Audyt8 min czytaniaOpublikowano: 15 marca 2026Zaktualizowano NaN miesiące temu

Audyt bezpieczeństwa KSC / NIS 2 — kto i kiedy?

Obowiązek audytowy w ustawie

Art. 15 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa nakłada na podmioty kluczowe obowiązek przeprowadzania audytu bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata, na własny koszt. Cykl liczy się od dnia podpisania raportu z ostatniego audytu. Audyt ma na celu niezależną ocenę adekwatności i skuteczności wdrożonych środków zarządzania ryzykiem w cyberbezpieczeństwie. Sprawdź pełny harmonogram terminów wdrożenia KSC, w tym termin pierwszego audytu.

Podmioty ważne nie mają ustawowego obowiązku okresowego audytu, jednak organ właściwy może nakazać przeprowadzenie audytu w ramach nadzoru ex post — w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy (art. 15 ust. 1b).

Kwalifikacje audytora

Audyt może być przeprowadzony przez: (1) akredytowaną jednostkę oceniającą zgodność, (2) co najmniej dwóch audytorów posiadających wymagane certyfikaty lub praktykę, lub (3) CSIRT sektorowy, jeśli jego audytorzy spełniają te warunki (art. 15 ust. 2). Ustawa wymaga co najmniej dwóch audytorów — jeden audytor nie jest wystarczający.

Certyfikat CIA (Certified Internal Auditor) lub CISA (Certified Information Systems Auditor)
Certyfikat audytora wiodącego ISO/IEC 27001 wydany przez akredytowaną jednostkę certyfikującą
Certyfikat audytora wiodącego ISO 22301 (zarządzanie ciągłością działania)
Certyfikat CISM, CRISC, CGEIT, CISSP, SSCP, CRP
Certyfikat ISA/IEC 62443 Cybersecurity Expert
Kwalifikacje równoważne potwierdzone przez ministra właściwego do spraw informatyzacji

Audyt nie może być przeprowadzony przez osobę, która w tym samym podmiocie realizuje lub realizowała zadania z zakresu SZBI oraz zgłaszania incydentów w okresie roku przed rozpoczęciem audytu. Wymóg ten ma gwarantować niezależność oceny.

Zakres i przebieg audytu

Zakres audytu obejmuje kompleksową ocenę bezpieczeństwa organizacyjnego, technicznego i fizycznego podmiotu. Audytor weryfikuje zgodność wdrożonych środków z wymaganiami ustawy — w tym dokumentację SZBI — oraz adekwatność tych środków do zidentyfikowanego poziomu ryzyka.

Obszar audytu	Kluczowe elementy weryfikacji
Bezpieczeństwo organizacyjne	Polityki i procedury bezpieczeństwa, struktura odpowiedzialności, zarządzanie ryzykiem, szkolenia personelu
Bezpieczeństwo techniczne	Konfiguracja systemów, zarządzanie podatnościami, monitorowanie zdarzeń, kontrola dostępu, szyfrowanie
Bezpieczeństwo fizyczne	Ochrona serwerowni i punktów dostępowych, zasilanie awaryjne, ochrona przeciwpożarowa
Zarządzanie incydentami	Procedury wykrywania i reagowania, testy planów, dokumentacja incydentów historycznych

Raport z audytu i dalsze kroki

Wyniki audytu ujmowane są w raporcie, który podmiot ma obowiązek przekazać organowi właściwemu do spraw cyberbezpieczeństwa. Raport powinien zawierać opis zastosowanej metodyki, wykryte niezgodności, ocenę ryzyka rezydualnego oraz rekomendacje działań naprawczych z określonymi terminami realizacji. Jeśli szukasz wykonawcy audytu — patrz nasz landing: Audyt KSC — niezależny audyt bezpieczeństwa wg art. 15.

Przekaż kopię raportu z audytu organowi właściwemu w terminie 3 dni roboczych od jego otrzymania (art. 15 ust. 1a).
Opracuj plan działań naprawczych z konkretnymi terminami i osobami odpowiedzialnymi.
Wdróż rekomendacje o priorytecie krytycznym i wysokim w ciągu 90 dni (rekomendowana dobra praktyka — ustawa nie określa konkretnego terminu).
Udokumentuj wdrożone działania naprawcze jako dowód dla kolejnego audytu.

Spis treści

Obowiązek audytowy w ustawie Kwalifikacje audytora Zakres i przebieg audytu Raport z audytu i dalsze kroki

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

AudytAudyt KSC i NIS 2 w Gdańsku — kto, kiedy, ile kosztuje KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc

FAQ4 pytania

Najczęstsze pytania

Jak często robić audyt bezpieczeństwa w KSC?

Podmioty kluczowe: obowiązkowo co najmniej raz na 3 lata (art. 15 ust. 1 KSC) oraz w każdym czasie, gdy organ właściwy nakaże audyt w trybie nadzoru (art. 15 ust. 1b). Podmioty ważne: wyłącznie na żądanie organu właściwego — w przypadku incydentu poważnego lub innego naruszenia przepisów ustawy (art. 15 ust. 1b). Pierwszy audyt: dotyczy wyłącznie podmiotów kluczowych — w terminie 24 miesięcy od spełnienia przesłanek uznania za PK (art. 33 ust. 2 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252). Dla PK istniejących w dniu wejścia ustawy: termin upływa 3 kwietnia 2028 r.

Kto może przeprowadzić audyt KSC?

Zgodnie z art. 15 ust. 2 KSC audyt może wykonać wyłącznie: (1) jednostka oceniająca zgodność akredytowana zgodnie z ustawą z 13.04.2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie właściwym dla bezpieczeństwa systemów informacyjnych; (2) co najmniej dwóch audytorów posiadających wymagane certyfikaty zawodowe (m.in. CISA, CIA, ISO/IEC 27001 Lead Auditor, ISO 22301, CISM, CRISC, CGEIT, CISSP, SSCP, ISA/IEC 62443) lub odpowiednie kwalifikacje wykazane praktyką; (3) CSIRT sektorowy, jeżeli jego audytorzy spełniają warunki z pkt 2. UWAGA: zgodnie z dodanym ust. 2a audytorem nie może być osoba realizująca lub realizująca w ostatnich 3 latach zadania z art. 8 lub art. 9–13 w audytowanym podmiocie — wyklucza to klasyczny „audyt wewnętrzny” wykonywany przez własny dział bezpieczeństwa.

Ile kosztuje audyt KSC?

Koszt zależy od skali organizacji, zakresu systemów i branży. Orientacyjne widełki: mała firma / urząd gminy — 25-60 tys. PLN; średnie przedsiębiorstwo — 60-150 tys. PLN; duża organizacja lub podmiot kluczowy z rozproszoną infrastrukturą — 150-500+ tys. PLN. Dodatkowo: koszt audytów powtórnych co 3 lata i audytów nadzoru.

Czy certyfikat ISO 27001 zastępuje audyt KSC?

Nie zastępuje w pełni, ale ustawa o KSC traktuje wdrożenie i certyfikację ISO 27001 oraz ISO 22301 jako domniemanie zgodności z częścią wymogów technicznych i organizacyjnych (ustawa o KSC — por. Q&A MC pkt 4.2). Audyt KSC koncentruje się jednak na szerszym zakresie: ocenie ryzyka, raportowaniu, łańcuchu dostaw, wpisie do wykazu — zakres wykraczający poza ISO 27001.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.