Standardy10 min czytania

ISO 27001 a KSC — czy certyfikat oznacza zgodność?

Podstawa prawna domniemania zgodności

Zgodnie z art. 14 ust. 5a ustawy o KSC, wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą PN-EN ISO/IEC 27001 oraz systemu zarządzania ciągłością działania zgodnego z PN-EN ISO 22301, potwierdzone certyfikatem wydanym przez jednostkę akredytowaną, rodzi domniemanie zgodności w zakresie wymagań technicznych i organizacyjnych SZBI wskazanych w ustawie. To istotne ułatwienie dla podmiotów, które już posiadają te certyfikaty.

Domniemanie zgodności to nie zwolnienie z obowiązków. Organ właściwy może obalić domniemanie, jeśli audyt lub kontrola wykaże braki w kontrolach właściwych dla KSC. W praktyce certyfikat daje silną pozycję w razie sporu, ale nie eliminuje obowiązku stałego utrzymania zgodności.

Domniemanie dotyczy samego SZBI — nie rozciąga się na inne obowiązki ustawy (wpis do wykazu, raportowanie incydentów, szczegóły łańcucha dostaw). W konsekwencji firma z ISO 27001 może skupić się na wypełnieniu tych specyficznych wymogów KSC, bez duplikowania wdrożenia podstawowego systemu zarządzania bezpieczeństwem.

Co ISO 27001 realnie pokrywa z KSC

ISO 27001:2022 zawiera 93 kontrole zgrupowane w czterech obszarach (organizacyjne, ludzkie, fizyczne, technologiczne). Większość z nich ma bezpośrednie odzwierciedlenie w wymogach KSC określonych w art. 8 i załączniku nr 3.

Obszar KSC (art. 8)Kontrola ISO 27001:2022Stopień pokrycia
Analiza i zarządzanie ryzykiemKlauzule 6.1, 8.2 + A.5.2, A.5.7Pełne
Polityka bezpieczeństwa informacjiKlauzula 5.2 + A.5.1Pełne
Zarządzanie aktywamiA.5.9, A.5.10, A.5.11Pełne
Kontrola dostępu (w tym MFA)A.5.15, A.5.16, A.8.2, A.8.5Pełne
Zarządzanie podatnościamiA.8.8Częściowe — KSC wymaga dodatkowo raportowania CSIRT
Bezpieczeństwo w łańcuchu dostawA.5.19, A.5.20, A.5.21, A.5.22, A.5.23Częściowe — KSC ma szersze wymogi co do oceny HRV
Incydenty — wykrywanie i reagowanieA.5.24, A.5.25, A.5.26, A.5.27Częściowe — KSC narzuca terminy 24/72h/1mc i kanały CSIRT
Ciągłość działaniaA.5.29, A.5.30Wymaga uzupełnienia przez ISO 22301
Szkolenia personeluA.6.3Częściowe — KSC wymaga szkoleń zarządu (art. 14a)
Monitoring i audytA.8.15, A.8.16 + klauzula 9.2Pełne dla kontroli wewnętrznych
Certyfikacja ISO 27001 obejmuje nie tylko wdrożenie kontroli, ale również cykl ciągłego doskonalenia (klauzule 9 i 10): audyty wewnętrzne, przeglądy kierownictwa, działania korygujące. To element mocno cenniony przez organ właściwy KSC — dowód dojrzałości SZBI.

Czego ISO 27001 nie zastępuje

ISO 27001 jest normą uniwersalną — nie adresuje specyficznych dla KSC wymogów administracyjnych i raportowych. W szczególności certyfikat nie zwalnia z następujących obowiązków:

  • Wpis do wykazu S46 (art. 7 KSC) — ISO nie reguluje rejestracji w krajowym wykazie. To czysto administracyjny obowiązek, niezależny od certyfikacji.
  • Raportowanie incydentów poważnych do CSIRT (art. 11 KSC) — ISO ma ogólne wymogi raportowania (A.5.25), ale KSC narzuca konkretne terminy (24h/72h/1 miesiąc) i konkretnego adresata (CSIRT sektorowy, nie dowolny organ).
  • Ocena i klasyfikacja dostawców jako HRV (art. 67a-67c KSC) — ISO wymaga oceny ryzyka dostawców (A.5.19), ale nie uwzględnia specyficznego reżimu uznawania za dostawcę wysokiego ryzyka decyzją MC.
  • Audyt akredytowany co 3 lata (art. 15 KSC) — ISO rekomenduje audyty wewnętrzne i recertyfikację co 3 lata, ale audyt KSC ma odrębne wymogi co do zakresu i audytora z listy MC.
  • Szkolenia obligatoryjne zarządu (art. 14a KSC) — ISO zachęca do świadomości bezpieczeństwa, ale nie narzuca ustawowego obowiązku szkolenia organu zarządzającego co 12 miesięcy.
  • Weryfikacja niekaralności personelu SZBI z KRK (art. 8f KSC) — ISO pokrywa ogólnie „screening” personelu (A.6.1), ale polski KSC wymaga zaświadczeń z Krajowego Rejestru Karnego dla ról krytycznych.
  • Współpraca z organem właściwym w razie kontroli (art. 53-54 KSC) — ISO nie reguluje współpracy z państwowymi organami nadzoru cyberbezpieczeństwa.
  • Kary osobiste kierownika (art. 73a KSC) — ISO nie przewiduje odpowiedzialności osobistej członka zarządu — to polska, ustawowa konsekwencja.

Rola ISO 22301 — ciągłość działania

ISO 22301 — norma zarządzania ciągłością działania (BCMS) — uzupełnia ISO 27001 w obszarze odporności biznesowej. Ustawa o KSC wymienia ją obok ISO 27001 jako podstawę domniemania zgodności. Dla podmiotów świadczących usługi kluczowe (szczególnie zdrowie, energia, woda, finanse) ISO 22301 jest praktycznie niezbędna.

  • Analiza BIA (Business Impact Analysis) — identyfikacja procesów krytycznych i maksymalnego tolerowanego czasu przerwy (MTPD).
  • Strategia ciągłości — alternatywne ścieżki świadczenia usługi, rezerwy sprzętowe, kontrakty z zewnętrznymi dostawcami backup.
  • Plany ciągłości działania (BCP) — procedury przywracania usług w różnych scenariuszach zakłóceń.
  • Plany odtwarzania po awarii (DRP) — specyficzne dla IT, zdefiniowane wskaźniki RTO (Recovery Time Objective) i RPO (Recovery Point Objective).
  • Testy i ćwiczenia — minimum raz w roku symulacja scenariusza awarii, udokumentowana z wnioskami.
  • Współpraca z łańcuchem dostaw — zapewnienie ciągłości usług po stronie dostawców krytycznych.
ISO 22301 szczególnie przydaje się szpitalom (procedury emergency mode, praca bez HIS), bankom (DORA wymaga TLPT i planów odpornościowych), energetyce (procedury awaryjne systemów OT/SCADA) i JST (plany ciągłości usług publicznych).

Jak wykorzystać istniejący certyfikat

Firma posiadająca ISO 27001 (i opcjonalnie ISO 22301) nie musi budować SZBI „od zera” — wystarczy dociągnąć warstwę specyficzną dla KSC. Oto rekomendowana ścieżka:

  1. Przeprowadź gap analysis — porównaj istniejącą deklarację stosowania (SoA) z wymaganiami art. 8 KSC i załącznikiem nr 3. Zmapuj każdą kontrolę KSC do kontroli ISO.
  2. Uzupełnij luki specyficzne dla KSC — dopisz do SZBI: procedurę wpisu i aktualizacji w S46, procedurę raportowania do CSIRT z terminami 24/72h/1mc, procedurę oceny i klasyfikacji dostawców HRV.
  3. Włącz obowiązki kierownicze — dodaj do planu szkoleń organu zarządzającego, zaktualizuj matryce odpowiedzialności (RACI) z uwzględnieniem kierownika jako osoby odpowiedzialnej ustawowo.
  4. Weryfikacja personelu — procedura pozyskiwania i aktualizowania zaświadczeń z KRK dla ról krytycznych SZBI (art. 8f), zgodna z RODO.
  5. Dostosuj zakres SZBI — upewnij się, że wszystkie systemy wykorzystywane do świadczenia usługi kluczowej/ważnej są objęte SZBI (może wymagać rozszerzenia zakresu certyfikatu lub osobnego SZBI dla usług KSC).
  6. Dokumentuj mapowanie — przygotuj tabelę „ISO kontrola → KSC wymóg → dowód zgodności” jako podstawowy dokument do kontroli organu właściwego.
  7. Planuj recertyfikację ISO i audyt KSC w spójnym cyklu — optymalnie audyty zewnętrzne ISO i audyt KSC (dla PK co 3 lata) organizuj razem, z tym samym dostawcą audytowym.
Nie traktuj ISO 27001 jako „check-boxa” — certyfikat formalny bez realnego utrzymywania SZBI nie uchroni przed karą. Jeśli audytor KSC stwierdzi rozbieżność między certyfikatem a faktyczną praktyką, organ właściwy może uznać domniemanie zgodności za obalone, a dodatkowo zakwestionować ważność samego certyfikatu u jednostki akredytującej.
FAQ4 pytania

Najczęstsze pytania

Czy ISO 27001 zwalnia z obowiązków KSC?
Nie zwalnia — daje tylko domniemanie zgodności z częścią wymogów technicznych i organizacyjnych SZBI (art. 14 ust. 5a KSC). Pozostają niezależne obowiązki: wpis do wykazu S46, raportowanie incydentów 24/72h do CSIRT, szczegóły łańcucha dostaw KSC, szkolenia zarządu, weryfikacja KRK personelu. Certyfikat to mocne narzędzie, ale nie zastępuje pełnego wdrożenia KSC.
Jaka jest różnica między ISO 27001 a ISO 22301?
ISO 27001 to norma zarządzania bezpieczeństwem informacji (SZBI) — obejmuje poufność, integralność, dostępność w szerokim zakresie. ISO 22301 to norma zarządzania ciągłością działania (BCMS) — specjalizuje się w odporności biznesowej na zakłócenia (BIA, BCP, DRP, testy ciągłości). Obie są uzupełniające i razem pokrywają wymagania KSC w zakresie ochrony i odporności. Art. 14 ust. 5a KSC wymienia obie jako podstawę domniemania zgodności.
Ile kosztuje wdrożenie ISO 27001 dla celów KSC?
Koszt zależy od skali organizacji i zakresu. Orientacyjne widełki: (1) mała firma — 40-80 tys. PLN (doradztwo + audyt certyfikujący), (2) średnia firma — 80-200 tys. PLN, (3) duża organizacja z rozproszoną infrastrukturą — 200-500+ tys. PLN. Rocznie dodatkowe koszty utrzymania: audyty nadzoru (~15-40 tys. PLN), audyty wewnętrzne, szkolenia, aktualizacje dokumentacji. Inwestycja zwraca się przez ograniczenie kar KSC, łatwiejsze wygrywanie przetargów i obniżenie cen ubezpieczeń cyber.
Czy można mieć certyfikat ISO 27001 bez wdrażania KSC?
Teoretycznie tak — certyfikacja ISO jest dobrowolna i niezależna od ustawy. W praktyce jednak podmiot objęty KSC musi wdrożyć SZBI (art. 8), który de facto pokrywa się z ISO 27001 w 70-80%. Wybór: wdrożyć samodzielny SZBI pod KSC (tańsze formalnie, ale brak uznanej certyfikacji) lub ISO 27001 + uzupełnienia KSC (droższe, ale szerzej uznawane i z domniemaniem zgodności). Większość dojrzałych organizacji wybiera drugą drogę.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.