydualnych.

Audyt techniczny

Firewall, segmentacja sieci (VLAN, DMZ, OT zone), backup 3-2-1, monitoring SIEM, MFA, IAM, hardening serwerów, zarządzanie podatnościami (CVE, patch management), DRP/BCP.

Audyt łańcucha dostaw

Ocena ryzyka dostawców IT (SaaS, MSP, hosting, integratorzy). Analiza umów SLA, klauzul bezpieczeństwa, prawa do audytu, plany ciągłości u dostawców. Wymóg NIS2 art. 21.

Procedury reagowania na incydenty

Wdrożenie playbooków dla typowych scenariuszy (ransomware, phishing, DDoS, kompromitacja konta admin). Integracja z CSIRT NASK dla raportowania w 24/72 h zgodnie z NIS2.

Dlaczego Sztorm IT

22+lat doświadczenia
ISO 27001Audytor Wiodący
24 hczas wyceny
NDApoufność informacji

Izabela Burzyńska — Audytor Wiodący ISO/IEC 27001:2023 z 10+ letnim doświadczeniem w audytach bezpieczeństwa informacji. Paweł Burzyński — Audytor IT (Dyplom uzyskany w IPI PAN), 22+ lat doświadczenia w administracji bezpieczeństwa systemów. Pracujemy z firmami produkcyjnymi, instytutami badawczymi, instytucjami publicznymi i samorządami. Wszystkie projekty pod NDA, zachowujemy poufność informacji handlowych i technicznych.

Patrz też: audyt IT, audyt bezpieczeństwa — cennik, cyberbezpieczeństwo, o Sztorm IT.

Najczęstsze pytania o NIS2

Czym różni się NIS2 od poprzedniej dyrektywy NIS?

NIS2 znacząco rozszerza zakres: pierwotna NIS (2016/1148) dotyczyła 7 sektorów, NIS2 obejmuje 18 sektorów. Wprowadzono podział na podmioty kluczowe i ważne z różnymi karami. Dodano obowiązek audytu łańcucha dostaw, raportowania incydentów w trzech etapach (24/72/30 dni), odpowiedzialność osobistą zarządu. Kary znacząco wyższe (do 10 mln EUR lub 2% obrotu globalnego).

Czy ustawa KSC w Polsce zastępuje NIS2?

Nie — ustawa o krajowym systemie cyberbezpieczeństwa (KSC) implementuje dyrektywę NIS2 do polskiego prawa, ale doprecyzowuje wymagania w polskim kontekście. Obowiązuje bezpośrednio (jako ustawa krajowa). NIS2 pozostaje aktem nadrzędnym dla interpretacji.

Co dokładnie musi zrobić podmiot kluczowy?

NIS2 art. 21 wymaga: 1) analizy i zarządzania ryzykiem, 2) ochrony przed incydentami, 3) detekcji incydentów, 4) reagowania (procedury, plany), 5) ciągłości działania (BCP/DRP), 6) bezpieczeństwa łańcucha dostaw, 7) bezpieczeństwa w cyklu życia systemów i sieci (DevSecOps), 8) polityk i procedur testowania, 9) szyfrowania, 10) bezpieczeństwa zasobów ludzkich (szkolenia, kontrola), 11) MFA dla dostępu, 12) komunikacji szyfrowanej, 13) bezpieczeństwa zasobów cyfrowych.

Czy audyt NIS2 jest obowiązkowy?

Sam audyt nie jest formalnie obowiązkowy, ale wymagana zgodność z NIS2 wymaga udokumentowania ryzyk, kontroli i procedur. Praktycznie nie da się tego wykazać bez audytu. Regulatorzy (UKE, KNF, NASK, MC) mogą żądać dowodu zgodności w razie kontroli lub po incydencie — kary do 10 mln EUR.

Jakie są kary za brak zgodności z NIS2?

Podmioty kluczowe: do 10 mln EUR lub 2% rocznego obrotu globalnego (wyższa z kwot). Podmioty ważne: do 7 mln EUR lub 1,4% obrotu globalnego. Dodatkowo odpowiedzialność osobista członków zarządu — możliwość zawieszenia w pełnieniu obowiązków za zaniedbania. Polska ustawa KSC dodaje sankcje administracyjne.

Czy mała firma (poniżej 50 osób) musi spełniać NIS2?

Co do zasady NIS2 stosuje się do średnich i dużych firm. Małe firmy są wyłączone, chyba że są w specjalnej kategorii (np. dostawcy usług DNS, infrastruktura krytyczna, administracja publiczna). Każdy przypadek wymaga indywidualnej analizy. W praktyce — w razie wątpliwości warto wykonać przynajmniej audyt podstawowy.

Zapytaj o audyt NIS2

Bezpłatna konsultacja wstępna — 1 godzina. Wycena w 24 godziny. Zadzwoń lub wypełnij formularz.

Formularz kontaktowy 699 715 046

Źródła i dokumentacja

Nasze rekomendacje

Rekomendacja - CoSpot Rekomendacja - VetComplex Rekomendacja - Urzad Miasta Rekomendacja - A&A Holding Rekomendacja - Gmina Kamiensk