KSC 2.0 / NIS2 · Ustawa obowiązuje od 3 kwietnia 2026 r.

Twoja firma być może właśnie została objęta ustawą o cyberbezpieczeństwie. Pytanie brzmi: czy o tym wiesz?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrożenie dyrektywy NIS2) nakłada obowiązki na tysiące średnich firm, które nigdy wcześniej nie podlegały takim przepisom. Za naruszenia grożą kary do 7 mln EUR lub 1,4% rocznego obrotu, a kierownik podmiotu odpowiada osobiście — karą do 300% swojego wynagrodzenia. Przygotowujemy komplet dokumentacji i przeprowadzamy Twoją firmę przez cały proces. Ty prowadzisz biznes, my pilnujemy zgodności.

Wniosek o wpis do wykazu KSC: do 3 października 2026 r.

  • Kwalifikacja w 48 h — bezpłatnie i bez zobowiązań
  • Kompletna dokumentacja, nie porady
  • Stała opieka abonamentowa, nie jednorazowy projekt
38 000+podmiotów objętych nowymi obowiązkami
3.10.2026termin wniosku o wpis do wykazu KSC
24 hna wczesne zgłoszenie poważnego incydentu
12 mies.na wdrożenie systemu zarządzania bezpieczeństwem

Źródło: ustawa o Krajowym Systemie Cyberbezpieczeństwa po nowelizacji z 2026 r. (Dz.U. 2026 poz. 252)

60 sekund, żeby wiedzieć, na czym stoisz

Ustawa dzieli firmy na podmioty kluczowe i ważne według sektora i wielkości. Jeśli na którekolwiek pytanie odpowiadasz „tak" — prawdopodobnie podlegasz obowiązkom KSC i powinniśmy porozmawiać.

Nie masz pewności? Właśnie po to jest bezpłatna kwalifikacja. W 48 godzin dostajesz jednoznaczną odpowiedź: podlegasz / nie podlegasz / podlegasz częściowo — z uzasadnieniem prawnym na piśmie.

Co się stanie, jeśli nic nie zrobisz

Kary finansowe

Do 7 mln EUR lub 1,4% rocznego obrotu dla podmiotów ważnych (min. 15 000 zł), do 10 mln EUR lub 2% dla kluczowych (min. 20 000 zł), a przy naruszeniach powodujących poważne cyberzagrożenie — nawet do 100 mln zł. Ustawa przewiduje okres przejściowy dla kar pieniężnych, ale organy nadzoru już dziś dysponują ostrzeżeniami, nakazami i wpisem do wykazu z urzędu.

Odpowiedzialność osobista kierownictwa

Ustawa wprowadza osobistą odpowiedzialność kierownika podmiotu — z karą pieniężną do 300% jego wynagrodzenia. Kierownik ma też obowiązek corocznego szkolenia z cyberbezpieczeństwa. „Nie wiedziałem" nie jest linią obrony; obowiązek znajomości przepisów leży po stronie zarządu.

Utrata kontraktów

Duże podmioty objęte ustawą muszą weryfikować bezpieczeństwo łańcucha dostaw. Brak zgodności = wykluczenie z przetargów i wypowiedzenie umów przez klientów, którzy sami nie mogą ryzykować kary. Zgodność staje się warunkiem handlowym, nie tylko prawnym.

Cztery moduły. Zero prawniczego żargonu.

Nie sprzedajemy opinii prawnych na 40 stron. Dostarczasz nam informacje o firmie — odbierasz gotowe, wdrożone dokumenty i przeszkolony zespół.

Moduł 1 — Kwalifikacja regulacyjna (bezpłatna)

Ustalamy, czy i w jakim zakresie podlegasz ustawie. Pisemna odpowiedź z uzasadnieniem w 48 h. Bez zobowiązań — jeśli nie podlegasz, rozstajemy się z czystym sumieniem (Twoim i naszym).

Moduł 2 — Pakiet dokumentacji zgodności

Komplet wymaganej dokumentacji szyty na miarę Twojej firmy: polityki bezpieczeństwa, procedury zarządzania incydentami, analiza ryzyka, plan ciągłości działania, rejestry i wzory zgłoszeń. Gotowe do okazania organowi nadzoru i audytorowi.

Moduł 3 — Szkolenie kierownictwa i zespołu

Ustawa wymaga, by kierownictwo przeszło szkolenie z cyberbezpieczeństwa. Prowadzimy je w formule zdalnej lub na miejscu, z zaświadczeniem do dokumentacji. Zespół wie, co robić, gdy dzieje się incydent — zanim się wydarzy.

Moduł 4 — Abonament zgodności

Przepisy się zmieniają, dokumentacja się starzeje, ludzie rotują. W abonamencie: aktualizacje dokumentów, wsparcie przy zgłaszaniu incydentów, coroczny przegląd zgodności i przygotowanie do audytu. Płacisz miesięcznie, śpisz spokojnie.

Ceny ustalamy po kwalifikacji — zależą od wielkości firmy i zakresu obowiązków. Nie publikujemy cennika, bo nie sprzedajemy produktu z półki: firma 60-osobowa z jedną lokalizacją i grupa z pięcioma spółkami to dwa różne zakresy pracy.

Od pierwszego kontaktu do pełnej zgodności

  1. Bezpłatna kwalifikacja

    Wypełniasz krótki formularz, w 48 h wiesz, czy podlegasz.

  2. Analiza luk

    Porównujemy stan Twojej firmy z wymaganiami ustawy. Dostajesz raport: co masz, czego brakuje, co jest pilne.

  3. Wdrożenie dokumentacji

    Przygotowujemy komplet dokumentów dopasowanych do Twojej działalności i pomagamy je wdrożyć.

  4. Szkolenie

    Kierownictwo i kluczowy personel przechodzą wymagane szkolenie, z zaświadczeniami.

  5. Stała opieka

    Abonament utrzymuje zgodność w czasie: aktualizacje, wsparcie incydentowe, gotowość audytowa.

Zgodność bez korporacyjnej nadbudowy

Duże kancelarie i firmy audytorskie obsługują banki i operatorów energetycznych — za budżety, których średnia firma nie ma i mieć nie musi. My robimy jedną rzecz: przeprowadzamy średnie firmy przez wymogi KSC/NIS2 szybko, kompletnie i w przewidywalnej cenie. Wykorzystujemy narzędzia automatyzacji tam, gdzie skracają pracę, i ludzi tam, gdzie ustawa wymaga odpowiedzialności. Efekt: dokumentacja klasy kancelaryjnej w tempie i cenie, na które kancelaria nie ma procesu.

FAQ

Czy na pewno podlegam, skoro nikt mnie nie poinformował?

Ustawa nie przewiduje indywidualnych zawiadomień. Obowiązek samodzielnej identyfikacji i rejestracji leży po stronie firmy — dlatego pierwszym krokiem jest kwalifikacja.

Mam firmę IT / informatyka na etacie. To nie wystarczy?

Informatyk zabezpiecza systemy. Ustawa wymaga czegoś innego: udokumentowanego systemu zarządzania bezpieczeństwem — polityk, procedur, analizy ryzyka, szkoleń i zdolności zgłaszania incydentów w terminach ustawowych. To praca organizacyjno-prawna, nie techniczna.

Ile to trwa?

Kwalifikacja: 48 h. Pełne wdrożenie dokumentacji: zwykle 3–6 tygodni, zależnie od wielkości firmy i dostępności informacji po Waszej stronie.

Co jeśli okaże się, że nie podlegam?

Dostajesz to na piśmie z uzasadnieniem i kończymy współpracę bezkosztowo. Pisemne potwierdzenie braku obowiązku też ma wartość — możesz je pokazać kontrahentom, którzy pytają.

Kwalifikacja nic nie kosztuje.
Zwłoka — może kosztować bardzo dużo.

Napisz lub zostaw dane — w 48 godzin wiesz, na czym stoisz.

Administratorem danych jest PAG sp. z o.o. (operator serwisu zgodni.eu). Dane przetwarzamy wyłącznie w celu obsługi Twojego zapytania — nie trafiają do baz marketingowych i nie są nikomu sprzedawane.

Wolisz maila? Napisz wprost: adrian@zgodni.eu

Polityka prywatności

Administrator danych

Administratorem danych osobowych podanych za pośrednictwem tej strony jest PAG sp. z o.o., ul. Marszałkowska 55/73 lok. 39, 00-676 Warszawa, NIP: 7011285760, KRS: 0001204506. Kontakt: adrian@zgodni.eu.

Jakie dane i po co

Przetwarzamy dane podane w formularzu (nazwa firmy, adres e-mail, opcjonalnie telefon) wyłącznie w celu odpowiedzi na zapytanie i przeprowadzenia bezpłatnej kwalifikacji regulacyjnej — na podstawie art. 6 ust. 1 lit. b i f RODO (działania przed zawarciem umowy oraz prawnie uzasadniony interes administratora, jakim jest obsługa korespondencji). Podanie danych jest dobrowolne, ale niezbędne do udzielenia odpowiedzi.

Odbiorcy danych

Dane z formularza obsługuje dostawca usługi formularzy (Formspree Inc.) oraz dostawca hostingu i poczty (Hostinger International Ltd.). Może to oznaczać przekazanie danych poza Europejski Obszar Gospodarczy — na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Danych nie sprzedajemy i nie wykorzystujemy do marketingu.

Okres przechowywania i Twoje prawa

Dane przechowujemy przez czas obsługi zapytania i ewentualnej współpracy, nie dłużej niż wymagają tego przepisy. Masz prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu oraz skargi do Prezesa UODO. Wystarczy e-mail na adrian@zgodni.eu.

Pliki cookies

Strona nie używa plików cookies ani narzędzi analitycznych śledzących użytkowników.