SZBI8 min czytania

Wdrożenie SZBI — 14 obszarów art. 8 KSC

Kogo dotyczy obowiązek SZBI

Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) wynika z art. 8 ust. 1 KSC: „Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym do świadczenia usługi”. Obowiązek dotyczy zarówno podmiotów kluczowych (PK), jak i ważnych (PW) — różnica polega tylko na intensywności nadzoru. Dla podmiotów ważnych będących podmiotami publicznymi możliwe jest stosowanie uproszczonej wersji z zał. nr 4 (art. 8 ust. 3 KSC).

Nie wiesz, czy musisz wdrożyć SZBI? Zacznij od pillara „Czy podlegam pod KSC?” — 3 kroki samoidentyfikacji w 5 minut.

Pełen SZBI vs uproszczony zał. 4

Wariant SZBIKomu dotyczyPodstawa prawnaZakres
Pełen SZBI (14 obszarów)Wszystkie PK + PW niebędące podmiotami publicznymiart. 8 ust. 1 pkt 2 lit. a–nPełna lista 14 obszarów + szacowanie ryzyka
Uproszczony SZBI (zał. 4)PW będące podmiotami publicznymi (mniejsze JST, szkoły, biblioteki, samorządowe ZOZ-y)art. 8 ust. 3 KSC + zał. nr 4Lista kontrolna minimalnych wymagań — bez szacowania ryzyka
Uproszczony SZBI z zał. nr 4 mogą stosować tylko PW publiczne. Każdy PK (w tym duże JST: starostwa, urzędy miast na prawach powiatu) wdraża pełen SZBI z 14 obszarów. Patrz: SZBI wg Załącznika nr 4 — przewodnik dla JST.

Zakres usługi — 14 obszarów

Wdrażamy SZBI obejmujący wszystkie 14 obszarów wymienionych w art. 8 ust. 1 pkt 2 lit. a–n KSC. Każdy obszar dostosowujemy do wyników szacowania ryzyka, wielkości podmiotu, stanu wiedzy technicznej oraz kosztów wdrożenia (zasada proporcjonalności z art. 8 ust. 1).

  • Polityki szacowania ryzyka i bezpieczeństwa systemu informacyjnego (lit. a) — metodyka ISO 27005, NIST CSF, rejestr ryzyk
  • Bezpieczeństwo nabywania, rozwoju, utrzymania i eksploatacji (lit. b) — Secure SDLC, patch management
  • Bezpieczeństwo fizyczne i środowiskowe z kontrolą dostępu (lit. c) — strefy, karty, CCTV, UPS
  • Bezpieczeństwo zasobów ludzkich (lit. d) — weryfikacja, NDA, onboarding/offboarding, art. 8f (niekaralność)
  • Bezpieczeństwo łańcucha dostaw produktów, usług i procesów ICT (lit. e) — rejestr dostawców, klauzule SLA
  • Plany ciągłości działania — opracowanie, dokumentowanie, testowanie, utrzymanie (lit. f) — BCP, DRP, RTO/RPO
  • Monitorowanie systemu informacyjnego w trybie ciągłym (lit. g) — SIEM, IDS/IPS, logi 24/7
  • Polityki oceny skuteczności środków bezpieczeństwa (lit. h) — KPI/KRI, przeglądy zarządcze
  • Edukacja i wzrost świadomości w zakresie cyberbezpieczeństwa (lit. i) — szkolenia, kampanie phishing
  • Stosowanie środków uwierzytelniania wieloskładnikowego (lit. j) — MFA, SSO, hasła sprzętowe
  • Polityki w zakresie kryptografii i szyfrowania (lit. k) — szyfrowanie at-rest, in-transit, zarządzanie kluczami
  • Bezpieczeństwo łączności (lit. l) — segmentacja sieci, VPN, TLS, zarządzanie firewallami
  • Postępowanie z incydentami i podatnościami (lit. m) — procedura zgłaszania (art. 11), playbooki
  • Środki zapobiegania ujawnianiu informacji niejawnych (lit. n) — DLP, klasyfikacja danych

Proces — 6 etapów wdrożenia

Wdrożenie SZBI prowadzimy w sześciu etapach. Czas realizacji zależy od skali podmiotu i dojrzałości obecnych zabezpieczeń — typowy projekt to 4-9 miesięcy od kick-offu do gotowego, działającego SZBI.

EtapCzas trwaniaProdukt etapu
1. Analiza luk2–4 tyg.Raport gap analysis vs. art. 8 ust. 1 pkt 2 lit. a–n
2. Szacowanie ryzyka3–6 tyg.Rejestr ryzyk, mapa ryzyk, plan postępowania
3. Polityki i procedury4–8 tyg.Komplet dokumentacji SZBI (polityka bezpieczeństwa, 14 obszarów)
4. Wdrożenie środków technicznych8–16 tyg.MFA, SIEM, kopie 3-2-1, segmentacja, monitoring
5. Szkolenia i świadomość2–4 tyg.Plan szkoleń, kampanie phishing, onboarding/offboarding
6. Przegląd zarządczy1 tydz.Przegląd kierownictwa, akceptacja SZBI, plan ciągłego doskonalenia

Terminy wdrożenia

Sytuacja podmiotuTermin wdrożenia SZBIPodstawa prawna
Podmiot istniejący w dniu wejścia w życie ustawy (3.04.2026)do 3 kwietnia 2027 r. (12 mies. od wejścia w życie)art. 33 ust. 1 ustawy nowelizującej
Podmiot powstający lub osiągający przesłanki po 3.04.202612 miesięcy od dnia spełnienia przesłanekart. 16 pkt 1 KSC
Niewdrożenie SZBI w terminie jest naruszeniem z art. 73 ust. 1 KSC. Maksymalna kara dla PK: do 10 mln EUR lub 2% rocznych przychodów (art. 73 ust. 3); dla PW: do 7 mln EUR lub 1,4% (art. 73 ust. 4). Plus kara osobista dla kierownika podmiotu z art. 73a (do 100% lub 300% rocznego wynagrodzenia). Egzekucja od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej).

Dokumenty wyjściowe

  • Polityka bezpieczeństwa informacji (dokument główny SZBI)
  • 14 polityk obszarowych zgodnych z art. 8 ust. 1 pkt 2 lit. a–n (lub lista zał. 4 dla PW publicznych)
  • Rejestr ryzyk z metodyką szacowania (zgodny z lit. a)
  • Rejestr dostawców ICT z oceną ryzyka (lit. e)
  • Plan ciągłości działania (BCP) i plan odtwarzania (DRP) — testowane corocznie (lit. f)
  • Procedury reagowania na incydenty i playbooki (lit. m)
  • Plan szkoleń i wzrostu świadomości (lit. i)
  • Rejestr przeglądów zarządczych SZBI

Cena i konsultacja

Bezpłatna konsultacja wstępna. Na pierwszym, niezobowiązującym spotkaniu (zdalnie lub w siedzibie klienta) ustalamy zakres SZBI (pełen vs zał. 4), oszacowujemy nakład pracy i przedstawiamy harmonogram. Następnie otrzymujesz indywidualną wycenę. Dla klientów z Trójmiasta i Pomorza dostępność on-site bez kosztów delegacji. Patrz: Wdrożenie KSC w Trójmieście.
FAQ5 pytań

Najczęstsze pytania

Czy moja organizacja musi wdrożyć SZBI?
Tak — jeśli jest podmiotem kluczowym lub ważnym wg ustawy o KSC. Obowiązek wynika wprost z art. 8 ust. 1 KSC. Status PK/PW określa się wg sektora (zał. 1 lub 2) i wielkości (art. 5). Patrz: artykuł „Czy podlegam pod KSC?”. Niektóre podmioty są PK niezależnie od wielkości — dostawcy DNS (art. 5 ust. 1 pkt 4 lit. a), kwalifikowani dostawcy usług zaufania (lit. b), MSSP od poziomu małego (art. 5 ust. 1 pkt 3), podmioty publiczne z zał. 1.
Czy mogę zastosować uproszczony SZBI z załącznika nr 4?
Tylko jeśli jesteś podmiotem ważnym BĘDĄCYM podmiotem publicznym (art. 8 ust. 3 KSC). Dotyczy to mniejszych JST (urzędów gmin <50 FTE), szkół, bibliotek, samorządowych zakładów budżetowych, samorządowych instytucji kultury. Każdy podmiot kluczowy — w tym duże JST (starostwa, urzędy miast na prawach powiatu) — musi wdrożyć pełen SZBI z 14 obszarów. Patrz: artykuł „SZBI wg Załącznika nr 4”.
Ile trwa wdrożenie SZBI w praktyce?
Typowo 4-9 miesięcy od kick-offu do działającego SZBI. Czas zależy od skali (liczba systemów, oddziałów), dojrzałości obecnych zabezpieczeń (organizacja z certyfikatem ISO 27001 startuje znacznie szybciej) oraz wybranego wariantu (zał. 4 dla PW publicznych — często 3-5 miesięcy; pełen 14 obszarów dla PK z systemami OT/ICS — nawet 12 miesięcy). Termin ustawowy to 12 miesięcy od wejścia w życie nowelizacji (do 3.04.2027 dla istniejących podmiotów — art. 33 ust. 1 ustawy nowelizującej).
Czy ISO 27001 zastępuje SZBI z KSC?
Nie — to dwa różne reżimy. ISO 27001 to dobrowolny standard międzynarodowy; SZBI z KSC to obowiązek prawny. Posiadanie certyfikatu ISO 27001 znacznie przyspiesza wdrożenie KSC, ponieważ większość polityk i procedur SZBI ISO mapuje się na 14 obszarów art. 8 ust. 1 pkt 2 KSC. Trzeba jednak uzupełnić specyficzne wymagania KSC: raportowanie incydentów do CSIRT (art. 11), rejestrację w wykazie S46 (art. 7c), szkolenie kierownika (art. 8e), audyt bezpieczeństwa (art. 15). Patrz: artykuł „ISO 27001 a KSC”.
Co jeśli nie wdrożymy SZBI w terminie?
Niewdrożenie SZBI w terminie z art. 33 ust. 1 ustawy nowelizującej (dla istniejących podmiotów — do 3.04.2027) lub art. 16 pkt 1 KSC (dla nowo powstających — 12 mies. od kwalifikacji) jest naruszeniem z art. 73 ust. 1 KSC. Kary administracyjne: dla PK do 10 mln EUR lub 2% rocznych przychodów (art. 73 ust. 3); dla PW do 7 mln EUR lub 1,4% (art. 73 ust. 4). Plus kara osobista dla kierownika podmiotu z art. 73a (do 100% lub 300% rocznego wynagrodzenia). Egzekwowanie kar pieniężnych z art. 73 ust. 1-4 oraz art. 73a-73c rozpoczyna się 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.