NIS2 a ISO 27001 — co pokrywa, a co musisz dobudować
Mapowanie KSC 2.0 na ISO 27001 — które kontrole Annex A wystarczają, a gdzie są luki. Tabela mapowania, realne koszty i plan zamknięcia luk.
Kluczowe wnioski
- ISO 27001 pokrywa 60-70% wymagań KSC 2.0 — ale brakujące 30% to luki, za które grożą kary
- Największe braki: raportowanie incydentów 24h/72h/30d do CSIRT, odpowiedzialność kierownika podmiotu, obowiązkowe MFA
- Zamknięcie luk z ISO 27001 kosztuje 120-250 tys. PLN i zajmuje 4-8 miesięcy
- Bez ISO 27001 koszt zgodności rośnie do 400-800 tys. PLN i 9-12 miesięcy
Dobra wiadomość i zła wiadomość
Dobra wiadomość: jeśli Twoja firma ma certyfikat ISO 27001, większość pracy jest zrobiona. System zarządzania bezpieczeństwem informacji istnieje. Procedury są. Ludzie wiedzą, co to analiza ryzyka. Audytor przychodzi co roku. To jest fundament, którego firmy bez ISO nie mają i muszą budować od zera.
Zła wiadomość: ISO 27001 nie jest tożsamy z KSC 2.0. Ustawa stawia wymagania, których ISO nie adresuje — albo adresuje inaczej, łagodniej, bez terminów i bez sankcji osobistych. I właśnie te luki są tymi, za które grożą kary do 10 mln EUR i osobista odpowiedzialność kierownika podmiotu do 300% wynagrodzenia.
NIS2 a KSC: Dyrektywa NIS2 (2022/2555) jest wdrożona w Polsce jako nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC 2.0, Dz.U. 2026 poz. 252). Rozporządzenie wykonawcze do KSC bazuje wprost na ISO 27001, ISO 27002, ETSI EN 319401 i CEN/TS 18026:2024.
To ostatnie zdanie jest ważne. Twórcy polskich przepisów świadomie oparli wymagania techniczne na ISO 27001. To nie przypadek, że dużo się pokrywa. Ale „dużo" to nie „wszystko".
Gdzie ISO 27001 wystarczy
Zacznijmy od dobrych rzeczy. W tych obszarach ISO 27001 (Annex A, wersja 2022) pokrywa wymagania KSC 2.0 w sposób wystarczający lub prawie wystarczający:
Zarządzanie ryzykiem. ISO wymaga formalnej metodyki identyfikacji, analizy i oceny ryzyk. KSC 2.0 (art. 8a) wymaga tego samego. Jeśli masz rejestr ryzyk, metodykę, plany postępowania — ta część jest zamknięta. Jedyna uwaga: KSC wymaga aktualizacji co najmniej raz w roku i „dostosowania do zmian w organizacji i zagrożeniach". ISO też to wymaga, ale w praktyce wiele firm aktualizuje rejestr ryzyk mechanicznie, raz do roku, przed audytem. Pod KSC organ nadzorczy może zapytać w dowolnym momencie — i oczekuje, że rejestr odzwierciedla aktualne zagrożenia, nie te sprzed 11 miesięcy.
Ciągłość działania. ISO A.5.29-30 wymaga planów BCP i nadmiarowości ICT. KSC 2.0 (art. 8) wymaga planu ciągłości i odtworzenia, testowanego co najmniej raz w roku. Pokrywa się dobrze. Czy Twój BCP jest testowany? Jeśli ostatni test był 3 lata temu — to luka, niezależnie od posiadanego certyfikatu.
Bezpieczeństwo sieci i systemów. ISO A.8.20-22 (bezpieczeństwo sieci) pokrywa wymagania art. 21(2)(e) NIS2 dotyczące bezpieczeństwa sieci i systemów informacyjnych.
Kryptografia. ISO A.8.24 wymaga stosowania kryptografii. KSC 2.0 wymaga polityki kryptograficznej. Jeśli masz udokumentowaną politykę z określonymi standardami szyfrowania — jest dobrze.
Audyty i przeglądy. ISO wymaga audytów wewnętrznych i przeglądów zarządzania. KSC wymaga oceny skuteczności środków bezpieczeństwa. Model jest zbieżny.
Zarządzanie aktywami. ISO wymaga inwentaryzacji i klasyfikacji zasobów. KSC wymaga wiedzy o tym, co się chroni. Obszar pokryty.
Tabela mapowania — NIS2 / KSC 2.0 vs ISO 27001
| Wymaganie KSC 2.0 | Artykuł | Kontrole ISO 27001 | Pokrycie | Komentarz |
|---|---|---|---|---|
| Zarządzanie ryzykiem | Art. 8a | A.6, A.8 | ✅ Pełne | Aktualizuj rejestr ryzyk na bieżąco |
| Ciągłość działania | Art. 8 | A.5.29-30 | ✅ Pełne | Testuj BCP co roku |
| Bezpieczeństwo sieci | Art. 8e | A.8.20-22 | ✅ Pełne | |
| Kryptografia | Art. 8e | A.8.24 | ✅ Pełne | Udokumentuj politykę |
| Audyty wewnętrzne | Art. 8 | A.5.35-36 | ✅ Pełne | |
| Obsługa incydentów | Art. 8b | A.5.24-28 | ⚠️ Częściowe | Brak 24h/72h/30d do CSIRT |
| Łańcuch dostaw | Art. 8c | A.5.19-23 | ⚠️ Częściowe | Brak wielopoziomowości (Tier 2/3) |
| Szkolenia | Art. 8d | A.6.3 | ⚠️ Częściowe | Brak wymogów dla zarządu |
| Kontrola dostępu / MFA | Art. 8e | A.8.2-5 | ⚠️ Częściowe | ISO nie wymaga wprost MFA |
| Odpowiedzialność kierownika | KSC 2.0 | — | ❌ Brak | Zupełnie nowy wymóg |
| Rejestracja w wykazie | Art. 7 | — | ❌ Brak | Administracyjny, ale obowiązkowy |
| Raportowanie do CSIRT | Art. 8b | — | ❌ Brak | Wymagane 24h/72h/30d |
Legenda: ✅ ISO wystarczy. ⚠️ ISO daje fundament, ale trzeba dobudować. ❌ ISO nie adresuje w ogóle.
Siedem luk do zamknięcia
Luka 1: Raportowanie incydentów do CSIRT — 24h / 72h / 30 dni
To największa różnica operacyjna.
ISO 27001 wymaga zarządzania incydentami wewnętrznie — wykryj, zareaguj, wyciągnij wnioski. KSC 2.0 wymaga raportowania na zewnątrz, do krajowego CSIRT, w ściśle określonych terminach:
- 24 godziny od wykrycia incydentu poważnego — wczesne ostrzeżenie
- 72 godziny — pełne zgłoszenie z oceną wpływu i wskaźnikami kompromitacji (IoC)
- 30 dni — sprawozdanie końcowe z analizą przyczyn i podjętymi działaniami
Żeby dotrzymać tych terminów, potrzebujesz trzech rzeczy: zdolności wykrywania incydentów (monitoring, nie „ktoś przejrzy logi rano"), procedury eskalacji z szablonami raportów i przetestowanego procesu komunikacji z CSIRT przez system S46.
Jeśli masz SOC (własny lub zewnętrzny) — integracja z procesem raportowania to tygodnie. Jeśli nie masz SOC — to jest problem, bo 24-godzinny termin zakłada, że incydent wykrywasz w ciągu minut lub godzin, nie dni.
Luka 2: Odpowiedzialność kierownika podmiotu
ISO 27001 wymaga „zaangażowania kierownictwa" i „przywództwa". To jest ogólne zobowiązanie organizacyjne.
KSC 2.0 mówi wprost: kierownik podmiotu osobiscie odpowiada za cyberbezpieczeństwo, musi zatwierdzić SZBI, musi nadzorować wdrożenie, nie może delegować odpowiedzialności. Kara: do 300% wynagrodzenia (sektor prywatny).
Co to oznacza dla firmy z ISO 27001: polityka bezpieczeństwa informacji musi mieć podpis kierownika podmiotu — nie dyrektora IT, nie CISO, nie koordynatora ISMS. Kierownika. I musi być uchwała zarządu zatwierdzająca SZBI, z datą i podpisami.
Większość firm z ISO 27001 ma takie dokumenty. Ale warto sprawdzić, czy podpisy są aktualne, czy dokument nie jest zatwierdzony przez osobę, która już nie pracuje, czy data nie jest sprzed 4 lat.
Luka 3: Obowiązkowe szkolenie kierownika podmiotu
ISO A.6.3 mówi o „świadomości bezpieczeństwa" ogólnie. KSC 2.0 wymaga, żeby kierownik podmiotu odbył coroczne szkolenie z cyberbezpieczeństwa. Nie e-learning dla wszystkich pracowników. Dedykowane szkolenie dla osoby kierującej podmiotem.
Zakres: zarządzanie ryzykiem cyberbezpieczeństwa, obowiązki z KSC 2.0, procedury reagowania na incydenty, odpowiedzialność prawna kierownika. Z certyfikatem potwierdzającym odbycie.
Brak tego szkolenia jest samodzielną przesłanką do nałożenia kary osobistej na kierownika.
Luka 4: Obowiązkowe MFA
Kurs NIS2 dla zarządów i IT managerów
Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.
Zapisz się na kursISO 27001 mówi o „odpowiednim" uwierzytelnianiu i kontroli dostępu. KSC 2.0, za pośrednictwem rozporządzenia wykonawczego i wytycznych NIS2 (art. 21(2)(i)), wymaga wprost uwierzytelniania wieloskładnikowego (MFA) lub ciągłego uwierzytelniania.
Wiele firm z ISO 27001 ma MFA „tam, gdzie jest wygodne" — na VPN, na konsoli Azure. Ale nie ma MFA na RDP do serwera plików, na panelu administracyjnym drukarki sieciowej, na lokalnym koncie administratora Windows.
KSC 2.0 wymaga MFA na wszystkich dostępach administracyjnych i zdalnych. „Wszystkich" to nie „wybranych".
Luka 5: Wielopoziomowa ocena łańcucha dostaw
ISO A.5.19-23 wymaga zarządzania bezpieczeństwem w relacjach z dostawcami. W praktyce większość firm z ISO ocenia bezpośrednich dostawców (Tier 1) — kto dostarcza usługi IT, kto hostuje serwery, kto ma dostęp do systemów.
KSC 2.0 (art. 8c) wymaga analizy bezpieczeństwa całego łańcucha dostaw. Twój dostawca chmurowy — kto hostuje jego infrastrukturę? Twój dostawca oprogramowania ERP — kto pisze dla niego komponenty? Twój integrator IT — jakie uprawnienia mają jego podwykonawcy?
To jest wymóg, który w praktyce oznacza kwestionariusze bezpieczeństwa dla dostawców, klauzule bezpieczeństwa w kontraktach i — dla podmiotów z większą ekspozycją — mapowanie zależności w łańcuchu dostaw.
Nie twierdzimy, że to proste. Dla firmy z 20 dostawcami IT to kilka tygodni pracy. Dla firmy z 200 dostawcami — to projekt sam w sobie.
Luka 6: Rejestracja w wykazie podmiotów
Czysto administracyjny wymóg. ISO 27001 go nie adresuje, bo to nie jest standard bezpieczeństwa — to obowiązek ustawowy.
Firma musi samodzielnie ocenić, czy podlega pod KSC 2.0, i wpisać się do wykazu prowadzonego przez Ministerstwo Cyfryzacji. Termin: 6 miesięcy od wejścia ustawy, czyli 3 października 2026. Dane wymagane: nazwa, NIP, sektor, dane kierownika, dane dwóch osób kontaktowych 24/7.
Czy firma z ISO 27001 musi się rejestrować? Tak, jeśli spełnia kryteria sektorowe i wielkościowe. Certyfikat ISO nie zwalnia z tego obowiązku.
Luka 7: Ciągła zdolność wykazania zgodności
ISO 27001 działa w cyklu rocznym. Audytor przychodzi raz w roku, sprawdza dokumentację, weryfikuje wdrożenie, wydaje certyfikat. Między audytami — nikt z zewnątrz nie sprawdza.
KSC 2.0 działa inaczej. Organ właściwy może zażądać dowodów zgodności w dowolnym momencie. Dla podmiotów kluczowych nadzór jest proaktywny — kontrola może nastąpić bez uprzedniego naruszenia. Dla podmiotów ważnych — ex post, po stwierdzeniu naruszenia.
To oznacza, że firma musi mieć ciągły dostęp do dowodów: logi, metryki, raporty, rejestry szkoleń, rejestry incydentów, wyniki testów BCP. Nie „gdzieś na dysku, pewnie w folderze ISO". W uporządkowanej formie, dostępnej na żądanie.
Firmy z dojrzałym ISMS (systemem zarządzania bezpieczeństwem informacji) mają to częściowo w porządku. Firmy, które traktowały ISO jako „coroczny obowiązek" — będą musiały zmienić podejście.
Ile kosztuje zamknięcie luk
Konkretne liczby, bo „zależy od organizacji" to żadna odpowiedź.
Firma z ISO 27001
| Element | Koszt (PLN) | Czas |
|---|---|---|
| Gap analysis (KSC 2.0 vs aktualny ISMS) | 15 000 – 30 000 | 2-3 tygodnie |
| Procedury raportowania incydentów do CSIRT | 20 000 – 40 000 | 3-4 tygodnie |
| Dokumentacja odpowiedzialności kierownika | 15 000 – 25 000 | 1-2 tygodnie |
| Szkolenie kierownika podmiotu | 10 000 – 20 000 | 1-2 dni |
| Rozszerzenie MFA na wszystkie dostępy | 30 000 – 60 000 | 4-6 tygodni |
| Ocena łańcucha dostaw (multi-tier) | 20 000 – 40 000 | 4-6 tygodni |
| Rejestracja w wykazie + osoby kontaktowe | 5 000 – 10 000 | 1-2 tygodnie |
| Razem | 115 000 – 225 000 | 4-8 miesięcy |
Firma bez ISO 27001
400 000 – 800 000 PLN, 9-12 miesięcy. Różnica wynika z konieczności zbudowania od zera: ISMS, metodyki zarządzania ryzykiem, polityk, procedur, infrastruktury monitoringu.
Posiadanie ISO 27001 to oszczędność 60-70% kosztów i 40-50% czasu.
Co wdrożyć najpierw — ISO 27001 czy KSC 2.0?
Zależy od jednego czynnika: ile masz czasu.
Masz 6+ miesięcy do terminu? ISO 27001 daje framework, na którym łatwiej budować. ISMS, kultura zarządzania ryzykiem, przeszkoleni ludzie, udokumentowane procedury — to wszystko przyspiesza późniejsze wdrożenie KSC 2.0. Jeśli firma planuje certyfikację ISO i jednocześnie podlega pod KSC — obie ścieżki można prowadzić równolegle.
Masz mniej niż 4 miesiące? Skup się na wymaganiach ustawy. Certyfikacja ISO (6-12 miesięcy) nie zdąży przed terminami KSC. Zamknij luki ustawowe, a ISO 27001 potraktuj jako cel na 2027-2028.
Masz ISO, ale certyfikat wygasa? Utrzymaj go. Koszt recertyfikacji jest niższy niż koszt budowania od zera, a ISO 27001 to sprawdzony dowód dojrzałości organizacyjnej — przydaje się w rozmowach z organem nadzorczym, z audytorem i z klientami.
Jedna uczciwa uwaga
Mapowanie NIS2/KSC na ISO 27001 wygląda ładnie w tabeli. W rzeczywistości diabeł tkwi w szczegółach.
Firma może mieć ISO 27001 i jednocześnie mieć poważne luki bezpieczeństwa. Bo certyfikat potwierdza, że system zarządzania istnieje — nie że jest doskonały. Audytor ISO sprawdza, czy procedury są i czy są stosowane. Nie sprawdza, czy reguły detekcji w SIEM wychwycą atak ransomware o 3 w nocy.
Z drugiej strony — firma bez ISO, ale z dojrzałym IT, dobrym zespołem i realnym monitoringiem, może być bezpieczniejsza niż firma z certyfikatem na ścianie i rejestrem ryzyk w szufladzie.
Certyfikat to punkt startu, nie punkt docelowy. KSC 2.0 wymaga realnych zdolności, nie dokumentów. A luki między ISO a KSC to te obszary, gdzie „system zarządzania" nie wystarczy — potrzebna jest operacyjna zdolność wykrywania, reagowania i raportowania.
Jeśli szukasz konkretnego planu wdrożenia — opisaliśmy go w mapie drogowej KSC 2.0. Jeśli chcesz wiedzieć, kogo dotyczą nowe przepisy. A jeśli interesują Cię szczegóły kar — są w artykule o odpowiedzialności zarządu.
Źródła
- Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o KSC (Dz.U. 2026 poz. 252) — pełny tekst nowelizacji
- ISO/IEC 27001:2022 — Information security management systems — standard w aktualnej wersji
- Rozporządzenie wykonawcze KE 2024/2690 — środki techniczne (bazuje na ISO 27001/27002, ETSI EN 319401, CEN/TS 18026:2024)
- ENISA NIS2 Implementation Guidance — wytyczne Europejskiej Agencji ds. Cyberbezpieczeństwa
FAQ
Czy certyfikat ISO 27001 zwalnia z obowiązków KSC 2.0?
Ile trwa zamknięcie luk KSC 2.0 jeśli mam ISO 27001?
Co lepiej wdrożyć najpierw — ISO 27001 czy KSC 2.0?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.
O zespole →
