Usługi wdrożeniowe i audytowe: NIS 2 / DORA / KSC
Platforma Zgodności NIS 2 + zespół ekspertów = mierzalna odporność i zgodność.
Nasza obietnica wartości:
- Zgodność, która realnie broni przed incydentami (security & compliance w jednym).
- „Board‑ready”: KPI/KRI, priorytety i koszty w języku zarządu/audytu.
- Vendor‑neutral: dobieramy rozwiązania do Twojego środowiska — bez lock‑in.
- Automatyzacja dowodów zgodności w Platformie Zgodności NIS 2.
- Jedna mapa kontroli dla NIS 2/DORA/KSC/RODO/ISO 27001 — bez dublowania pracy.
Dla kogo są nasze usługi
Podmioty kluczowe i ważne
Energetyka, transport, zdrowie, woda, usługi cyfrowe, administracja i inne sektory objęte NIS 2/KSC (PL/UE).
Sektor finansowy i dostawcy ICT
Banki, ubezpieczyciele, TFI, fintech oraz dostawcy usług ICT dla finansów.
Organizacje przetwarzające dane wrażliwe
Dane osobowe/medyczne; Privacy by Design, DPIA, incydenty 72 h, HIPAA Security Rule (klienci międzynarodowi).
Zespoły rozwijające i wdrażające AI
Rejestr systemów AI, risk assessment, testy uprzedzeń/przejrzystości, oznaczanie treści, MLSecOps.
Metodyka: od „Gap” do „Continuous Compliance”
1) Discovery & Gap
- Wywiady, przegląd architektury i procesów; szybki „gap vs. NIS 2/DORA/KSC”.
- Ocena ryzyka i wstępne quick wins (hardening, logi, EDR, backupy, MFA).
2) Strategia & Roadmap
- Priorytety wg ryzyka/dojrzałości; plan kontroli (ludzie/proces/technologia).
- Wymagania raportowe (KPI/KRI), budżet i harmonogram.
3) Wdrożenie i hardening
- Konfiguracja narzędzi bezpieczeństwa i polityk; szkolenia, testy.
- DevSecOps/AppSec tam, gdzie to krytyczne dla wytwarzania oprogramowania.
4) Integracja z Platformą Zgodności NIS 2
- Rejestry: aktywa/ryzyka/incydenty/dostawcy/wyjątki/testy.
- Matryce kontroli i dowodów, workflow TPRM, dashboardy dla zarządu.
5) Walidacja i audyt wewnętrzny
- Kontrola dowodów i skuteczności; ćwiczenia IR/BCP; przygotowanie do audytów zewnętrznych.
6) Utrzymanie (opcjonalnie)
- „Continuous compliance”: przeglądy ryzyk, skany podatności, testy odtwarzania, aktualizacja dokumentacji.
Ważne: Wykorzystujemy ramy NIST CSF jako wspólny język ryzyka, ale dostarczamy realne prace: inwentaryzacje, analizy, raporty i automatyzację dowodów w Platformie.
Artefakty i rezultaty
Raport GAP
Poziom zgodności i ryzyka (heatmapa, priorytety).
Rejestry prawne
Aktywa, incydenty ICT, dostawcy, ryzyka, wyjątki, testy.
Polityki i procedury
IR, patching, backup, dostęp, dostawcy, ciągłość działania.
Playbooki i scenariusze
Ćwiczenia, plany BCP/DR, przygotowanie do testów odporności.
Matryce mapujące
NIS 2 ↔ DORA ↔ KSC ↔ ISO 27001 ↔ NIST CSF ↔ CIS.
KPI/KRI w Platformie
MTTD/MTTR, patching, status dostawców i kontroli.
Co rekomendujemy i obsługujemy (przykłady)
Dobór zawsze po analizie środowiska i TCO. Jesteśmy vendor‑neutral — bez „lock‑in”.
| Obszar | Przykładowe rozwiązania |
|---|---|
| GRC / Privacy / Evidence | ServiceNow GRC, Archer IRM, OneTrust, Jira/Confluence, Microsoft Purview |
| SIEM / SOAR / Telemetria | Microsoft Sentinel, Splunk ES, IBM QRadar, Elastic Security; Cortex XSOAR, Splunk SOAR |
| EDR/XDR | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Palo Alto Cortex XDR |
| Vulnerability & ASM | Tenable, Qualys, Rapid7; Cortex Xpanse, Randori, Microsoft Defender EASM |
| Tożsamość / IGA / PAM / Sekrety | Microsoft Entra ID, Okta, SailPoint; CyberArk, Delinea/Thycotic, BeyondTrust; HashiCorp Vault |
| Cloud & Zero Trust / SSE / WAF | Defender for Cloud, AWS Security Hub, GCP SCC; Wiz, Prisma Cloud, Orca; Zscaler, Netskope, Cloudflare One; WAF: Cloudflare/AWS/Azure; Illumio |
| NDR / zagrożenia sieciowe | Vectra AI, ExtraHop, Darktrace |
| OT/ICS | Nozomi Networks, Claroty, Dragos |
| DevSecOps / AppSec | Veracode, Checkmarx, GitHub Advanced Security, Snyk; OWASP ZAP, Trivy, OPA/Kyverno, SBOM (CycloneDX) |
| E‑mail / DLP | Proofpoint, Mimecast, Microsoft Defender for Office 365; Microsoft Purview, Symantec DLP, Forcepoint, Netskope |
| Backup / Ransomware resilience | Veeam, Rubrik, Cohesity (3‑2‑1, immutability, testy odtwarzania) |
| Threat Intel / Testy | Recorded Future, Mandiant Advantage, Anomali; Burp Suite, Kali Linux, Metasploit |
Dlaczego te marki? Dojrzałe referencje w PL/DE/UE/USA, potwierdzona integracja z chmurą i standardami. Ostateczny wybór poprzedza krótki PoC i ocena koszt/efekt.
Nasz sposób
Architektura wg NIST SP 800‑207: ciągła weryfikacja, najmniejsze uprawnienia, segmentacja, telemetria end‑to‑end. W multi‑cloud: wspólne zasady (CSPM/CNAPP/CIEM), KMS/HSM, szyfrowanie „at‑rest/in‑transit”, klasyfikacja i DLP powiązane z MDM/UEM.
AI Governance, które działa
- Rejestr systemów AI i ryzyk; właściciele i cele.
- DPIA + AI Risk Assessment; walidacja danych; testy uprzedzeń i przejrzystości.
- Red‑teaming modeli, monitoring driftu, rejestrowanie predykcji.
- Kontrole informacyjne (oznaczanie treści, rejestrowanie interakcji); zgodność z wymogami wdrażanymi stopniowo.
RODO/GDPR/HIPAA
- Inwentaryzacja danych (rejestr czynności), klasyfikacja, minimalizacja, retencja.
- Privacy by Design, szyfrowanie, kontrola zgód, DPIA.
- Incydenty i zgłoszenia w 72 h; dopasowanie do HIPAA Security Rule.
Co realnie wzmacniamy
- Widoczność: ewidencja aktywów IT/OT i zależności (ASM + CMDB).
- Zapobieganie: hardening, mikrosegmentacja, MFA, PAM, DLP.
- Wykrywanie: pokrycie logami, use‑case’y SIEM, EDR/XDR/NDR.
- Reakcja: playbooki SOAR, ścieżki komunikacji i eskalacji.
- Odzyskiwanie: backupy niemodyfikowalne, sprawdzone RTO/RPO.
- Dostawcy: TPRM — ocena ryzyka, umowy, monitorowanie.
- Ciągłe doskonalenie: testy, ćwiczenia, przeglądy ryzyk, automatyczne dowody.
Wybierz tryb, który pasuje
Audit Sprint
Szybki GAP, priorytety, plan działań + krótki PoC narzędzi.
Implementation Program
Pełne wdrożenie kontroli, dokumentacji i integracji z Platformą.
Managed Compliance
Ciągłe utrzymanie zgodności: raporty kwartalne, przeglądy ryzyk, ćwiczenia IR/BCP.
KPI/KRI, które śledzimy
- MTTD/MTTR, pokrycie logami i źródłami w SIEM, wskaźniki patchingu.
- Skuteczność EDR/XDR (blokady/izolacje), stosunek alertów fałszywych do rzeczywistych.
- Postęp luki zgodności (kontrole wdrożone vs. plan), status TPRM.
- Metryki DORA (np. liczba incydentów ICT wg klasy ciężkości, skuteczność testów odporności).
Pełna zgodność – najważniejsze pozycje
| Obszar | Standardy / Ramy |
|---|---|
| Cyber | NIS 2 (UE), DORA (UE), KSC (PL) |
| ISO | ISO/IEC 27001/27002/27005, ISO 22301, ISO/IEC 27701 |
| NIST & best‑practices | NIST CSF 2.0, NIST SP 800‑53/171, NIST SP 800‑207 (Zero Trust), CIS Controls v8, MITRE ATT&CK, OWASP ASVS/SAMM, TIBER‑EU |
| Privacy | RODO/GDPR, HIPAA Security Rule |
| AI | EU AI Act (zarządzanie ryzykiem AI i obowiązki w cyklu życia) |
Skrót najważniejszych terminów
| Regulacja | Data | Informacja |
|---|---|---|
| NIS 2 | Transpozycja do 17.10.2024; NIS1 uchylona 18.10.2024 | Obowiązki rozszerzone na szerszy krąg sektorów |
| DORA | Stosowana od 17.01.2025 | Rezyliencja operacyjna ICT w finansach (UE) |
| AI Act | W życie 01.08.2024 (obowiązki wdrażane stopniowo) | Wymogi dot. zarządzania ryzykiem i przejrzystości |
| PL: KSC/NIS 2 | 22.10.2025: projekt ustawy przyjęty przez RM | Krajowa implementacja wymogów NIS 2 |
Doradztwo + automatyzacja = szybszy efekt
- Łączymy zespół konsultantów z Platformą Zgodności NIS 2 — niższy koszt utrzymania zgodności.
- Doświadczenie po obu stronach audytu — mówimy językiem regulatora i zespołów technicznych.
- Szybki efekt: priorytetyzujemy „quick wins”, równolegle budując docelową architekturę.
- Neutralność i przejrzystość — pracujemy na Twoim stosie narzędziowym.
Chcesz zobaczyć, jak wyglądasz na mapie NIS 2/DORA/KSC?
Przeprowadzimy mini‑assessment i pokażemy plan dojścia do pełnej zgodności wraz z szybkim PoC kluczowych narzędzi — a potem zintegrujemy wszystko w Platformie Zgodności NIS 2.