Formularz zamówienia: NIS 2 Komplet Dokumentacji i Wdrożenia – 999,00 zł + VAT 23%

• Komplet edytowalnych dokumentów (DOCX) zgodnych z NIS2/KSC (pełna lista w sekcji „Dokumenty i wzory”).
• Instrukcja wdrożenia „krok po kroku” + checklisty kontroli.
• 1 godz. konsultacji online z ekspertem ds. cyberbezpieczeństwa.
• E‑szkolenie wideo: „NIS2/KSC w praktyce — od ryzyka do incydentów”.
• Wzory zgłoszeń do CSIRT sektorowego (wczesne ostrzeżenie ≤24 h, zgłoszenie ≤72 h, sprawozdanie ≤1 mies.) i rejestry (ryzyk, incydentów, dostawców itp.).
• Wsparcie mailowe przy dopasowaniu dokumentów (14 dni).

Dla kogo? Firmy i urzędy kwalifikowane jako podmiot kluczowy lub ważny wg NIS2/KSC (różne sektory z załączników do ustawy).

• Szybkie wdrożenie: gotowe wzory + instrukcja.
• Zgodność z projektem KSC: odzwierciedlenie wymogów art. 8, 9–12b, 14–16 (SZBI, kontakty, incydenty, audyt).
• Wymogi UE: uwzględniono rozporządzenie 2024/2690 (środki zarządzania ryzykiem, łańcuch dostaw, progi istotności incydentów dla wybranych dostawców cyfrowych).

A) Dokumenty nadrzędne (SZBI)

• Polityka Bezpieczeństwa Informacji (PBI) + polityki tematyczne (klasyfikacja, email, mobilność/BYOD, praca zdalna).
• Polityka zarządzania ryzykiem + metodologia i rejestr ryzyk.
• Polityka ciągłości działania (BCM) + Plany BC/DR i instrukcje testów.
• Polityka łańcucha dostaw i nadzoru nad dostawcami (oceny ryzyka, wymagania kontraktowe, SLA, certyfikacja, CVD).
• Polityka bezpiecznego nabywania, rozwoju i utrzymania systemów (Secure SDLC), zarządzanie podatnościami i ujawnianiem podatności (CVD).
• Polityka kryptografii i szyfrowania (algorytmy, klucze).
• Polityka IAM + kontrola dostępu.
• Polityka MFA i bezpiecznej komunikacji (szyfrowane głos/wideo/tekst; komunikacja awaryjna).
• Polityka zarządzania aktywami (sprzęt/oprogramowanie/dane/usługi).
• Polityka szkoleń i świadomości (program roczny, KPI).
• Polityka monitorowania i logowania (ciągły monitoring, SIEM, retencja logów).
• Polityka bezpieczeństwa fizycznego i środowiskowego (strefy, dostęp, SUFO — jeśli dot.).

B) Procedury operacyjne

• Szacowanie ryzyka (kroki, role, cykl).
• Zarządzanie incydentami (triage, klasyfikacja, obsługa, 24h/72h/1 mies., współpraca z CSIRT).
• Kopie zapasowe i odtworzenia (testy, RTO/RPO).
• Zarządzanie zmianą (CAB, rejestr).
• Zarządzanie podatnościami i łatami (VMP/Patch; źródła advisories; SLA).
• Nadzór nad dokumentacją (dostęp, wersjonowanie, archiwizacja, brakowanie).
• Nadzór nad niezgodnościami (działania korygujące/zapobiegawcze).
• Zarządzanie dostawcami (ocena wstępna/okresowa, zapisy, klauzule).
• Zarządzanie tożsamościami (nadawanie/zmiana/cofanie uprawnień, recertyfikacje).
• Onboarding/offboarding (personel i podmioty zewn.).
• Bezpieczna konfiguracja i hardening (baseline, przeglądy).
• Bezpieczeństwo poczty elektronicznej (w tym mechanizmy z ustawy dot. nadużyć w komunikacji elektronicznej).
• Praca zdalna/BYOD (minimum kontroli).
• Komunikacja kryzysowa (zewn./wewn., kanały awaryjne).
• Współpraca z organami nadzoru/CSIRT (tryb, dane, terminy).
• Testowanie i ocena skuteczności zabezpieczeń (przeglądy, testy, audyty).
• CVD — koordynowane ujawnianie podatności (kanał zgłoszeń zewnętrznych).

C) Wzory, rejestry, formularze (dowody zgodności)

• Rejestr incydentów + KPI.
• Wzór „Wczesne ostrzeżenie” (≤24 h) → CSIRT sektorowy.
• Wzór zgłoszenia incydentu poważnego (≤72 h) → CSIRT sektorowy.
• Wzór sprawozdania okresowego i końcowego (≤1 mies.).
• Rejestr ryzyk + Plan postępowania z ryzykiem.
• Rejestr aktywów (sprzęt/oprogramowanie/dane/usługi).
• Rejestr uprawnień i przeglądów dostępu.
• Rejestr dostawców i ocen ryzyka łańcucha dostaw.
• Rejestr zmian (Change Log).
• Rejestr testów kopii zapasowych i odtworzeń.
• Wzór wyznaczenia/aktualizacji „osób kontaktowych” do NIS2/KSC.
• Wzór raportu z audytu wewnętrznego SZBI.
• Oświadczenia pracowników o poufności i cyberhigienie.

Uwaga dla urzędów/podmiotów publicznych (podmioty ważne): w pakiecie dodajemy moduł minimalnych wymogów z Załącznika 4 (inwentaryzacja, kontrola wersji, zasada najmniejszych uprawnień, odseparowane backupy i testy odtworzeniowe, kontrola poczty, szkolenia).

• Ryzyko i PBI: Polityka BI + Polityka ryzyka + Rejestr ryzyk.
• Incydenty: Procedura incydentów + wzory 24 h / 72 h / 1 mies.
• BC/DR: Polityka BCM + Plany + testy.
• Łańcuch dostaw: Polityka dostawców + rejestr.
• SDLC i podatności: Polityka SDLC + VMP/CVD.
• Testy/ocena skuteczności: Procedura testów/audytów.
• Szkolenia i cyberhigiena: Polityka szkoleń + program.
• Kryptografia: Polityka kryptografii.
• HR + dostęp + aktywa: IAM + aktywa + onboarding/offboarding.
• MFA i bezpieczna komunikacja: Polityka MFA i bezpiecznej komunikacji.

• Incydenty do CSIRT: wczesne ostrzeżenie ≤24 h, zgłoszenie ≤72 h, sprawozdanie końcowe ≤1 mies.
• Osoby kontaktowe: co najmniej 2 (MŚP – min. 1) + kanał zgłoszeń dla użytkowników.
• SZBI + dokumentacja: kontrola wersji, dostęp, dzienniki, zasady przechowywania (w tym protokół brakowania).
• Audyt (podmiot kluczowy): co 3 lata; pierwszy w 24 mies. od uzyskania statusu/wejścia w życie przepisów.
• Kadra zarządzająca: odpowiedzialność + coroczne szkolenie z cyberbezpieczeństwa.

Zakres: dokumenty (edytowalne), szkolenie, 1h konsultacji, wsparcie mailowe 14 dni.

Licencja: wyłącznie do użytku wewnętrznego organizacji zamawiającej.

Dostawa: cyfrowo (email / panel klienta).

Compliance note: monitorujemy zmiany legislacyjne; jeśli zajdą, przekażemy wskazówki, co zaktualizować, by zachować zgodność.

Dodatkowe moduły (opcjonalnie)

• Ocena luki NIS2/KSC (1 dzień: warsztat + plan działań).
• Polityki sektorowe/specjalne (np. telemedycyna, energetyka, M365 hardening).
• Phishing drill + szkolenie uzupełniające.
• Wsparcie przy zgłoszeniach incydentów i kontaktach z CSIRT.
• Przygotowanie do audytu (przegląd dowodów zgodności).

• Dyrektywa NIS2 — art. 21 (środki zarządzania ryzykiem), art. 23 (raportowanie incydentów).
• Rozporządzenie KE 2024/2690 — techniczne i metodyczne wymogi środków zarządzania ryzykiem + istotność incydentów dla wybranych dostawców cyfrowych.
• Projekt ustawy UC32 (KSC): art. 8–12c (SZBI, osoby kontaktowe, dokumentacja, incydenty), art. 15–16 (audyt), Załącznik 4 (minima dla „podmiotów ważnych”).