Audyt KSC 2.0 dla polskich firm

Sprawdź, gdzie naprawdę jest Twoja firma —
zanim sprawdzi to audytor.

Niezależny audyt zgodności z ustawą KSC 2.0. Otrzymujesz raport luk, listę priorytetów i plan działania na 12 miesięcy. Nie ogólniki — konkretne kroki dla Twojej firmy.

Umów audyt — bezpłatna konsultacjaZobacz, co dostaniesz w raporcie

5–10 dni

roboczych

Raport z priorytetami

wersja techniczna i dla zarządu

Plan na 12 miesięcy

realny harmonogram

Stan rynku

36% polskich firm nie wie, czy podlega pod KSC 2.0.

  • Ustawa KSC 2.0 obowiązuje od 3 kwietnia 2026.
  • Termin samoidentyfikacji: 4 października 2026 (6 miesięcy).
  • Pełna zgodność wymagana: 3 kwietnia 2027 (12 miesięcy).
  • Moratorium na kary trwa do 3 kwietnia 2028 — ale obowiązki rejestracji, raportowania i osobista odpowiedzialność zarządu działają od dnia pierwszego.

Zamiast czekać, lepiej wiedzieć — gdzie jesteś, czego brakuje, ile to potrwa i ile będzie kosztowało.

Dla kogo

Audyt KSC 2.0 jest dla Ciebie, jeśli...

Nie wiesz, czy podlegasz pod KSC 2.0

Sektor, wielkość, łańcuch dostaw — samoidentyfikacja wymaga analizy prawno-technicznej. Audyt daje jednoznaczną odpowiedź.

Wiesz, że podlegasz — ale nie wiesz, od czego zacząć

Mapa wymagań ustawy, priorytety, plan działania. Konkretny pierwszy krok zamiast paraliżu decyzyjnego.

Masz coś wdrożone — chcesz wiedzieć, ile brakuje

Audyt różnicowy: co już pokrywa KSC 2.0, co wymaga dopracowania, co trzeba zrobić od zera.

Jesteś dostawcą podmiotu regulowanego? Twoi klienci zaczną wymagać od Ciebie dowodów zgodności — kwestionariusze, klauzule, audyty. Audyt KSC 2.0 to Twój punkt wyjścia do tych rozmów.

Proces

4 etapy — od pierwszej rozmowy do planu działania.

01

Rozmowa wstępna

30 minut · bezpłatnie
  • Krótka rozmowa: kto jesteście, co macie, co Was niepokoi
  • Wstępna ocena: czy w ogóle podlegasz pod KSC 2.0
  • Zakres audytu — dopasowany do skali firmy
  • Wycena audytu (stała, z góry — bez niespodzianek)
02

Audyt techniczny i organizacyjny

3–7 dni roboczych
  • Klasyfikacja podmiotu — kluczowy czy ważny
  • Mapowanie infrastruktury: systemy, dane, użytkownicy
  • Przegląd dokumentacji: polityki, procedury, analiza ryzyka
  • Audyt techniczny: Microsoft 365, MFA, kopie zapasowe, monitoring, kontrola dostępu
  • Ocena łańcucha dostaw: krytyczni dostawcy, klauzule, audyty
  • Wywiady z zarządem, IT i compliance
03

Raport luk i priorytetów

do 5 dni roboczych
  • Mapa zgodności: 12 wymagań ustawy → status w Twojej firmie
  • Lista luk pogrupowana wg priorytetu (krytyczne / wysokie / średnie / niskie)
  • Ocena ryzyka per luka — co się stanie, jeśli jej nie zamkniesz
  • Wersja techniczna (dla IT) + wersja dla zarządu (1 strona)
04

Plan działania na 12 miesięcy

spotkanie omówienia (1 h)
  • Harmonogram — co, kiedy, w jakiej kolejności
  • Szacunkowe koszty — własnymi siłami vs z zewnętrznym wsparciem
  • Rekomendacje technologiczne — co warto wdrożyć w pierwszej kolejności
  • Lista dokumentów do opracowania (kancelaria vs SecIQ vs Twój zespół)
  • Wspólne omówienie raportu z zarządem i ekspertem SecIQ
Zakres techniczny

Co weryfikujemy — po kolei.

Klasyfikacja i rejestracja

  • Czy jesteś podmiotem kluczowym czy ważnym
  • Sektor wg ustawy, wielkość, łańcuch dostaw
  • Status rejestracji w systemie S46
  • Dane SPOC — punkt kontaktu dla regulatora

Zarządzanie ryzykiem

  • Polityka analizy ryzyka — istnieje, aktualna, wdrożona
  • Procedura obsługi incydentów — kto, co, kiedy
  • Plan ciągłości działania — czy jest testowany
  • Bezpieczeństwo łańcucha dostaw — ocena dostawców
  • Polityka kryptografii i kontroli dostępu
  • Szkolenia — pracownicy + zarząd (wzorem art. 20 NIS2)

Konfiguracja techniczna

  • Microsoft 365 — Secure Score, MFA, zasady dostępu
  • Ochrona poczty (Defender for Office 365)
  • Ochrona stacji roboczych i serwerów (Defender for Endpoint)
  • Tożsamość (Entra ID) — konta uprzywilejowane, MFA
  • Kopie zapasowe — schemat 3-2-1-1-0, testy odtworzenia
  • Aktualizacje, podatności, bezpieczna konfiguracja wg CIS Benchmarks

Monitoring i reakcja

  • Czy ktoś patrzy na alerty bezpieczeństwa 24/7
  • Procedura raportowania do CSIRT (24h / 72h / 30 dni)
  • Ćwiczenia symulacji incydentów — kiedy ostatnio
  • Czas wykrycia naruszenia — średnia w branży: 241 dni

Nadzór i odpowiedzialność zarządu

  • Czy zarząd przeszedł szkolenie z cyberbezpieczeństwa
  • Czy decyzje budżetowe są protokołowane (dowód staranności)
  • Polisa D&O — czy obejmuje kary administracyjne KSC 2.0
  • Plan komunikacji kryzysowej — kto mówi do mediów po incydencie
Twoje dokumenty po audycie

Konkretne dokumenty, nie ogólniki.

Raport audytowy KSC 2.0

40–80 stron pełnej analizy zgodności, mapa luk, dowody, metodyka.

Streszczenie dla zarządu

1 strona — kluczowe ryzyka, koszty, decyzje do podjęcia.

Mapa wymagań KSC 2.0 → status

Tabela: 12 wymagań × Twoja firma. Co masz, czego brakuje.

Lista priorytetów

Co zamknąć w 30 dni, co w 90, co w 12 miesiącach.

Plan działania na 12 miesięcy

Harmonogram, koszty, odpowiedzialności, kamienie milowe.

Rekomendacje technologiczne

Co warto wdrożyć, w jakiej kolejności, dlaczego — bez uzależnienia od jednego dostawcy.

Lista dokumentów do opracowania

Co napisze kancelaria, co dostarczy SecIQ, co zrobisz sam.

Pakiet dowodowy

Zrzuty, konfiguracje, dane — materiał dla audytora zewnętrznego.

Zakres i wycena

Trzy poziomy audytu — dopasowane do skali firmy.

Szybka weryfikacja

Audyt Wstępny

Firmy 10–50 os., sektor jasny

3 dni robocze
  • Mapa luk + priorytety
  • Klasyfikacja podmiotu
  • Rekomendacje wysokiego poziomu

od 5 000 PLN

stała cena, z góry

Zamów audyt wstępny
Najczęściej wybierany

Standard

Audyt Pełny

Firmy 50–250 os., sektor regulowany

5–7 dni roboczych
  • Pełny raport audytowy (40–80 stron)
  • Streszczenie dla zarządu
  • Plan działania na 12 miesięcy
  • Rekomendacje technologiczne
  • Spotkanie omówienia z zarządem

Wycena indywidualna

po rozmowie wstępnej

Zapytaj o audyt pełny

Premium

Audyt Kompleksowy

Firmy 250+ os., infrastruktura krytyczna

10–15 dni roboczych
  • Wszystko z pakietu Pełnego
  • Warsztat strategiczny z zarządem
  • Audyt łańcucha dostaw (krytyczni dostawcy)
  • Testy konfiguracji technicznej
  • Pakiet dowodowy dla audytora zewnętrznego

Wycena indywidualna

zakres ustalany po rozmowie

Zapytaj o audyt kompleksowy

Uwaga: Cena audytu odlicza się od wartości wdrożenia, jeśli zdecydujesz się na dalszą współpracę z SecIQ. Audyt jest niezależny — nie musisz wdrażać u nas. Raport jest Twój.

Kto przeprowadza audyt

Audyt prowadzą eksperci, którzy potem to wdrażają.

20+ lat doświadczenia w infrastrukturze IT i cyberbezpieczeństwie

Microsoft Solutions Partner for Security — certyfikowani analitycy

Zespół audytorów z ISO 27001 LA, CISA, doświadczeniem w KSC 1.0

Audyt + plan + wdrożenie + monitoring 24/7 — jeden zespół

„Kancelaria pisze dokumenty, audytor zewnętrzny wystawia opinię — my robimy resztę, każdego dnia, w trybie ciągłym.

Model pracy SECIQ

Pytania i odpowiedzi

Najczęściej zadawane pytania o audyt.

Czy to jest audyt certyfikujący?
Nie. Audyt KSC 2.0 nie jest formalnym audytem certyfikacyjnym (jak ISO 27001). To audyt zgodności — pokazuje, gdzie jesteś vs gdzie wymaga ustawa. Wynik to plan działania, nie certyfikat. Przygotowuje Twoją firmę do audytu zewnętrznego, gdy taki się pojawi.
Czy raport mogę pokazać klientowi lub regulatorowi?
Tak. Raport jest sformalizowany, podpisany przez audytora, zawiera dowody i metodykę. Może być częścią dokumentacji do audytu zewnętrznego lub odpowiedzi na kwestionariusz bezpieczeństwa dostawcy.
Jak długo trwa audyt z perspektywy mojego zespołu?
Typowo 2–4 spotkania po 1–2 godziny (zarząd, IT, compliance). Reszta to nasza praca z dokumentami i systemami. Twój zespół zaangażowany jest punktowo — nie blokujemy operacyjnej pracy.
Czy musimy potem wdrażać u Was?
Nie. Audyt jest niezależny — raport jest Twój. Możesz wdrożyć sam, z innym dostawcą albo z nami. Cena audytu odlicza się od wartości wdrożenia tylko jeśli zdecydujesz się kontynuować z SecIQ. Bez zobowiązań.
Co jeśli nie wszystkie luki da się zamknąć w 12 miesięcy?
Plan działania uwzględnia priorytety. Krytyczne luki — w 30–90 dni. Reszta — zgodnie z harmonogramem ustawowym (do 3 kwietnia 2027). Plan jest realny, nie życzeniowy — uwzględnia Twoje zasoby i budżet.
Czy audyt obejmuje testy penetracyjne?
Audyt wstępny i pełny — nie. Testy penetracyjne to oddzielna usługa (audyt techniczny głęboki). W audycie kompleksowym możemy je włączyć jako rozszerzenie zakresu — po wcześniejszym ustaleniu celów i granic testu.
Co odróżnia audyt SecIQ od audytu kancelarii prawnej?
Kancelaria sprawdza dokumenty i procedury formalne — wymóg prawny spełniony czy nie. SecIQ sprawdza, jak to działa technicznie — konfiguracje, monitoring, reakcję na incydenty. Idealny układ: kancelaria pisze dokumenty, my weryfikujemy, że działają każdego dnia.
Kto faktycznie przeprowadzi audyt?
Zespół 2–3 osób: audytor wiodący (certyfikaty ISO 27001 LA, CISA, doświadczenie w KSC 1.0), ekspert techniczny (Microsoft Security, analityk SOC) i — w audycie kompleksowym — vCISO jako strateg. Wszyscy z SecIQ, nikogo nie podwykonujemy.

Audyt KSC 2.0 — pierwszy krok, który robisz raz.

30 minut rozmowy. Wstępna ocena, zakres audytu, wycena z góry. Bez zobowiązań.

Umów rozmowę o audyciePoznaj wymagania KSC 2.0