Audyt8 min czytania

Audyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?

Obowiązek audytowy w ustawie

Art. 15 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa nakłada na podmioty kluczowe obowiązek przeprowadzania audytu bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata, na własny koszt. Cykl liczy się od dnia podpisania raportu z ostatniego audytu. Audyt ma na celu niezależną ocenę adekwatności i skuteczności wdrożonych środków zarządzania ryzykiem w cyberbezpieczeństwie.

Podmioty ważne nie mają ustawowego obowiązku okresowego audytu, jednak organ właściwy może nakazać przeprowadzenie audytu w przypadku uzasadnionego podejrzenia naruszenia wymagań bezpieczeństwa.

Kwalifikacje audytora

Audyt może być przeprowadzony przez: (1) akredytowaną jednostkę oceniającą zgodność, (2) co najmniej dwóch audytorów posiadających wymagane certyfikaty lub praktykę, lub (3) CSIRT sektorowy, jeśli jego audytorzy spełniają te warunki (art. 15 ust. 2). Ustawa wymaga co najmniej dwóch audytorów — jeden audytor nie jest wystarczający.

  • Certyfikat CIA (Certified Internal Auditor) lub CISA (Certified Information Systems Auditor)
  • Certyfikat audytora wiodącego ISO/IEC 27001 wydany przez akredytowaną jednostkę certyfikującą
  • Certyfikat audytora wiodącego ISO 22301 (zarządzanie ciągłością działania)
  • Certyfikat CISM, CRISC, CGEIT, CISSP, SSCP, CRP
  • Certyfikat ISA/IEC 62443 Cybersecurity Expert
  • Kwalifikacje równoważne potwierdzone przez ministra właściwego do spraw informatyzacji
Audyt nie może być przeprowadzony przez osobę, która w tym samym podmiocie realizuje lub realizowała zadania z zakresu SZBI oraz zgłaszania incydentów w okresie roku przed rozpoczęciem audytu. Wymóg ten ma gwarantować niezależność oceny.

Zakres i przebieg audytu

Zakres audytu obejmuje kompleksową ocenę bezpieczeństwa organizacyjnego, technicznego i fizycznego podmiotu. Audytor weryfikuje zgodność wdrożonych środków z wymaganiami ustawy oraz adekwatność tych środków do zidentyfikowanego poziomu ryzyka.

Obszar audytuKluczowe elementy weryfikacji
Bezpieczeństwo organizacyjnePolityki i procedury bezpieczeństwa, struktura odpowiedzialności, zarządzanie ryzykiem, szkolenia personelu
Bezpieczeństwo techniczneKonfiguracja systemów, zarządzanie podatnościami, monitorowanie zdarzeń, kontrola dostępu, szyfrowanie
Bezpieczeństwo fizyczneOchrona serwerowni i punktów dostępowych, zasilanie awaryjne, ochrona przeciwpożarowa
Zarządzanie incydentamiProcedury wykrywania i reagowania, testy planów, dokumentacja incydentów historycznych

Raport z audytu i dalsze kroki

Wyniki audytu ujmowane są w raporcie, który podmiot ma obowiązek przekazać organowi właściwemu do spraw cyberbezpieczeństwa. Raport powinien zawierać opis zastosowanej metodyki, wykryte niezgodności, ocenę ryzyka rezydualnego oraz rekomendacje działań naprawczych z określonymi terminami realizacji.

  1. Przekaż kopię raportu z audytu organowi właściwemu w terminie 3 dni roboczych od jego otrzymania (art. 15 ust. 1a).
  2. Opracuj plan działań naprawczych z konkretnymi terminami i osobami odpowiedzialnymi.
  3. Wdróż rekomendacje o priorytecie krytycznym i wysokim w ciągu 90 dni.
  4. Udokumentuj wdrożone działania naprawcze jako dowód dla kolejnego audytu.
Spis treści
Obowiązek audytowy w ustawie
Kwalifikacje audytora
Zakres i przebieg audytu
Raport z audytu i dalsze kroki
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.