Dokumentacja to dopiero
początek
KSC 2.0 wymaga ciągłych operacji bezpieczeństwa — monitoringu 24/7, reakcji w 24h, systematycznych szkoleń. Dokumentacja to fundament, ale to co audytor naprawdę sprawdzi: czy te dokumenty żyją w Twojej firmie każdego dnia.
65-70% obowiązków KSC 2.0 to obowiązki ciągłe. Kancelaria prawna pomoże je napisać. SecIQ sprawi, że będą działać — codziennie, 24/7, bez przerw.
Wymagania prawne
Co wymaga KSC 2.0?
Art. 21 dyrektywy NIS2 wymaga wdrożenia środków zarządzania ryzykiem, udokumentowanych w formie polityk i procedur. Oto pełna lista wymaganych dokumentów.
Polityka Bezpieczeństwa Informacji
Art. 21 ust. 2 lit. a
Analiza i rejestr ryzyk
Art. 21 ust. 2 lit. a
Procedura reagowania na incydenty
Art. 21 ust. 2 lit. b
Plan ciągłości działania (BCP)
Art. 21 ust. 2 lit. c
Polityka bezpieczeństwa łańcucha dostaw
Art. 21 ust. 2 lit. d
Polityka zakupów i rozwoju systemów
Art. 21 ust. 2 lit. e
Procedura oceny skuteczności środków
Art. 21 ust. 2 lit. f
Program szkoleń i budowania świadomości
Art. 21 ust. 2 lit. g
Polityka kryptografii i szyfrowania
Art. 21 ust. 2 lit. h
Polityka kontroli dostępu i zarządzania tożsamością
Art. 21 ust. 2 lit. i
Polityka zarządzania aktywami
Art. 21 ust. 2 lit. i
Procedura raportowania incydentów do CSIRT
Art. 23 NIS2
Proces
Jak to działa
Trzy proste kroki od ankiety do gotowej dokumentacji. Bez miesięcy oczekiwania, bez setek godzin pracy Twojego zespołu.
Wypełniasz ankietę o firmie
30 minutKrótka, ustrukturyzowana ankieta o Twojej firmie: branża, wielkość, infrastruktura IT, obecne zabezpieczenia. Nie musisz być ekspertem — pytania są w języku biznesowym.
Generujemy komplet dokumentów
48 godzinNasz zespół i narzędzia AI analizują odpowiedzi i przygotowują komplet spersonalizowanych dokumentów — dopasowanych do Twojej branży, wielkości firmy i poziomu dojrzałości.
Ekspert weryfikuje i dostosowuje
FinalizacjaDoświadczony konsultant ds. bezpieczeństwa weryfikuje każdy dokument, wprowadza korekty i upewnia się, że dokumentacja jest gotowa na audyt.
Zakres
Co dostajesz
Kliknij dowolny dokument, aby zobaczyć szczegółowy opis tego, co zawiera.
Nadrzędny dokument definiujący cele, zakres i zasady bezpieczeństwa informacji w organizacji. Fundament całego systemu.
Identyfikacja, ocena i plan postępowania z ryzykami cyberbezpieczeństwa. Metodyka zgodna z ISO 27005 / NIST.
Krok po kroku: wykrycie, klasyfikacja, eskalacja, containment, raportowanie do CSIRT. Zgodna z wymaganiami 24h/72h.
Jak firma działa dalej po poważnym incydencie. Scenariusze, role, procedury odtwarzania, testy.
Wymagania bezpieczeństwa dla dostawców, podwykonawców i partnerów. Klauzule umowne, audyty, ocena ryzyka dostawców.
Bezpieczeństwo w procesie zakupu, rozwoju i utrzymania systemów IT. Testy bezpieczeństwa, zarządzanie podatnościami.
Jak mierzyć i raportować skuteczność wdrożonych zabezpieczeń. KPI, audyty wewnętrzne, testy penetracyjne.
Plan szkoleń dla zarządu (Art. 20) i pracowników. Harmonogram, zakres, weryfikacja wiedzy, dokumentacja.
Standardy szyfrowania danych w spoczynku i w transmisji. Zarządzanie kluczami, certyfikatami, algorytmami.
MFA, zasada najmniejszych uprawnień, przeglądy dostępów, zarządzanie kontami uprzywilejowanymi.
Inwentaryzacja zasobów IT, klasyfikacja danych, odpowiedzialność za aktywa, cykl życia.
Wzory zgłoszeń, terminy (24h wstępne, 72h pełne), kanały komunikacji, eskalacja, dokumentacja.
Porównanie
Kto robi co? Model partnerski.
KSC 2.0 wymaga trzech kompetencji: prawnej, organizacyjnej i operacyjnej. Kancelaria prawna zapewnia zgodność prawną. Konsultant ISO — framework. SecIQ — ciągłe operacje, które ustawa wymaga art. 8 pkt 2 lit. e: „monitorowanie w trybie ciągłym”.
| Odpowiedzialność | Kancelaria prawna | Konsultant ISO | SecIQ (SOC) |
|---|---|---|---|
| Tworzenie polityk i procedur | Wsparcie prawne | LEAD | Dane operacyjne |
| Monitoring ciągły 24/7 (art. 8.2e) | — | — | LEAD — SOC 24/7 |
| Obsługa incydentów + zgłoszenie 24h | Wsparcie prawne | — | LEAD — reakcja <15 min |
| Szkolenia pracowników (art. 21g) | — | — | LEAD — IQ Academy |
| Audyt co 2 lata (art. 15) | — | LEAD | Dane z SOC |
| Aktualizacja dokumentacji | Przy zmianach prawa | Cyklicznie | Na bieżąco z operacji |
| Faza wstępna (0-6 mies.) | 20% pracy | 30% pracy | 20% pracy |
| Faza ciągła (7+ mies.) | 2-5% pracy | 5-10% pracy | 60-70% pracy |
Utrzymanie
Nie jednorazowo — ciągle aktualizowane
Prawo się zmienia. Twoja firma się rozwija. Dokumentacja musi nadążać. Tradycyjnie to oznacza kolejny projekt i kolejny budżet. U nas — to część usługi.
Zmiany w przepisach
Gdy zmieni się KSC 2.0, rozporządzenia wykonawcze lub wytyczne ENISA — aktualizujemy dokumentację wszystkich klientów. Automatycznie.
Zmiany w Twojej firmie
Nowy oddział, zmiana infrastruktury, nowy dostawca — dokumentacja jest aktualizowana w ramach comiesięcznych przeglądów z Twoim opiekunem.
Ciągłe doskonalenie
Każdy incydent, każdy audyt, każda lekcja — wraca do dokumentacji jako poprawa. System uczy się na doświadczeniach wszystkich klientów.
Sprawdź jakich dokumentów brakuje Twojej firmie
Bezpłatna analiza luk w dokumentacji KSC 2.0. Dowiesz się dokładnie, jakie dokumenty musisz przygotować i ile to zajmie.