Audyt8 min czytania

Audyt KSC — niezależny audyt bezpieczeństwa wg art. 15

Kogo dotyczy obowiązek audytu

Obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego dotyczy każdego podmiotu kluczowego (PK) w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa. Wynika to wprost z art. 15 ust. 1 KSC: „Podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi”. Status PK ustala się na podstawie sektora (zał. nr 1) i wielkości — szczegóły w artykule „Czy podlegam pod KSC?” — 3 kroki samoidentyfikacji w 5 minut.

Kategoria podmiotuObowiązek audytuPodstawa prawna
Podmiot kluczowy (PK)Tak — co najmniej raz na 3 lata, na własny kosztart. 15 ust. 1 KSC
Podmiot ważny (PW)Nie z mocy prawa; może być nakazany decyzją organu po incydencieart. 15 ust. 1b KSC
PK wskazany decyzją (np. CER, MSSP, DNS)Tak — bez progu wielkościowegoart. 5 ust. 1 pkt 3 i 4 KSC w zw. z art. 15 ust. 1
Podmiot publiczny z zał. 1 (np. urząd miasta na prawach powiatu)Takart. 15 ust. 1 w zw. z zał. 1 pkt 3–4
Organ właściwy ds. cyberbezpieczeństwa może w drodze decyzji nakazać podmiotowi kluczowemu w każdym czasie, a podmiotowi ważnemu w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy — przeprowadzenie zewnętrznego audytu (art. 15 ust. 1b KSC). Decyzja podlega natychmiastowemu wykonaniu (art. 15 ust. 1c).

Zakres usługi audytu

Audyt obejmuje weryfikację, czy system zarządzania bezpieczeństwem informacji (SZBI) podmiotu spełnia wymagania ustawowe — w szczególności 14 obszarów z art. 8 ust. 1 pkt 2 lit. a–n KSC. Każdy obszar jest oceniany pod kątem proporcjonalności do oszacowanego ryzyka, dokumentacji oraz skuteczności środków technicznych i organizacyjnych.

  • Polityki szacowania ryzyka i bezpieczeństwa systemu informacyjnego (lit. a)
  • Bezpieczeństwo nabywania, rozwoju, utrzymania i eksploatacji systemu (lit. b)
  • Bezpieczeństwo fizyczne i środowiskowe z kontrolą dostępu (lit. c)
  • Bezpieczeństwo zasobów ludzkich (lit. d)
  • Bezpieczeństwo łańcucha dostaw produktów, usług i procesów ICT (lit. e)
  • Plany ciągłości działania — opracowanie, dokumentowanie, testowanie, utrzymanie (lit. f)
  • Monitorowanie systemu informacyjnego w trybie ciągłym (lit. g)
  • Polityki oceny skuteczności środków bezpieczeństwa (lit. h)
  • Edukacja i wzrost świadomości w zakresie cyberbezpieczeństwa (lit. i)
  • Stosowanie środków uwierzytelniania wieloskładnikowego (lit. j)
  • Polityki w zakresie kryptografii i szyfrowania (lit. k)
  • Bezpieczeństwo łączności (lit. l)
  • Postępowanie z incydentami i podatnościami (lit. m)
  • Środki zapobiegania ujawnianiu informacji niejawnych (lit. n)
Dla podmiotów stosujących uproszczony SZBI z załącznika nr 4 (podmioty ważne będące podmiotami publicznymi — art. 8 ust. 3 KSC) audyt obejmuje pozycje z tej listy, a nie pełne 14 obszarów. Patrz: SZBI wg Załącznika nr 4 — przewodnik dla JST.

Proces — 5 etapów

Proces audytu prowadzimy w pięciu etapach. Każdy etap ma jasno określone produkty cząstkowe oraz zaangażowanie strony klienta. Czas realizacji zależy od skali podmiotu i liczby systemów objętych audytem — typowy projekt to 4–10 tygodni.

EtapCzynnościProdukt etapu
1. Spotkanie wstępneZakres, harmonogram, lista systemów, zasady niezależności (art. 15 ust. 2a)Karta audytu, harmonogram
2. Analiza dokumentacjiPolityki, procedury, rejestr ryzyk, plany BCP, rejestr dostawców ICTLista wstępnych obserwacji
3. Audyt technicznyTesty, weryfikacja środków, wywiady z personelem, próbki incydentówNotatki audytowe, dowody
4. Raport audytuKonsolidacja ustaleń, rekomendacje, klasyfikacja niezgodnościRaport końcowy podpisany przez audytora
5. Przekazanie raportuKopia do organu właściwego ds. cyberbezpieczeństwa w terminie 3 dni roboczych od otrzymania (art. 15 ust. 1a)Potwierdzenie przekazania raportu

Terminy audytu

Terminy audytu różnicują się w zależności od tego, czy podmiot istniał w dniu wejścia w życie nowelizacji (3 kwietnia 2026 r.), czy stał się podmiotem kluczowym później. Każdy kolejny audyt liczony jest od dnia podpisania raportu z poprzedniego.

Sytuacja podmiotuTermin pierwszego audytuPodstawa prawna
PK istniejący w dniu wejścia w życie ustawy (3.04.2026)do 3 kwietnia 2028 r. (24 mies. od wejścia w życie)art. 33 ust. 2 ustawy nowelizującej (Dz.U. 2026 poz. 252)
PK powstający lub osiągający przesłanki po 3.04.202624 miesiące od dnia spełnienia przesłanekart. 16 pkt 2 KSC
Każdy kolejny audyt PKco najmniej raz na 3 lata od podpisania poprzedniego raportuart. 15 ust. 1 KSC
Audyt nakazany decyzją organuw terminie określonym w decyzji (natychmiastowe wykonanie)art. 15 ust. 1b–1c KSC
Niewykonanie audytu w terminie z art. 15 ust. 1 lub art. 16 pkt 2 KSC jest jednym z naruszeń wymienionych w art. 73 ust. 1 KSC. Maksymalna kara dla podmiotu kluczowego: do 10 000 000 EUR lub 2% rocznych przychodów z działalności gospodarczej z roku poprzedniego (art. 73 ust. 3). Dla podmiotu ważnego: do 7 000 000 EUR lub 1,4% przychodów (art. 73 ust. 4). Niezależnie od tego — kara osobista dla kierownika podmiotu z art. 73a (do 100% lub 300% rocznego wynagrodzenia).

Dokumenty wyjściowe

W ramach audytu dostarczamy komplet dokumentów wymaganych przez ustawę oraz materiały robocze ułatwiające wewnętrzne wdrożenie zaleceń.

  • Raport audytu (zgodny z wymaganiami art. 15 ust. 7 KSC) — podpisany przez audytora przeprowadzającego audyt
  • Lista niezgodności z klasyfikacją (krytyczne / wysokie / średnie / niskie) i mapą do konkretnych liter art. 8 ust. 1 pkt 2
  • Rekomendacje techniczne i organizacyjne, z przypisaniem priorytetów wdrożeniowych
  • Załączniki techniczne: wyniki testów, próbki dowodów, wykaz przetestowanych systemów
  • Pomoc w przygotowaniu kopii raportu do przekazania organowi właściwemu ds. cyberbezpieczeństwa (art. 15 ust. 1a)

Wymagania wobec audytora

Wymagania wobec audytora określa art. 15 ust. 2 KSC. Audytor musi mieć udokumentowane uprawnienia (np. CISA, CISM, CISSP, ISO 27001 Lead Auditor) lub kwalifikacje zgodne z rozporządzeniem wykonawczym. Praktyka audytorska zalicza się zgodnie z art. 24 ust. 2 ustawy nowelizującej: minimum 3 audyty bezpieczeństwa systemów informacyjnych w ciągu ostatnich 3 lat lub 1/2 etatu w audycie wewnętrznym (art. 15 ust. 2 pkt 2 lit. b i c).

Niezależność audytora — bezwzględna (art. 15 ust. 2a KSC). Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania z art. 8 lub art. 9–13 (czyli wdrożenie SZBI lub raportowanie incydentów), ani przez osobę, która realizowała te zadania w okresie roku przed dniem rozpoczęcia audytu. Praktycznie oznacza to, że ten sam zespół nie może w tej samej organizacji wdrażać i audytować — wymaga to jasnego rozdziału ról.

Cena i konsultacja

Audyt KSC wyceniamy indywidualnie. Wycena zależy od skali podmiotu (liczba systemów, lokalizacji, oddziałów), sektora (porty, szpitale, energetyka, JST mają specyficzne wymagania), a także od tego, czy klient potrzebuje wyłącznie audytu, czy także wsparcia we wdrożeniu rekomendacji.

Bezpłatna konsultacja wstępna. Na pierwszym, niezobowiązującym spotkaniu (zdalnie lub w siedzibie klienta) wspólnie ustalamy zakres audytu, harmonogram i orientacyjny budżet. Następnie otrzymujesz indywidualną ofertę. Pracujemy lokalnie z Pomorza — dla klientów z Trójmiasta i okolic dostępność on-site bez kosztów delegacji. Patrz: Wdrożenie KSC w Trójmieście — Gdańsk, Gdynia, Sopot.
FAQ5 pytań

Najczęstsze pytania

Czy moja firma musi przeprowadzić audyt KSC?
Obowiązek audytu z art. 15 ust. 1 KSC dotyczy wyłącznie podmiotów kluczowych (PK). Status PK wynika z sektora (zał. nr 1 do ustawy) i wielkości — duży przedsiębiorca w sektorze kluczowym jest PK z mocy prawa (art. 5 ust. 1 pkt 1). Podmioty ważne (PW) nie mają obowiązku audytu z mocy prawa, ale organ właściwy może go nakazać w drodze decyzji w przypadku incydentu poważnego lub innego naruszenia (art. 15 ust. 1b). Niektóre podmioty są PK niezależnie od wielkości — m.in. dostawcy DNS, MSSP, kwalifikowani dostawcy usług zaufania, podmioty publiczne z zał. 1 (art. 5 ust. 1 pkt 3 i 4).
Co dzieje się, gdy nie przeprowadzimy audytu w terminie?
Niewykonanie audytu w terminie z art. 15 ust. 1 lub art. 16 pkt 2 KSC jest naruszeniem wymienionym w art. 73 ust. 1 ustawy. Maksymalna kara administracyjna na podmiot kluczowy wynosi do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej z roku poprzedniego (art. 73 ust. 3). Dodatkowo na kierownika podmiotu — do 300% rocznego wynagrodzenia (art. 73a ust. 4) lub do 100% w przypadku kierownika podmiotu publicznego nie działającego w innym sektorze z zał. 1/2 (art. 73a ust. 5). Egzekwowanie kar pieniężnych z art. 73 ust. 1 i art. 73a rozpoczyna się po upływie 2 lat od wejścia w życie nowelizacji, czyli od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej).
Czy audyt można zrobić wewnętrznie?
Ustawa nie wymaga zewnętrznego audytora w trybie art. 15 ust. 1 — kluczowe są kwalifikacje audytora (art. 15 ust. 2) oraz jego niezależność od osób realizujących zadania z art. 8 i art. 9–13 (art. 15 ust. 2a — co najmniej rok karencji). W praktyce wymóg niezależności jest trudny do spełnienia wewnętrznie: ta sama osoba lub zespół nie może w tej samej organizacji wdrażać SZBI i go audytować w odstępie krótszym niż rok. Wewnętrzny audyt jest możliwy tylko w dużych organizacjach z rozbudowanymi działami audytu wewnętrznego, oddzielonymi od bezpieczeństwa operacyjnego. Audyt nakazany decyzją organu (art. 15 ust. 1b) musi być zewnętrzny — organ wskazuje rodzaj uprawnionego podmiotu.
Jaki jest termin pierwszego audytu KSC?
Dla podmiotów kluczowych istniejących w dniu wejścia w życie nowelizacji (3 kwietnia 2026 r.): pierwszy audyt do 3 kwietnia 2028 r., czyli w terminie 24 miesięcy od wejścia w życie ustawy (art. 33 ust. 2 ustawy nowelizującej, Dz.U. 2026 poz. 252). Dla podmiotów stających się PK po 3 kwietnia 2026 r.: pierwszy audyt w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za PK (art. 16 pkt 2 KSC). Każdy kolejny audyt — co najmniej raz na 3 lata, licząc od dnia podpisania raportu z poprzedniego (art. 15 ust. 1).
Jak długo trwa audyt KSC w praktyce?
Czas realizacji audytu zależy od skali podmiotu, liczby systemów informacyjnych objętych badaniem oraz dojrzałości SZBI. Typowo dla średniego podmiotu kluczowego (kilka systemów krytycznych, jedna lokalizacja) — 4 do 10 tygodni od kick-offu do podpisania raportu. Dla dużych grup z wieloma oddziałami i systemami OT/ICS — 12 tygodni i więcej. Po podpisaniu raportu pozostaje termin 3 dni roboczych na przekazanie kopii organowi właściwemu (art. 15 ust. 1a). Konkretny harmonogram ustalamy na bezpłatnej konsultacji wstępnej.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.