Audyt8 min czytania

Audyt KSC i NIS 2 w Gdańsku — kto, kiedy, ile kosztuje

Specyfika Gdańska a audyt KSC / NIS 2

Gdańsk to jedno z najbardziej skomplikowanych miast Polski z perspektywy ustawy o krajowym systemie cyberbezpieczeństwa. W jego granicach działają: Port Gdańsk (operator portu morskiego — podmiot kluczowy z zał. nr 1 do KSC, sektor transport wodny), Energa SA (sektor energii elektrycznej — PK), klastry ICT (Asseco, Intel Gdańsk, Speednet, Intland), uniwersyteckie szpitale (UCK, Copernicus), Uniwersytet Gdański i Politechnika Gdańska, urząd miasta z ~2400 etatami (PK jako podmiot publiczny z >50 FTE), spółki komunalne (Gdańska Infrastruktura Wodociągowo-Kanalizacyjna, ZTM, MZD). Każdy z tych podmiotów ma obowiązek audytu wynikający z art. 15 ustawy o KSC — różne tylko w zakresie cykliczności i organu nadzorującego.

Sprawdź, czy Twoja organizacja w ogóle podlega ustawie — w artykule „Czy podlegam pod KSC?\" opisujemy procedurę samoidentyfikacji w 5 minut. Dla podmiotów z Trójmiasta organem właściwym do spraw cyberbezpieczeństwa jest minister sektorowy (art. 41 KSC) — Pomorski Urząd Wojewódzki nie jest organem KSC, ale może występować w ramach nadzoru sektorowego (np. ochrony zdrowia poprzez NFZ).

Kto z Gdańska musi przejść audyt

Obowiązek audytu zależy od klasyfikacji podmiotu. W Gdańsku rozkłada się następująco:

Sektor / podmiotKlasyfikacjaCykl audytu
Port Gdański Eksploatacja, Zarząd Morskiego Portu Gdańsk SAPodmiot kluczowy (zał. 1 — transport wodny)Co najmniej raz na 3 lata (art. 15 ust. 1)
Energa Operator, Energa Wytwarzanie, Energa ObrótPodmiot kluczowy (zał. 1 — energia elektryczna)Co 3 lata + dodatkowo środki z rozp. (UE) 2024/1366
Uniwersyteckie Centrum Kliniczne, Copernicus PL, szpitale powyżej 250 osóbPodmiot kluczowy (zał. 1 — ochrona zdrowia)Co 3 lata
Urząd Miejski w Gdańsku (≥2400 etatów)Podmiot kluczowy (sektor podmioty publiczne z zał. 1)Co 3 lata
Spółki komunalne Gdańska (GIWK, ZTM, MZD, Hewelianum)Podmiot ważny (zał. 2 — samorządowe spółki użyteczności publicznej, art. 5 ust. 2 pkt 8)Audyt na żądanie organu — art. 15 ust. 1b
Średnie firmy ICT (50–249 osób)Podmiot ważny (zał. 1 — infrastruktura cyfrowa)Audyt na żądanie organu
Mikro- i mali przedsiębiorcy komunikacji elektronicznejPodmiot ważny (art. 5 ust. 2 pkt 4)Audyt na żądanie organu
Pierwszy audyt PK istniejących w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) — termin upływa 3 kwietnia 2028 r. (art. 33 ust. 2 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252). Dla podmiotów uznanych za PK decyzją organu z art. 7l KSC — 24 miesiące od doręczenia decyzji.

Audytor z Gdańska / Trójmiasta — wymogi art. 15 ust. 2

Art. 15 ust. 2 KSC ściśle ogranicza krąg podmiotów uprawnionych do przeprowadzenia audytu. Lokalizacja audytora (Gdańsk, Gdynia, Sopot, Pomorze) nie ma znaczenia prawnego — ustawa nie wymaga, by audytor był z tego samego województwa — ale w praktyce ma znaczenie operacyjne (czas reakcji, znajomość lokalnych specyfik, dojazd).

  • Akredytowana jednostka oceniająca zgodność (zgodnie z ustawą z 13.04.2016 r. o systemach oceny zgodności i nadzoru rynku) — np. PCA-akredytowani audytorzy ISO 27001.
  • Co najmniej dwóch audytorów posiadających certyfikaty z wykazu rozporządzenia ministra informatyzacji (CIA, CISA, ISO/IEC 27001 Lead Auditor, ISO 22301, CISM, CRISC, CGEIT, CISSP, SSCP, ISA/IEC 62443) lub udokumentowane co najmniej 3 lata praktyki w audycie bezpieczeństwa systemów informacyjnych.
  • CSIRT sektorowy ustanowiony w ramach sektora z zał. 1 — jeśli jego audytorzy spełniają powyższe warunki.
Wyłączenie z art. 15 ust. 2a: audytu NIE może przeprowadzić osoba, która w audytowanym podmiocie realizuje lub realizowała zadania z art. 8 lub art. 9–13 KSC (SZBI, raportowanie incydentów) — w okresie roku przed rozpoczęciem audytu. To wyklucza „audyt wewnętrzny" wykonywany przez dział bezpieczeństwa własnej organizacji.

Ile kosztuje audyt KSC w Gdańsku

Cennik audytu w Gdańsku odpowiada cennikom ogólnopolskim — koszty są zależne od skali infrastruktury i sektora, a nie lokalizacji. W praktyce w Trójmieście stawki są porównywalne z Warszawą.

Typ podmiotuOrientacyjny zakres (PLN netto)Co wpływa na cenę
Mała firma / urząd gminy (do 50 FTE)25 000 – 60 000Liczba systemów krytycznych, scope SZBI, dokumentacja istniejąca
Średnie przedsiębiorstwo (50–249 FTE)60 000 – 150 000Rozproszenie geograficzne, łańcuch dostaw, integracje
Duża organizacja / PK (≥250 FTE)150 000 – 500 000+Liczba lokalizacji, OT/IT, sektor (port, energetyka — wyżej)
Audyt powtórny (co 3 lata) — ten sam podmiot60–80% kosztu pierwszegoBazuje na istniejącej dokumentacji i historii
Dodatkowe koszty występują przy audytach nakazanych przez organ właściwy w trybie art. 15 ust. 1b — np. po incydencie poważnym lub przy naruszeniu. Organ wyznacza termin i może określić zakres oraz rodzaj uprawnionych audytorów. Sprawdź też kary za nieprzeprowadzenie audytu w terminie.

Jak przygotować organizację do audytu

Skuteczna przygotowanie organizacji do audytu KSC / NIS 2 wymaga 4–6 miesięcy. Plan minimum dla podmiotu z Gdańska:

  1. Samoidentyfikacja statusu (art. 5 KSC) — czy jesteś PK, PW, czy nie podlegasz. Sprawdź sektor (zał. 1 vs zał. 2) i progi wielkościowe wg rozp. 651/2014/UE.
  2. Wpis do wykazu w systemie S46 (art. 7c ust. 1 KSC) — w terminie 6 miesięcy od spełnienia przesłanek. Dla podmiotów istniejących 3.04.2026: termin 3.10.2026.
  3. Wdrożenie SZBI zgodnie z art. 8 ust. 1 KSC (14 obszarów) — lub uproszczonego SZBI z Załącznika nr 4 dla podmiotów publicznych będących PW (art. 8 ust. 3). Termin: 12 miesięcy. Zob. SZBI wg Załącznika nr 4.
  4. Dokumentacja normatywna i operacyjna (art. 10 KSC) — polityki, procedury, dziennik operacyjny, plany ciągłości, plan postępowania z ryzykiem.
  5. Szkolenie kierownika (art. 8e KSC) — raz w roku kalendarzowym, udokumentowane. Dotyczy zarządu, członków organów, dyrektora generalnego, wójta/burmistrza/prezydenta.
  6. Weryfikacja niekaralności personelu realizującego zadania z art. 8 lub 11 (art. 8f KSC) — zaświadczenie z KRK.
  7. Wybór audytora 4–6 miesięcy przed planowanym audytem — dobry audytor ma kalendarz zapełniony 3–6 miesięcy do przodu, zwłaszcza pod koniec cyklu trzyletniego.
  8. Pre-audit (audyt wewnętrzny dry-run) na 2–3 miesiące przed właściwym audytem — najlepiej z innym zespołem niż własny dział bezpieczeństwa (zgodnie z art. 15 ust. 2a).
IdealData Sp. z o.o. (siedziba: ul. Oliwska 135/3, 80-209 Chwaszczyno k. Gdańska) świadczy usługi wdrożeniowe KSC/NIS 2 oraz pre-audyty z art. 15 KSC. Oferujemy obsługę podmiotów z Gdańska, Gdyni, Sopotu i województwa pomorskiego. Pierwsza konsultacja bezpłatna — pomożemy w samoidentyfikacji statusu PK/PW i ustaleniu harmonogramu pod audyt z art. 15 KSC.
FAQ5 pytań

Najczęstsze pytania

Czy port morski w Gdańsku musi przejść audyt KSC?
Tak. Zarząd Morskiego Portu Gdańsk SA oraz operatorzy obiektów portowych (zgodnie z definicją z rozp. (WE) 725/2004) są podmiotami kluczowymi z mocy zał. nr 1 do KSC w sektorze transport wodny — niezależnie od wielkości przedsiębiorstwa, gdy spełniają definicję armatora, podmiotu zarządzającego portem lub obiektem portowym. Cykl audytu: co najmniej raz na 3 lata (art. 15 ust. 1 KSC). Pierwszy audyt dla portu istniejącego w dniu wejścia w życie ustawy — do 3 kwietnia 2028 r. (art. 33 ust. 2 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252).
Czy Urząd Miejski w Gdańsku podlega audytowi co 3 lata?
Tak — Urząd Miejski w Gdańsku z ponad 2400 etatami jest podmiotem kluczowym wg zał. 1 KSC (sektor podmioty publiczne, jednostki sektora finansów publicznych z art. 9 pkt 3 ufp + urząd gminy z ≥50 osób). Cykl: co najmniej raz na 3 lata (art. 15 ust. 1 KSC). Stosuje pełny SZBI z art. 8 ust. 1, nie uproszczony z Załącznika nr 4 (który jest dla podmiotów ważnych — np. mniejszych urzędów gmin poniżej 50 osób).
Czy mogę zatrudnić audytora z Warszawy zamiast lokalnego z Gdańska?
Tak, ustawa nie ogranicza geograficznie audytora (art. 15 ust. 2 KSC mówi tylko o kwalifikacjach, nie o lokalizacji). Względy operacyjne przemawiają jednak za audytorem z Trójmiasta lub Pomorza: krótszy czas reakcji, znajomość lokalnych specyfik (porty, energetyka morska, JST trójmiejskich), niższe koszty dojazdu, lepsza dostępność w trakcie i po audycie. Dla audytów obejmujących wiele lokalizacji w Trójmieście (port + zakład + biuro) lokalny audytor jest znacząco efektywniejszy.
Ile kosztuje audyt KSC dla średniej firmy ICT z Gdańska?
Średnia firma ICT (50–249 osób, czyli średni przedsiębiorca wg rozp. 651/2014) z Gdańska będzie podmiotem ważnym (zał. 1, sektor infrastruktura cyfrowa lub zarządzanie usługami ICT). Audyt orientacyjnie 60 000 – 150 000 zł netto, zależnie od: liczby systemów krytycznych objętych SZBI, rozproszenia (jedna lokalizacja vs kilka), zakresu łańcucha dostaw, posiadanej dokumentacji ISO 27001 (jeśli jest — koszt może spaść o 20–30%). Dla PW audyt nie jest obowiązkowy okresowo — tylko na żądanie organu w trybie art. 15 ust. 1b. Warto jednak przeprowadzić dobrowolnie jako element należytej staranności.
Czy szpital z Gdańska może być audytowany przez własny dział bezpieczeństwa?
Nie. Art. 15 ust. 2a KSC wyraźnie wyklucza osoby realizujące w danym podmiocie zadania z art. 8 KSC (wdrożenie i utrzymanie SZBI) oraz art. 9–13 (osoby kontaktowe, dokumentacja, zarządzanie incydentami) — także te, które te zadania realizowały w okresie roku przed audytem. Pracownik działu bezpieczeństwa szpitala (np. UCK lub Copernicus) odpowiedzialny za SZBI nie może być audytorem własnego pracodawcy. Audyt musi przeprowadzić: akredytowana jednostka zewnętrzna, dwóch niezależnych audytorów z certyfikatami, lub CSIRT sektorowy.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.