KSC 2.0 a SOC — dlaczego ciągły monitoring jest praktycznie obowiązkowy
KSC 2.0 wymaga raportowania incydentów w 24h i ciągłego monitoringu. Bez SOC z logami w chmurze dotrzymanie tych terminów jest niewykonalne.
Kluczowe wnioski
- KSC 2.0 wymaga raportowania incydentów w 24h — bez SOC 24/7 jest to niewykonalne poza godzinami pracy
- Atakujący zamrażają logi lokalne — repozytorium w chmurze zapewnia ciągłość dowodową
- Nadzór nad łańcuchem dostaw to nowy obowiązek — SOC widzi połączenia z dostawcami
- SecIQ SOC daje monitoring, reakcję i wsparcie raportowania KSC 2.0 w jednym pakiecie
Cztery obowiązki, jeden wniosek
KSC 2.0 nie wymaga wprost posiadania SOC. Nigdzie w ustawie nie znajdziesz słowa „SOC". Ale wymaga czterech rzeczy, które bez ciągłego monitoringu są niewykonalne.
1. Raportowanie incydentów w 24 godzinach
| Termin | Co trzeba zgłosić | Komu |
|---|---|---|
| 24 godziny | Wstępne powiadomienie: co, kiedy, wstępny zakres | CSIRT |
| 72 godziny | Raport wstępny: wektor ataku, zakres, podjęte działania | CSIRT |
| 30 dni | Raport końcowy: root cause, pełna analiza, wnioski | CSIRT |
24 godziny od wykrycia. Nie od poniedziałkowego spotkania. Nie od przyjazdu IT do biura.
76% ataków ransomware zaczyna się w nocy, w weekend albo w święta. Atakujący znają rozkłady zmian IT. Jeśli atak startuje w piątek o 23:00 i nikt go nie wykrywa do poniedziałku — termin 24h jest przekroczony, zanim ktokolwiek się dowie.
To jest powód, dla którego SOC z monitoringiem 24/7 przestaje być „miło mieć" i staje się operacyjną koniecznością.
2. Ciągły monitoring infrastruktury
KSC 2.0 wymaga wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo sieci i systemów. W praktyce: zbieranie i analiza logów, wykrywanie anomalii, zdolność do reakcji w czasie rzeczywistym.
Firewall i antywirus to narzędzia. Bez kogoś, kto patrzy na to, co raportują — 24 godziny na dobę — to sprzęt, który miga lampkami w pustym pokoju.
3. Ciągłość dowodowa — logi poza zasięgiem atakującego
KSC 2.0 wymaga zdolności do analizy post-incydentowej. Do tego potrzebne są logi. Problem: profesjonalni atakujący o logach wiedzą.
Jedną z pierwszych rzeczy, które robi atakujący po uzyskaniu dostępu, jest likwidacja śladów. Wyłączenie agentów monitoringu. Zatrzymanie usług logowania. Nadpisanie lub zaszyfrowanie dzienników. Modyfikacja timestampów.
Jeśli logi leżą na serwerze, który został skompromitowany — nie odtworzysz łańcucha ataku. Nie przygotujesz raportu końcowego. Nie powiesz organowi nadzorczemu „co się stało" — bo nie będziesz wiedział.
Rozwiązanie jest proste, ale wymaga decyzji: logi w chmurze. Wysyłane w czasie rzeczywistym do chmurowego SIEM-a — w naszym przypadku Microsoft Sentinel w Azure. Poza zasięgiem lokalnego atakującego. Ransomware zaszyfruje całą infrastrukturę on-premises, ale logi w chmurze zostaną nienaruszone.
To nie jest dodatkowa usługa. To fundament, na którym stoi operacja monitoringu i compliance.
4. Nadzór nad łańcuchem dostaw
Nowy obowiązek KSC 2.0. Musisz wiedzieć, jak chronieni są Twoi dostawcy — bo atak na dostawcę to atak na Ciebie.
Dlaczego to realne: atakujący coraz częściej włamują się do mniejszej, słabiej zabezpieczonej firmy — dostawca IT, biuro rachunkowe, firma serwisowa — która ma połączenie VPN lub RDP do Twojej sieci. Twój firewall jest mocny. Pytanie, czy firewall Twojego dostawcy też.
SOC widzi te połączenia. Monitoruje ruch z sieci dostawców. Wykrywa anomalie w sesjach VPN. Dostawca, który zarządza tylko Twoim firewallem — tego nie widzi.
Trzy alternatywy — i dlaczego dwie nie działają
Firma, która podlega KSC 2.0, ma trzy opcje na spełnienie obowiązków monitoringu.
Opcja 1: Własny zespół 24/7. Minimum 6 analityków na zmiany (trzy zmiany po dwóch). Platforma SIEM, szkolenia, infrastruktura. Koszt roczny: 1,25–2,4 mln PLN. Dla firmy 200–500 osób to budżet, który rzadko przechodzi rozmowę z CFO. Dla firm 50–200 osób — nierealistyczny.
Opcja 2: IT na dyżurze. Informatyk z telefonem pod poduszką. W teorii „monitoring 24/7". W praktyce: alert o 3 w nocy dzwoni na telefon osoby, która śpi od 3 godzin, nie zna kontekstu zdarzenia i musi najpierw zalogować się do VPN, potem do SIEM-a, potem odtworzyć co się dzieje. Czas reakcji: 30–60 minut w optymistycznym scenariuszu. Jakość decyzji: proporcjonalna do poziomu wybudzenia.
Widzieliśmy to wielokrotnie. Zmęczony admin o 3 w nocy klika „dismiss" na alert, który okazuje się prawdziwym atakiem. Nie z lenistwa — z przeciążenia. 200 alertów dziennie, z których 195 to false positive. Po tygodniu takich dyżurów ludzie przestają traktować alerty poważnie.
Opcja 3: Managed SOC. Zewnętrzny zespół analityków z dedykowaną platformą, który monitoruje Twoje środowisko 24/7/365. Koszt: ułamek opcji 1. Jakość: lepsza niż opcja 2, bo to ludzie, którzy robią tylko to — nie biegają jednocześnie po helpdesku.
Żadna z tych opcji nie jest idealna. Własny SOC jest najlepszy pod względem znajomości środowiska, ale nierealistyczny kosztowo. Managed SOC wymaga zaufania do zewnętrznego partnera — i dobrego onboardingu, żeby analitycy poznali Twoją firmę. Informatyk na dyżurze to kompromis, który w praktyce oznacza brak kompromisu na niczym.
Compliance na papierze nie reaguje na ransomware o 3 w nocy
Kurs NIS2 dla zarządów i IT managerów
Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.
Zapisz się na kursMożna napisać dokumentację. Polityki, procedury, checklisty. Odhaczyć każdy punkt KSC 2.0. I mieć poczucie, że jest dobrze.
A potem atak zdarza się w weekend. Schemat powtarza się co kilka miesięcy:
Firma ma dokumentację compliance. Nie ma ciągłego monitoringu. Atak w sobotę. Nikt nie wykrywa przez 48+ godzin. Termin raportowania przekroczony. Logi zniszczone — brak dowodów do analizy. Zarząd dowiaduje się o incydencie od klienta, nie od swojego IT.
Compliance bez operacyjności to teatr. Dokumentacja mówi, co firma powinna robić. SOC faktycznie to robi.
Co daje SOC w kontekście KSC 2.0
| Obowiązek KSC 2.0 | Jak SOC go spełnia |
|---|---|
| Raportowanie w 24h | Wykrycie w minutach, nawet w nocy — fakty gotowe do zgłoszenia |
| Ciągły monitoring | Analitycy 24/7 + SIEM + XDR = pełna widoczność |
| Utrzymywanie logów | Repozytorium w chmurze, poza zasięgiem atakujących |
| Nadzór nad dostawcami | Monitoring połączeń VPN/RDP z sieciami dostawców |
| Reagowanie na incydenty | Containment poniżej 15 minut, remediacja, recovery |
| Dokumentacja post-incydentowa | Root cause analysis, timeline, raport dla CSIRT |
Jak wygląda monitoring w praktyce — nie w teorii
Wiele firm myśli o monitoringu jak o dashboardzie z zielonymi lampkami. Wszystko zielone — jest dobrze. Coś czerwone — ktoś reaguje. To nie jest monitoring. To jest panel kontrolny bez operatora.
Realny monitoring SOC to ludzie, którzy analizują zdarzenia w kontekście. Alert „logowanie z nieznanego IP" w izolacji nie mówi nic. Ten sam alert w kontekście „użytkownik, który nigdy nie logował się zdalnie, połączył się z Rumunii o 3 w nocy, pobrał narzędzie administracyjne i odpytał kontroler domeny" — to lateral movement po przejęciu credentiali.
Tę korelację robi analityk wspierany przez SIEM i AI. Nie robi jej antywirus. Nie robi jej firewall. Nie robi jej dashboard z lampkami.
Co monitorujemy w kontekście KSC 2.0
Endpointy — aktywność na stacjach roboczych i serwerach. Podejrzane procesy, nietypowe zachowania, próby eskalacji uprawnień.
Tożsamość — logowania, MFA, Conditional Access. Kto, skąd, kiedy, w jaki sposób. Anomalie w wzorcach logowania.
Poczta — phishing, BEC, złośliwe załączniki. Filtr pocztowy blokuje znane zagrożenia. SOC widzi te, które przeszły przez filtr.
Sieć — ruch wewnętrzny (lateral movement), komunikacja z C2, exfiltracja danych. Połączenia z sieciami dostawców.
Chmura — Azure, M365. Zmiany konfiguracji, udostępnianie danych, tworzenie kont administracyjnych.
To nie jest lista kontrolna do odhaczenia. To źródła telemetrii, które SOC koreluje w jednym widoku. KSC 2.0 wymaga „środków technicznych zapewniających bezpieczeństwo" — ciągła korelacja tych źródeł jest najskuteczniejszym znanym sposobem, żeby to zapewnić.
SOC nie jest wymogiem prawnym. Jest wymogiem operacyjnym.
Warto to powiedzieć wprost: ustawa nie wymaga SOC. Możesz spełnić wymogi KSC 2.0 własnymi siłami — jeśli masz zespół bezpieczeństwa pracujący 24/7, platformę SIEM z retencją logów w chmurze, udokumentowane procedury reagowania i doświadczenie w obsłudze incydentów.
Budowa takiego zespołu od zera kosztuje 1,25–2,4 mln PLN rocznie. Dla firmy 150–500 pracowników to budżet trudny do uzasadnienia — szczególnie gdy Managed SOC daje to samo za ułamek ceny.
Ale to Twoja decyzja. Naszą rolą jest powiedzieć, jakie są opcje i ile kosztują. Porównanie kosztów SOC vs kary KSC 2.0 stawia te liczby obok siebie.
Pytanie, które zmienia rozmowę
Nie „czy oferujesz SOC", lecz:
Jeśli chcę powierzyć bezpieczeństwo mojej firmy Twojemu zespołowi — czy jesteście świadomi odpowiedzialności, jaką to niesie? Czy potraficie zrobić więcej niż tylko wysłać alert? Czy potraficie wykrywać, reagować, budować codziennie bardziej odporną organizację i pomóc mi dotrzymać wymogów KSC 2.0?
To pytanie weryfikuje, czy masz do czynienia z partnerem operacyjnym, czy z kolejnym dostawcą powiadomień e-mail.
Poznaj SecIQ SOC | Umów konsultację
Źródła
FAQ
Czy KSC 2.0 wymaga posiadania SOC?
Jakie obowiązki monitoringowe nakłada KSC 2.0?
Co się stanie, jeśli nie dotrzymam terminów raportowania KSC 2.0?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.
O zespole →
