Najważniejsze obowiązki NIS2 / KSC dla podmiotów kluczowych i ważnych:rejestracja w Wykazie KSC (do 3 października 2026),wdrożenie zarządzania ryzykiem i polityki cyberbezpieczeństwa,plan reakcji na incydenty + raportowanie (24h / 72h / miesiąc),zabezpieczenia organizacyjne i techniczne (dokumentacja, role, procedury),kontrola dostawców i łańcucha dostaw,regularne szkolenia z cyberbezpieczeństwa dla zarządu i pracowników,odpowiedzialność osobista członków zarządu.Różnica między podmiotem kluczowym a ważnym dotyczy głównie nadzoru (kluczowe = nadzór proaktywny, ważne = reaktywny) i poziomu kar.

NIS2 / KSC: audyt, wdrożenie, szkolenia – podejście prawno-techniczne - Kancelaria adwokacka Andrzej Bołtryk: adwokat Białystok

Kancelaria adwokacka Andrzej Bołtryk: adwokat Białystok

Kancelaria adwokacka Andrzej Bołtryk: adwokat Białystok, Warszawa. Pomoc prawna dla przedsiębiorstw oraz osób prywatnych. Kliknij i zapoznaj się z pełną ofertą.

Umów spotkanie

NIS2 / KSC: audyt, wdrożenie, szkolenia
– podejście prawno-techniczne

Pomagamy firmom i organizacjom uporządkować cyberbezpieczeństwo i compliance:
od diagnozy ryzyk po dokumentację, procedury i szkolenia dla zarządu i pracowników.

• Audyt gotowości i plan działań;
• Dokumentacja + procedury + wsparcie wdrożenia;
• Szkolenia (zarząd / pracownicy) + opcja stałej opieki.
Odpowiadamy szybko. Pierwsza rozmowa służy wstępnemu rozpoznaniu potrzeb i nie stanowi porady prawnej w konkretnej sprawie.

↓ Sprawdź, czy Twoja organizacja podlega NIS2 / KSC

Umów konsultację →

NIS2 / KSC: audyt, wdrożenie, szkolenia
– podejście prawno-techniczne

Pomagamy firmom i organizacjom uporządkować cyberbezpieczeństwo i compliance:
od diagnozy ryzyk po dokumentację, procedury i szkolenia dla zarządu i pracowników.

• Audyt gotowości i plan działań
• Dokumentacja + procedury + wsparcie wdrożenia
• Szkolenia (zarząd / pracownicy) + opcja stałej opieki

↓ Sprawdź, czy Twoja organizacja podlega NIS2 / KSC

Umów konsultację →

Kluczowe terminy NIS2 / KSC

3 kwietnia
2026

Wejście w życie nowelizacji ustawy o KSC. Od tej daty obowiązuje nowy reżim NIS2.

7 maja –
3 października 2026

Okres samorejestracji do Wykazu KSC dla podmiotów kluczowych i ważnych.

3 kwietnia
2027

Koniec okresu dostosowawczego. Organizacje muszą spełniać wymagania ustawy w pełnym zakresie.

3 kwietnia
2028

Pierwsze kary pieniężne mogą być nakładane po upływie 2 lat od wejścia ustawy.

Źródła: Ministerstwo Cyfryzacji – najważniejsze terminy, ustawa Dz.U. 2026 poz. 252.

Dla kogo pracujemy:

• Zarządy i właściciele firm, którzy chcą mieć uporządkowane obowiązki i odpowiedzialności;
• Dz. IT / bezpieczeństwa / compliance / IOD – gdy potrzebujesz wsparcia prawnego i dokumentacyjnego;
• Organizacje z sektorów regulowanych oraz podmioty współpracujące w łańcuchu dostaw.

Obsługujemy projekty w całej Polsce – zdalnie lub stacjonarnie (Białystok / Warszawa).

NIS2: cztery elementy, które wdrażamy najczęściej

Analiza
obowiązków

Sprawdzamy, czy organizacja podlega NIS2/KSC. Oceniamy sektor, wielkość i rolę w łańcuchu dostaw. Otrzymujesz jasną odpowiedź na pytanie o zakres obowiązków.

Audyt gotowości
/ audyt wdrożenia

Sprawdzamy stan obecny: procesy, role, dokumentację, zarządzanie incydentami, dostawców i podstawowe zabezpieczenia organizacyjne. Dostajesz listę priorytetów i plan działań.

Dokumentacja
i wdrożenie

Przygotowujemy i porządkujemy dokumenty oraz procedury, a potem pomagamy wdrożyć je w organizacji tak, żeby działały w praktyce (a nie tylko “na papierze”).

Szkolenia: zarząd
+ pracownicy

Szkolimy w sposób praktyczny: obowiązki, odpowiedzialności, scenariusze incydentów, reakcja na phishing/BEC, komunikacja i raportowanie.

Odpowiadamy szybko. Pierwsza rozmowa służy wstępnemu rozpoznaniu potrzeb i nie stanowi porady prawnej w konkretnej sprawie.

Już to robimy

20+ lat
doświadczenia

W obsłudze podmiotów regulowanych: operatorzy usługi kluczowej, podmioty kluczowe i ważne NIS2 / KSC.

Szpitale
w obsłudze

Audyty cyberbezpieczeństwa i stała obsługa prawna szpitali – w tym przygotowanie dokumentacji SZBI.

100+
przeszkolonych

Pracowników administracji publicznej w samym 2026. Setki przeszkolonych łącznie z RODO i cyber.

Operatorzy
usługi kluczowej

Obsługa podmiotów pełniących tę funkcję pod poprzednią ustawą o KSC – teraz „kluczowi" w NIS2. Znamy tę problematykę od podstaw.

Najczęściej jesteś w zakresie NIS2, jeśli:

✅ Działasz w sektorze objętym NIS2, np.:

energia, transport, bankowość/finanse, ochrona zdrowia, infrastruktura cyfrowa (np. data center/chmura), usługi cyfrowe, usługi pocztowe/kurierskie, woda/ścieki/odpady, produkcja wybranych produktów, administracja publiczna, a także inne sektory wskazane w dyrektywie.

✅ Jesteś średnią lub dużą organizacją

(w praktyce często “od ok. 50 pracowników” lub odpowiedni próg przychodowy) – a dla części podmiotów progi mogą być wyższe w zależności od kategorii.

✅ Jesteś dostawcą/partnerem

dla podmiotów kluczowych lub ważnych (łańcuch dostaw) — bo wymagania “schodzą w dół” w relacji z dostawcami.

Ostateczna kwalifikacja zależy od profilu działalności, wielkości i roli w łańcuchu dostaw. Na konsultacji wstępnej pomagamy to szybko ocenić i zaproponować plan działań.

PODMIOTY KLUCZOWE

Wybrane podmioty publiczne

Ochrona zdrowia

Woda pitna / ścieki

Infrastruktura cyfrowa

PODMIOTY WAŻNE

Regionalne podmioty publiczne

Gospodarka odpadami

Produkcja z wybranych sektorów

Dostawcy usług cyfrowych

Przykładowe pakiety NIS2

NIS2 START

Audyt gotowości + plan działań

Dla kogo:
• gdy chcesz szybko sprawdzić, czy i co musisz wdrożyć.

W ramach pakietu:
• audyt dokumentacji i procesów (stan obecny);
• mapa ryzyk i priorytetów;
• plan wdrożenia krok po kroku
• rekomendacje “quick wins” i obszary krytyczne.

NIS2 WDROŻENIE

Dokumentacja + procedury + wsparcie wdrożenia

Dla kogo:
• gdy masz decyzję “wdrażamy” i chcesz to zrobić bez chaosu.

W ramach pakietu:
• przygotowanie/aktualizacja dokumentacji i procedur;
• uporządkowanie ról i odpowiedzialności (zarząd / IT / compliance);
• wsparcie wdrożenia w organizacji (konsultacje, poprawki, weryfikacja).

NIS2 FULL

Audyt + wdrożenie + szkolenia (zarząd + pracownicy)

Dla kogo:
• gdy chcesz “zamknąć temat” całościowo i mieć spokój operacyjny.

W ramach pakietu:
• audyt gotowości + plan działań;
• dokumentacja i wsparcie wdrożenia;
• szkolenia dla zarządu i pracowników;
• opcjonalnie: stała opieka (cykliczne szkolenia / aktualizacje).

Zakres dopasowujemy do skali organizacji, branży i modelu działania. Wycena po krótkiej rozmowie wstępnej.

Kary i odpowiedzialność

do 10 mln EUR
lub 2% obrotu

Maksymalna kara dla podmiotów kluczowych – wyższa z dwóch wartości: 10 mln EUR lub 2% rocznego obrotu w skali globalnej.

do 7 mln EUR
lub 1,4% obrotu

Maksymalna kara dla podmiotów ważnych – wyższa z dwóch wartości: 7 mln EUR lub 1,4% rocznego obrotu w skali globalnej.

Kary pieniężne z nowelizacji KSC mogą być po raz pierwszy nakładane po upływie 2 lat od wejścia ustawy w życie. Wysokość kary zależy od kategorii podmiotu (kluczowy / ważny), wagi naruszenia i okoliczności sprawy.

Jak pracujemy

Jak wygląda współpraca

1) Rozmowa wstępna (15–30 min).

Ustalamy profil organizacji, zakres, priorytety i terminy.

2) Diagnoza / audyt.

Sprawdzamy dokumentację, procesy i ryzyka – powstaje plan działań.

3) Wdrożenie dokumentacji i procedur.

Przygotowujemy materiały i pomagamy wdrożyć je w praktyce.

4) Szkolenia i utrzymanie
Szkolimy zarząd i zespół.

Opcjonalnie zapewniamy stałe wsparcie compliance.

Dlaczego my?

Łączymy doświadczenie prawne i podejście audytowe. Dzięki temu projekty NIS2/RODO/cyber prowadzimy tak, żeby były zrozumiałe dla zarządu i realnie wdrażalne w organizacji.

• praktyka na styku prawa, cyberbezpieczeństwa i compliance;
• podejście audytowe (porządek, dowody, procesy, odpowiedzialności);
• nacisk na działania, które “działają” – nie tylko dokumenty.

Kompetencje:

Pozostałe obszary wsparcia

RODO
• audyty i szkolenia;
• wsparcie przy naruszeniach danych;
• outsourcing IOD / obsługa postępowań.

Cyberbezpieczeństwo i incydenty
• procedury reakcji na incydenty;
• wsparcie po phishingu/BEC i naruszeniach;
• szkolenia dla zespołów i kadry kierowniczej.

Compliance dla spółek
• procedury, ryzyka, odpowiedzialność zarządu;
• stała obsługa prawna i compliance;
• wsparcie transakcyjne (M&A) + cyber/compliance due diligence.

FAQ

Czy NIS2 dotyczy mojej firmy?

To zależy od branży, wielkości oraz roli w łańcuchu dostaw. Na rozmowie wstępnej zrobimy szybkie rozpoznanie i powiemy, czy temat jest dla Ciebie obowiązkowy lub istotny biznesowo.

Ile trwa audyt gotowości?

Zależnie od skali organizacji i dostępności materiałów. Po rozmowie wstępnej podajemy realny harmonogram.

Czy robicie tylko dokumenty?

Nie. Dokumentacja jest środkiem do celu. Dbamy o to, żeby procedury były możliwe do wdrożenia i używane w praktyce.

Czy szkolenia są dla zarządu i pracowników?

Tak. Możemy zrobić osobne moduły: zarządczy (odpowiedzialności, ryzyko, decyzje) i operacyjny (incydenty, phishing/BEC, procedury).

Czy obsługujecie sektor publiczny?

Tak – możemy prowadzić prace doradcze i szkoleniowe również dla organizacji publicznych i jednostek podległych, w zakresie porządkowania obowiązków i procesów.

Czy działacie poza Białymstokiem?

Tak. Projekty prowadzimy w całej Polsce – zdalnie lub stacjonarnie.

Czy możecie wejść “na już”?

W pilnych sytuacjach (incydent/naruszenie) reagujemy możliwie szybko. W innych przypadkach ustalamy harmonogram i priorytety.

Czy zapewniacie stałą opiekę?

Tak. Możliwy jest abonament: cykliczne szkolenia, aktualizacje dokumentacji, bieżące wsparcie compliance.

Czy to jest porada prawna online?

Rozmowa wstępna służy rozpoznaniu potrzeb i ustaleniu zakresu współpracy. Porady prawne w konkretnej sprawie udzielamy po przyjęciu zlecenia.

Jak zacząć?

Najprościej: zostaw kontakt lub zadzwoń. Umówimy krótką rozmowę i zaproponujemy ścieżkę działania.

Tytuł elementu

Ostateczna odpowiedź zależy od sektora, wielkości i roli w łańcuchu dostaw. Najczęściej podlegasz NIS2 / KSC, jeśli działasz w jednym z sektorów kluczowych lub ważnych (m.in. ochrona zdrowia, woda, infrastruktura cyfrowa, gospodarka odpadami, energia, finanse, administracja publiczna) i przekraczasz progi średniego lub dużego przedsiębiorstwa. Dostawcy dla podmiotów kluczowych również często są objęci wymaganiami łańcucha dostaw.

Na rozmowie wstępnej pomożemy szybko ocenić, czy i w jakim zakresie Twoja organizacja podlega obowiązkom – bez kosztów.

Tytuł elementu

Najważniejsze obowiązki NIS2 / KSC dla podmiotów kluczowych i ważnych:

rejestracja w Wykazie KSC (do 3 października 2026),
wdrożenie zarządzania ryzykiem i polityki cyberbezpieczeństwa,
plan reakcji na incydenty + raportowanie (24h / 72h / miesiąc),
zabezpieczenia organizacyjne i techniczne (dokumentacja, role, procedury),
kontrola dostawców i łańcucha dostaw,
regularne szkolenia z cyberbezpieczeństwa dla zarządu i pracowników,
odpowiedzialność osobista członków zarządu.

Różnica między podmiotem kluczowym a ważnym dotyczy głównie nadzoru (kluczowe = nadzór proaktywny, ważne = reaktywny) i poziomu kar.

Tytuł elementu

Maksymalne kary NIS2 / KSC – wyższa z dwóch wartości:

dla podmiotów kluczowych: do 10 mln EUR lub 2% rocznego obrotu,
dla podmiotów ważnych: do 7 mln EUR lub 1,4% rocznego obrotu.

Kara zależy od wagi naruszenia, kategorii podmiotu i okoliczności. Pierwsze kary pieniężne mogą być nakładane po 2 latach od wejścia ustawy w życie. Zarząd odpowiada osobiście za zaniedbania w zakresie cyberbezpieczeństwa.

Tytuł elementu

Tak. Ustawa o KSC wprost wymaga regularnych szkoleń z cyberbezpieczeństwa – zarówno dla pracowników, jak i osób kierujących organizacją. To nie jest dobrowolne i nie wystarczy jednorazowe szkolenie „dla papierka”.

Praktycznie oznacza to: szkolenia wprowadzające dla nowo zatrudnionych, cykliczne szkolenia odświeżające (zwykle raz w roku) dla wszystkich pracowników, dedykowane szkolenia dla zarządu i kadry kierowniczej (obowiązki, odpowiedzialność, reakcja na incydent).

W ramach naszych pakietów prowadzimy szkolenia praktyczne – z konkretnymi scenariuszami (phishing, BEC, reakcja na incydent), nie tylko ogólnymi prezentacjami.