Od 3 kwietnia 2026 r. obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa i około 40 tysięcy firm właśnie zaczęło odliczać czas. A biorąc pod uwagę efekt łańcucha dostaw (bo jeśli dostarczasz usługi IT firmie z sektora objętego ustawą, to jej wymagania spadają na Ciebie), ta liczba może sięgnąć 65 tysięcy.
Terminy są konkretne: 6 miesięcy na rejestrację w wykazie podmiotów, 12 na wdrożenie systemu zarządzania ryzykiem, 24 na pierwszy audyt bezpieczeństwa. I one już biegną.
Poniżej 10 kroków – od najpilniejszych. Przy każdym podpowiadamy jakiego typu narzędzie może pomóc (bo większość z tych rzeczy da się zautomatyzować, a robienie tego ręcznie w Excelu to recepta na porażkę przy audycie).
1. Sprawdź czy ustawa Cię dotyczy
Niby oczywiste – do momentu kiedy zaczniesz sprawdzać. Ustawa dzieli podmioty na kluczowe i ważne. Kryteria to wielkość firmy (50 lub więcej pracowników albo obrót powyżej 10 mln EUR – a to łatwiej przekroczyć niż się wydaje) i sektor działalności: energia, transport, zdrowie, infrastruktura cyfrowa, administracja, produkcja, żywność, chemia i kilkanaście innych.
Jest jeszcze jeden haczyk: nawet jeśli Twoja firma nie jest podmiotem kluczowym ani ważnym, możesz podlegać ustawie jako element łańcucha dostaw. Twój klient z sektora energetycznego może po prostu wymagać od Ciebie zgodności z KSC. I będzie miał do tego prawo.
2. Zinwentaryzuj aktywa
Nie da się chronić czegoś, o czym nie wiesz. Serwery, stacje robocze, aplikacje, bazy danych, konta użytkowników, uprawnienia dostępu – to wszystko musi być spisane i aktualne.
W środowiskach Microsoft 365 (a większość polskich firm na nim pracuje) warto zacząć od audytu uprawnień – kto ma dostęp do czego, ile plików jest udostępnionych wszystkim w firmie, czy ktoś kontroluje konta z uprawnieniami administracyjnymi. Narzędzia do automatycznego skanowania M365 potrafią przeskanować całe środowisko i pokazać co jest nie tak. Zajmuje to kilka godzin zamiast tygodni ręcznej roboty.
Narzędzie: audyt uprawnień i widoczności danych w M365 (np. wykrywanie nadmiernie udostępnionych plików, nieautoryzowanych aplikacji, gotowość na Copilot)
3. Przeprowadź ocenę ryzyka
Ustawa wymaga udokumentowanej analizy ryzyka – nie „wiemy gdzie mamy słabe punkty” powiedziane na spotkaniu, tylko dokument: jakie zagrożenia, jakie prawdopodobieństwo, jaki wpływ na działalność.
Nie musi to być opracowanie na 200 stron. Ale musi być uczciwe. Firma Delta KTW dostała od UODO karę ponad 353 tysięcy złotych po ataku ransomware (a jej firma IT obsługująca serwery – kolejne 9,8 tys. PLN, bo też zawiodła). Powód? Delta KTW nie zrobiła analizy ryzyka uwzględniającej ransomware, nie aktualizowała oprogramowania na serwerach, pracownik wyłączył antywirusa i nikt tego nie zauważył, a firma IT przez lata nie raportowała o podatnościach.
To nie jest abstrakcyjny przykład. To decyzja UODO z października 2024, oparta na artykułach 24, 25 i 32 RODO. Pod KSC zakres wymagań jest jeszcze szerszy.
Narzędzie: skanowanie podatności i zarządzanie aktualizacjami – automatyczne wykrywanie luk w oprogramowaniu i weryfikacja czy łatki zostały wgrane
4. Wdróż program szkoleń
Ustawa wprost wymaga regularnych szkoleń z cyberbezpieczeństwa dla pracowników, w tym kadry zarządzającej. Jednorazowy wykład raz w roku przy okazji szkolenia BHP tego nie spełnia.
33,1% pracowników klika w symulowany phishing przed szkoleniem. Ale po roku regularnych symulacji (co miesiąc, z raportami, z automatycznym doszkalaniem tych którzy się złapali) ta liczba spada do 4,1%. Dane z raportu KnowBe4 za 2025 rok, 67,7 miliona symulacji w ponad 62 tysiącach organizacji.
Czy mój zespół IT ma czas żeby to prowadzić samodzielnie? Pewnie nie. Dlatego istnieją programy zarządzane – firma zewnętrzna konfiguruje symulacje, prowadzi szkolenia i dostarcza miesięczne raporty dla zarządu. Uruchomienie zajmuje około dwóch tygodni.
Narzędzie: zarządzany program szkoleń z cyberbezpieczeństwa z symulacjami phishingowymi i raportami
5. Przygotuj procedury obsługi incydentów
Ustawa wymaga zgłoszenia poważnego incydentu w ciągu 24 godzin. To oznacza, że zanim coś się wydarzy, musisz mieć gotową procedurę – kto decyduje że to incydent, kto zgłasza, do jakiego CSIRT (zespołu reagowania na incydenty) i co musi być w zgłoszeniu.
Jeśli nie masz wewnętrznego zespołu bezpieczeństwa (a większość firm średniej wielkości go nie ma), warto rozważyć zewnętrzny monitoring. SOC as a Service obserwuje infrastrukturę 24/7 i reaguje na anomalie zanim staną się incydentem – a przy okazji pomaga spełnić wymóg ustawy dotyczący zdolności do wykrywania zagrożeń.
Narzędzie: SOC as a Service – zewnętrzny monitoring bezpieczeństwa z reagowaniem na incydenty
6. Zabezpiecz kopie zapasowe
Backup to nie jest „mamy gdzieś NAS-a w serwerowni”. To przetestowany plan odtwarzania z policzonym RTO – czyli w jakim czasie musisz przywrócić systemy do działania. I z policzonym RPO – ile danych możesz sobie pozwolić stracić.
Po ataku ransomware na Centrum Medyczne Eskulap w Raciborzu (marzec 2026) dane pacjentów zostały zaszyfrowane. Backup sam w sobie nie wystarczy – potrzeba jeszcze ochrony endpointów (żeby ransomware nie dotarł do backupu) i regularnych aktualizacji (żeby zamknąć luki, przez które atakujący wchodzi). Te trzy elementy razem to minimum.
Kiedy ostatnio testowałem odtwarzanie z backupu? Jeśli odpowiedź brzmi „nie pamiętam” – to jest problem.
Narzędzie: backup z ochroną endpointów i zarządzaniem aktualizacjami w jednym rozwiązaniu
7. Wdróż monitoring sieci
Firewall i antywirus to za mało. Ustawa wymaga zdolności do wykrywania zagrożeń – a to oznacza aktywny monitoring ruchu sieciowego, nie tylko reagowanie po fakcie.
Wykrywanie zagrożeń w ruchu sieciowym potrafi wykryć komunikację z serwerami dowodzenia (C2) zanim ransomware zaszyfruje całe środowisko. A jeśli mimo to jakieś zagrożenie przedostanie się – zostaje backup. Dwie warstwy, każda na inny scenariusz.
Narzędzie: platforma do detekcji zagrożeń sieciowych (NDR) z integracją do istniejącego środowiska
8. Kontroluj dostęp
Zasada minimalnych uprawnień – każdy użytkownik powinien mieć dostęp tylko do tego, czego potrzebuje do pracy. W praktyce wygląda to odwrotnie: uprawnienia rosną latami, nikt ich nie przegląda (bo nikt nie ma na to czasu), a ludzie mają dostęp do folderów „bo kiedyś potrzebowali”.
Dwa konkretne działania: audyt uprawnień (ten sam co w kroku 2 – jedno narzędzie, dwa zastosowania) i uwierzytelnianie wieloskładnikowe na każdym koncie z dostępem do danych wrażliwych. Audyt uprawnień to kwestia kilku godzin z odpowiednim narzędziem, wdrożenie MFA zajmie kilka dni – ale to jednorazowy wysiłek.
Narzędzie: MFA (uwierzytelnianie wieloskładnikowe) + audyt uprawnień M365
9. Zarządzaj podatnościami i aktualizacjami
W sprawie kary UODO (krok 3) jednym z zarzutów było to, że firma nie aktualizowała oprogramowania na serwerach. A firma IT obsługująca te serwery przez lata nie informowała o podatnościach. Obie strony zawiodły.
Zarządzanie podatnościami to nie jest „aktualizujemy jak pamiętamy”. To regularne skanowanie systemów pod kątem znanych luk, ustalanie które łatki wgrać w pierwszej kolejności i weryfikacja że zostały wgrane. Narzędzia do automatycznego skanowania i łatania robią to bez ręcznej pracy administratora – i zostawiają ślad audytowy (co pod KSC ma znaczenie).
Narzędzie: zarządzanie podatnościami i łatkami – automatyczne skanowanie, ustalanie priorytetów, wgrywanie aktualizacji
10. Przejrzyj łańcuch dostaw IT
Ustawa wymaga oceny bezpieczeństwa dostawców. Jeśli Twoja firma IT nie potrafi odpowiedzieć na pytanie „jakie macie procedury bezpieczeństwa?” – to jest problem. I to Twój, nie dostawcy. Bo to Ty odpowiadasz za bezpieczeństwo swoich danych, niezależnie od tego kto zarządza Twoimi serwerami.
Zacznij od prostego pytania do każdego dostawcy IT z zakresu:
- polityki bezpieczeństwa,
- procedury backupu,
- planu reagowania na incydenty.
Jeśli nie mają odpowiedzi – to informacja, na podstawie której podejmiesz decyzję.
Od czego zacząć
Nie musisz robić wszystkiego na raz. Ale zacząć musisz. Priorytet na pierwsze 3 miesiące:
- sprawdź czy Cię dotyczy (krok 1),
- zinwentaryzuj aktywa (krok 2),
- zrób ocenę ryzyka (krok 3)
- uruchom szkolenia (krok 4).
Reszta może poczekać, ale nie dłużej niż do końca pierwszego roku.
Bo pytanie nie brzmi czy Cię to dotyczy. Pytanie brzmi czy będziesz gotowy kiedy przyjdzie audytor.
Większość z tych kroków da się wesprzeć konkretnymi narzędziami – opisujemy je na itxon.pl/rozwiazania-it. Albo po prostu napisz do nas: itxon.pl/kontakt.