PL EN
Produkty finansowe i ubezpieczeniowe (ABP)
Usprawnia procesy biznesowe i przyspiesza wprowadzanie produktów na rynek w rozproszonych organizacjach.
Bramka SMS
Ta dwukierunkowa bramka umożliwia bezpłatne wysyłanie wiadomości SMS, pozwalając operatorom promować usługi, zarabiać na odpowiedziach i zwiększać zasięg poprzez integrację ze stroną internetową.
System zarządzania kosztami (UCMS)
Dzięki UCMS przedsiębiorstwa mogą efektywnie analizować, monitorować i zarządzać zużyciem mediów.
Systemy intranetowe
Nasze systemy intranetu oferują bezpieczne rozwiązania oparte na platformie SharePoint lub open-source, co umożliwia komunikację wewnętrzną i integrację z usługą Active Directory.
Distribution List and Shared Mailbox Manager (DSM)
Aplikacja DSM umożliwia pracownikom zarządzanie listami dystrybucyjnymi i skrzynkami pocztowymi Exchange przy minimalnym udziale administratora.
Application Test Console (ATC)
Oprogramowanie umożliwiające monitorowanie serwerów, aplikacji internetowych, usług i baz danych w czasie rzeczywistym za pomocą testów automatycznych, z alertami o nieprawidłowościach wysyłanymi za pomocą wiadomości SMS i e-mail.
File Share Manager (FSM)
Aplikacja internetowa umożliwiająca audyt oraz zarządzanie serwerami plików/udziałami sieciowymi Windows (uprawnienia, quoty, statystyki) w modelu self-service.
Lock Screen Manager (LSM)
System umożliwia zarządzanie komunikacją przy użyciu ekranów blokady (lockscreen) na firmowych komputerach.
SMS Password Manager (SPM)
Aplikacja umożliwiająca resetowanie haseł Active Directory i odblokowywanie kont za pośrednictwem wiadomości SMS przez pracowników firmy.
Pakiety Microsoft M365
Sprzedaż subskrypocji M365 w modelu CSP. Dostęp do najnowszych aplikacji biurowych, innowacyjnych funkcji sztucznej inteligencji takich jak Microsoft Copilot.
VMware
Numer jeden w dziedzinie wirtualizacji systemów informatycznych - od analizy potrzeb, przez projektowanie, po implementację i wsparcie powdrożeniowe.
Microsoft SPLA
Sprzedaż licencji Miscrosoft w miesięcznym modelu subskrypcyjnym SPLA (Service Provider License Agreement) takich produktów jak Windows Server, SQL Server, Exchange.
Veeam
Pełne portfolio rozwiązań backupu Veeam z profesjonalnym wsparciem i pełnym zakresem usług informatycznych.
MultiPortal
Platforma multitenant do sprawnego zarządzania wieloma środowiskami Proxmox zlokalizowanymi w różnych centrach danych.
Proxmox
Bezpieczne i niezawodne rozwiązania klasy korporacyjnej do zarządzania serwerami wirtualnymi, backupu środowisk wirtualnych oraz ochrony serwerów pocztowych.
Hosted SMS
Zaawansowana platforma do masowej wysyłki wiadomości SMS. Email2SMS, rozbudowane API pozwala na pełną inegrację z systemami w firmie.
eCzasPracy.pl
System umożliwia efektywną rejestrację czasu pracy pracowników, usprawnienie śledzenia obecności i zarządzania personelem.
Hosted Exchange
Platforma Hosted Exchange to kompletna usługa poczty e-mail wykorzystująca serwer Microsoft Exchange i program MS Outlook.
Share File Safe
Bezpieczny serwer OnPremise do wymiany plików wewnątrz i na zewnątrz firmy z zabezpieczeniem hasłem.
Hosted Windows
Platforma hostingowa Windows Server MS SQL/.NET umożliwiająca uruchamianie aplikacji i stron internetowych bez ponoszenia kosztów infrastruktury serwerowej.
Przeglądy Budynku
Wszystkie przeglądy budynku w jednej aplikacji. Od przeglądów kominiarskich, elektrycznych po fotowoltaikę czy kontrolę stanu wind w budynku.
SMS Vote
SMS Vote to interaktywny system głosowania, który umożliwia głosowanie w czasie rzeczywistym za pośrednictwem wiadomości SMS. Idealne rozwiązanie do wykorzystania podczas wydarzeń w mediach i transmisjach na żywo.
Security Operations Center (SOC) - DORA/NIS2
Security as a BOX to gotowe centrum bezpieczeństwa w Twojej organizacji On-Premise (SIEM, SOAR, vCISO, Asset Management, AI Threat hunting) rozszerzone o narzędzia do badania zgodności z regulacjami w zakresie cyberbezpieczeństwa (compliance) NIS2/DORA/ISO27001
Migracje MS Exchange
Migracje z systemów MS Exchange 2003, 2010, 2013 oraz 2019, a także z systemów Lotus Domino do MS Exchange. Wdrażanie i migracje środowisk hybrydowych M365 (Exchange Online) – On-Premises
Wdrożenia IT
Kompleksowa usługa obejmująca analizę potrzeb biznesowych, planowanie, realizację i wsparcie powdrożeniowe. Specjalizujemy się w rozwiązaniach Microsoft.
Wsparcie IT
Kompleksowa obsługa informatyczna, wsparcie jako rozszerzenie kompetencji własnego działu IT, administracja serwerami w firmie
  1. dcs.pl
  2. Blog

11-09-2025 Dariusz Nożyński

Cyberbezpieczeństwo w Polsce

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadziła fundamentalne regulacje dla  wzmocnienia krajowej odporności cybernetycznej. Była implementacją europejskiej dyrektywy NIS (Network and Information Systems Directive) nakładającej na państwa członkowskie obowiązki w zakresie ochrony sieci i systemów informatycznych. Dynamiczny wzrost cyfryzacji w ostatnich latach spowodował konieczność wprowadzenia nowej rozszerzającej dyrektywy NIS 2, która znacznie wydłużyła listę podmiotów podlegających przepisom. Wymagania dyrektywy będą musiały spełnić już nie tylko instytucje publiczne i przedsiębiorstwa działające w sektorach „kluczowych”, lecz również tysiące podmiotów należących do „ważnych” dziedzin gospodarki. Powstają zatem nowe obowiązki dla wielu instytucji i przedsiębiorców, których wykonanie jest trudne bez specjalistycznego wsparcia. Zwłaszcza że są powiązane z równoległymi wymaganiami innych dyrektyw, m.in. DORA i RODO.

Najważniejsze wyzwania w kontekście najnowszych regulacji cyberbezpieczeństwa – szczególnie po wdrożeniu dyrektywy RODO, DORA, NIS2 i nowelizacji KSC – można ująć w kilku obszarach:

1. Kto podlega i w jakim stopniu?

Ustalenie, czy dana organizacja formalnie podlega danej regulacji i w jakim zakresie – a wiele podmiotów może być objętych kilkoma reżimami jednocześnie (np. banki podlegają regulacjom DORA, NIS2 oraz KSC) - jest jednym z podstawowych wyzwań. Konsekwencją decyzji o podleganiu przepisom jest konieczność dostosowania procesów do różnych wymagań prawnych, które częściowo się pokrywają, ale różnią w szczegółach. I tak:

  • RODO (Rozporządzenie o Ochronie Danych Osobowych) - obejmuje administratorów (firma, instytucja publiczna, organizacja non-profit, organ władzy) mających siedzibę w UE, którzy przetwarzają dane osobowe w kontekście swojej działalności, niezależnie od tego, gdzie faktycznie odbywa się przetwarzanie. Każdy podmiot przetwarzający (procesor) mający siedzibę w UE, który przetwarza dane osobowe w imieniu administratora także podlega RODO.
  • DORA (Digital Operational Resilience Act)- obejmuje instytucje finansowe i ich dostawców ICT – w tym banki, firmy inwestycyjne, zakłady ubezpieczeń, fintechy
  • NIS2 ( Network and Information Security Directive 2)– dyrektywa unijna - obejmują energetykę, transport, ochronę zdrowia, infrastrukturę cyfrową, gospodarkę wodną, administrację publiczną oraz dostawców usług cyfrowych
  • KSC (Krajowy System Cyberbezpieczeństwa) – krajowa implementacja NIS2, rozszerza katalog podmiotów objętych regulacją w stosunku do NIS2 głównie w obszarach: administracja publiczna (jednostki samorządu terytorialnego, uczelnie publiczne, instytucje kultury), sektor farmaceutyczny (wytwarzanie i dystrybucja leków), sektor edukacyjny

Security as a Box – wdrożenie kompletnego rozwiązania security (SIEM, SOAR + Compliance) – skontaktuj się z nami.

2. Jakie są kluczowe wymagania w zakresie zarządzania ryzykiem?

Integracja wymagań różnych regulacji w spójne, praktyczne ramy zarządzania ryzykiem, tak by uniknąć duplikacji procesów to obecnie jedno z najważniejszych zadań. Konsekwencją jest opracowanie przemyślanego i optymalnego kosztowo procesu oraz obniżenie ryzyka narażenia się na sankcje finansowe i prawne. Po krótce:

  • RODO – nie mówi „jak” dokładnie chronić dane — wymaga, aby podmiot przetwarzający dane znał ryzyko i dobrał środki adekwatne do jego poziomu, dokumentując proces i w razie kontroli mógł udowodnić, że jego decyzje były racjonalne
  • DORA – narzuca szczegółowe wymogi w zakresie identyfikacji, oceny i monitorowania ryzyka ICT, w tym ryzyka w łańcuchu dostaw oraz ryzyka koncentracji dostawców
  • NIS2 / KSC – wprowadzają obowiązek wdrożenia systemów zarządzania bezpieczeństwem informacji, planów ciągłości działania (BCP) i odtwarzania po awarii (DRP), a także okresowej analizy ryzyka

3. Kiedy raportować i jak powinna wyglądać obsługa incydentów?

Stworzenie efektywnych procedur, które umożliwią błyskawiczną detekcję, klasyfikację i następnie raportowanie incydentów do różnych instytucji nadzorczych, często w różnym formacie i według różnych kryteriów jest przedmiotem działań narzuconych przez nowe regulacje.

Tabela porównawcza — zgłaszanie incydentów

Regulacja

Do kogo zgłaszać

Termin wstępnego zgłoszenia

Zakres zgłoszenia

RODO

Organ ochrony danych (UODO)

72h od stwierdzenia naruszenia

Charakter incydentu, dane, skutki, działania

DORA

Organ nadzoru finansowego (np. KNF)

Bez zbędnej zwłoki (wg progów istotności)

Opis incydentu ICT, wpływ na usługi, działania naprawcze

NIS2

Właściwy CSIRT / organ krajowy ds. cyberbezpieczeństwa

Bez zbędnej zwłoki (często ≤24h)

Charakter, wpływ na usługi, środki zaradcze

KSC

CSIRT NASK / CSIRT GOV / inny wskazany

Niezwłocznie (zwykle ≤24h)

Opis zdarzenia, wpływ, działania naprawcze

4. Kiedy wykonać audyt cyberbezpieczeństwa, a kiedy testowanie odporności?

Zapewnienie budżetu, zasobów i kompetencji do przeprowadzania systematycznych audytów cyberbezpieczeństwa oraz testów zgodnych z wymaganymi standardami oraz integracja wyników z procesem poprawy bezpieczeństwa stanowi ważne wyzwanie, od którego zależy ustalenie strategii i planu działań w zakresie cyberbezpieczeństwa.

  • RODO - obowiązki dotyczące cyklicznych testów, przeglądów i oceny skuteczności środków bezpieczeństwa wynikają wprost z przepisów, przy czym częstotliwość ich wykonywania powinna wynikać z poziomu ryzyka – im wyższe ryzyko dla praw i wolności osób, tym częstsze przeglądy, a ponadto powinny być wykonywane ad-hoc po istotnych zmianach (nowy system, wystąpienie incydentu, zmiana przepisów, itp.)
  • DORA – obowiązek regularnych testów penetracyjnych (TLPT – Threat-Led Penetration Testing) oraz audytów bezpieczeństwa
  • NIS2 / KSC – audyt bezpieczeństwa co najmniej raz na 3 lata (w niektórych sektorach częściej).

5. Czy zarządzanie łańcuchem dostaw dotyczy wszystkich podmiotów?

Wszystkie regulacje w zakresie cyberbezpieczeństwa wymuszają systematyczny przegląd i dostosowywanie kontraktów, procesów zakupowych i procedur weryfikacji podwykonawców do zmieniających się przepisów i wymagań. Każdy z podmiotów podlegających regulacjom ma obowiązek monitorować zgodność swoich poddostawców z umową wiążącą ich oraz obowiązującym regulacjom. W szczególności:

  • RODO – administrator może korzystać wyłącznie z takich procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, a przetwarzanie przez procesora musi być uregulowane pisemną umową (również w formie elektronicznej), przy czym procesor nie może powierzyć danych kolejnemu podmiotowi (podprocesorowi) bez uprzedniej zgody administratora (ogólnej lub szczegółowej)
  • DORA, NIS2, KSC - podkreślają konieczność oceny i nadzorowania dostawców usług i produktów ICT
  • DORA idzie najdalej – wymaga formalnych umów, ocen ryzyka dostawców oraz planów na wypadek awarii lub upadłości kluczowego dostawcy

6. Jakie są sankcje i odpowiedzialność zarządu?

Krytycznym wyzwaniem dla organizacji jest uniknięcie sankcji oraz zapewnienie, że zarząd i kierownictwo aktywnie nadzorują działania w zakresie cyberbezpieczeństwa oraz mają świadomość odpowiedzialności przy wszechobecnych brakach kadrowych i kompetencyjnych.

Tabela porównawcza sankcji (maksymalny wymiar sankcji finansowych i niefinansowych)

Regulacja

Maks. kara finansowa

Kto nakłada

Dodatkowe sankcje pozafinansowe

RODO

20 mln EUR / 4% obrotu

UODO

Zakazy przetwarzania, usunięcie danych, odpowiedzialność cywilna i karna

DORA

1% dziennego obrotu za dzień naruszenia (max 6 mies.)

KNF lub inny organ sektorowy

Zakaz korzystania z dostawcy ICT, obowiązkowe audyty, publiczne ogłoszenie

NIS2

10 mln EUR / 2% obrotu (kluczowe) lub 7 mln EUR / 1,4% (ważne)

Organ ds. cyberbezpieczeństwa (w PL: minister + CSIRT)

Zawieszenie kadry kierowniczej, obowiązek wdrożenia dodatkowych środków

KSC

1 mln zł (podmiot) / 200 tys. zł (kierownik)

Minister właściwy / CSIRT

Nakaz wdrożenia środków, kontrole, zgłoszenie do prokuratury

7. Integracja wymogów w jeden spójny system

Połączenie wymagań RODO, DORA, NIS2 i KSC w jednolite ramy zarządzania, które będą działały efektywnie w codziennej praktyce jest wyzwaniem, które napotyka każdy podmiot podlegający wielu regulacjom jednocześnie. Instytucje objęte kilkoma regulacjami, co występuje w zdecydowanej większości przypadków, muszą zbudować zintegrowany model compliance, aby:

  • unikać powielania procesów,
  • harmonizować polityki bezpieczeństwa,
  • spełniać wszystkie terminy i formaty raportowania.

Jak SOC Factory pomaga w spełnieniu wymagań NIS2/DORA – skontatuj się z nami.

Warto wiedzieć - odpowiedzialność względem instytucji nadzoru

1. RODO (Rozporządzenie o Ochronie Danych Osobowych

Podstawa prawna: art. 83 RODO, art. 102–107 ustawy o ochronie danych osobowych w Polsce.
Sankcje:

  • Administracyjne kary pieniężne:
    • Do 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku — stosuje się wartość wyższą./li>
    • Niższy próg: do 10 mln EUR lub 2% obrotu — za mniej poważne naruszenia (np. brak rejestru czynności).
  • Nakazy i zakazy organu nadzorczego (UODO):
    • Nakaz usunięcia danych lub ograniczenia przetwarzania.
    • Wstrzymanie operacji przetwarzania.
  • Odpowiedzialność cywilna:
    • Prawo do odszkodowania dla osób, których dane naruszono.
  • Odpowiedzialność karna w Polsce (ustawa krajowa):
    • Grzywny lub kara pozbawienia wolności w przypadku nielegalnego przetwarzania danych szczególnych kategorii.

2. DORA (Digital Operational Resilience Act — rozporządzenie UE 2022/2554)

Podstawa prawna: art. 50–54 DORA + przepisy sektorowe (np. ustawa o nadzorze nad rynkiem finansowym w PL).
Sankcje:

  • Kary administracyjne nakładane przez właściwe organy (np. KNF w Polsce):
    • Mogą być ustalane w stawkach do 1% średniego dziennego obrotu instytucji w skali globalnej, za każdy dzień trwania naruszenia, przez maksymalnie 6 miesięcy.
    • Alternatywnie — kwoty ryczałtowe zgodne z prawem krajowym.
  • Środki nadzorcze:
    • Nakaz usunięcia naruszenia w określonym terminie.
    • Zakaz korzystania z dostawcy ICT.
    • Wymóg przeprowadzenia dodatkowych testów lub audytów.
  • Publiczne ogłoszenie naruszenia (naming & shaming).

3. NIS2 (Dyrektywa UE 2022/2555 — implementowana do prawa krajowego)

Podstawa prawna: art. 34 NIS2 (ramy sankcyjne) + przepisy krajowe transponujące (w PL: nowelizacja ustawy o KSC).
Sankcje przewidziane w dyrektywie (minimalne standardy):

  • Kary finansowe:
    • Dla „podmiotów kluczowych”: do 10 mln EUR lub do 2% całkowitego rocznego światowego obrotu.
    • Dla „podmiotów ważnych”: do 7 mln EUR lub do 1,4% obrotu.
  • Środki nadzorcze:
    • Nakaz usunięcia uchybień.
    • Czasowe zawieszenie uprawnień kierownictwa do pełnienia funkcji kierowniczych.
    • Obowiązek wdrożenia dodatkowych środków bezpieczeństwa.
  • Reputacyjne: obowiązek ujawnienia informacji o incydencie i naruszeniu przepisów.

4. KSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa — aktualnie w trakcie nowelizacji pod NIS2)

Podstawa prawna: ustawa z 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa.
Sankcje (stan obecny):

  • Kary pieniężne:
    • Do 200 tys. zł dla kierownika jednostki organizacyjnej.
    • Do 1 mln zł dla podmiotu — np. za niewdrożenie wymogów bezpieczeństwa, brak zgłoszenia incydentu poważnego lub krytycznego, brak współpracy z CSIRT.
  • Środki nadzorcze:
    • Nakaz wdrożenia określonych środków w określonym czasie.
    • Możliwość przeprowadzenia kontroli i audytu.
  • Zawiadomienie organów ścigania w przypadku podejrzenia popełnienia przestępstwa.
  • Planowane zmiany (po pełnej implementacji NIS2): sankcje finansowe w euro, powiązane z procentem obrotu, oraz szerszy katalog środków nadzorczych.

0 komentarze

dcs.pl - linkedin
Bądź na bieżąco Śledź nas na LinkedIn, aby otrzymywać aktualizacje i informacje.

Kontakt

dcs.pl Sp. z o.o,
ul. Puławska 303,
02-785 Warszawa,
NIP: 951-20-63-362,
+48 22 5486000,
info@dcs.pl

O firmie

Zasoby

Usługi

Produkty

Nasze serwisy

dcs.pl - linkedin
Bądź na bieżąco Śledź nas na LinkedIn, aby otrzymywać aktualizacje i informacje.

Copyright ©dcs.pl 1995-2025 Sp. z o.o. All rights reserved.