Kwestionariusz kwalifikacyjny NIS2/KSC

Sekcja 1

Dane organizacji i kontakt

Podstawowe informacje identyfikacyjne niezbędne do przygotowania oferty.

Nazwa organizacji wymagane

NIP

Imię i nazwisko wymagane

Stanowisko

Adres e-mail wymagane

Telefon

Siedziba (miasto)

Strona internetowa

Sekcja 2

Kwalifikacja sektorowa

Ustawa KSC obejmuje organizacje działające w określonych sektorach. Kwalifikacja sektorowa jest pierwszym i kluczowym krokiem ustalenia obowiązków.

Uwaga: Nawet jeśli organizacja nie jest pewna swojej kwalifikacji, warto przeprowadzić analizę – przepisy obejmują m.in. dostawców dla podmiotów kluczowych (flow-down NIS2).

Jak szczegółowo opisałby/łaby Pan/Pani główną działalność organizacji?

Sekcja 3

Progi wielkości – podmiot kluczowy / ważny

Kwalifikacja zależy m.in. od wielkości organizacji. Progi odnoszą się do danych za ostatni zamknięty rok obrotowy.

Podmiot kluczowy: co do zasady duże przedsiębiorstwo (≥250 pracowników LUB przychód ≥50 mln EUR i bilans ≥43 mln EUR) w sektorze kluczowym.
Podmiot ważny: co do zasady średnie przedsiębiorstwo (≥50 pracowników LUB przychód ≥10 mln EUR) w sektorze kluczowym lub ważnym.
Niektóre kategorie (DNS, TLD, chmura, MSP) podlegają niezależnie od wielkości.

Liczba pracowników (EPC)

Roczny obrót

Suma bilansowa

Forma prawna

Czy organizacja jest przedsiębiorstwem powiązanym lub partnerskim? Progi wielkości mogą być liczone łącznie z podmiotami powiązanymi.

Tak – jesteśmy częścią grupy kapitałowej Tak – przedsiębiorstwo partnerskie (25–50% udziałów przez inny podmiot) Nie – niezależny podmiot Nie wiem – wymaga analizy

Czy organizacja świadczy którekolwiek z poniższych usług niezależnie od wielkości?

Usługi DNS (rekurencyjny lub autorytatywny) Rejestracja domen najwyższego poziomu (TLD) Usługi chmury obliczeniowej (IaaS, PaaS, SaaS) na rynku Usługi centrum danych (colocation, hosting) Sieci dostarczania treści (CDN) Zarządzane usługi bezpieczeństwa (MSSP) Usługi zarządzane ICT dla innych podmiotów (MSP) Żadne z powyższych

Sekcja 4

Usługi i działalność objęta KSC

Ustalenie, które konkretne usługi lub procesy organizacji są objęte wymogami KSC jako usługi kluczowe lub ważne.

Czy organizacja świadczy usługi, od których zależy ciągłość krytycznych funkcji społecznych lub gospodarczych?

Tak – przerwa miałaby istotny wpływ na inne podmioty lub społeczeństwo Częściowo – część usług ma znaczenie krytyczne Nie – usługi wyłącznie komercyjne bez znaczenia systemowego Nie wiem – wymaga analizy

Czy organizacja obsługuje infrastrukturę krytyczną lub systemy OT/ICS/SCADA?

Tak – własne systemy OT/ICS/SCADA Tak – zarządzamy takimi systemami na rzecz klienta Nie

Czy organizacja przetwarza dane osobowe lub wrażliwe w znacznej skali?

Tak – dane medyczne / zdrowotne Tak – dane finansowe klientów Tak – inne dane wrażliwe w znacznej skali Nie – przetwarzamy dane w ograniczonym zakresie

Proszę wymienić 3–5 usług lub procesów krytycznych dla działalności organizacji.

Sekcja 5

Powiązania grupowe i jurysdykcyjne

Powiązania z grupą kapitałową mogą wpływać na zakres obowiązków i możliwość korzystania z globalnych polityk bezpieczeństwa.

Czy organizacja jest częścią grupy kapitałowej z podmiotem dominującym poza Polską?

Tak – spółka-matka w UE Tak – spółka-matka poza UE (USA, UK, Azja, inne) Nie – podmiot dominujący lub niezależny

Czy spółka-matka lub globalna grupa posiada wdrożone standardy bezpieczeństwa (ISO 27001, NIST, SOC 2)?

Tak – grupowe polityki i certyfikaty wdrożone globalnie Tak – globalne polityki bez lokalnej adaptacji do wymogów polskich Nie – brak ustandaryzowanych polityk na poziomie grupy Nie dotyczy – niezależny podmiot

Czy systemy IT/OT są zintegrowane z systemami grupy lub podmiotów powiązanych?

Tak – pełna integracja (wspólne sieci, systemy, SOC) Częściowa integracja – wybrane systemy współdzielone Nie – infrastruktura całkowicie lokalna i niezależna

Czy organizacja jest objęta innymi regulacjami UE z zakresu cyberbezpieczeństwa? Można zaznaczyć kilka.

DORA – sektor finansowy CER – dyrektywa o odporności podmiotów krytycznych AI Act – rozporządzenie o sztucznej inteligencji CRA – Cyber Resilience Act GDPR / RODO – wymogi dodatkowe (np. art. 32) Żadne z powyższych Nie wiem

Sekcja 6

Środowisko IT i infrastruktura

Złożoność środowiska IT jest jednym z głównych czynników wpływających na zakres i koszt wdrożenia.

Jaki model infrastruktury IT posiada organizacja? Można zaznaczyć kilka.

On-premise – własne serwery i data center Chmura publiczna (AWS, Azure, GCP lub inna) Chmura prywatna Model hybrydowy (on-premise + chmura) Systemy OT / ICS / SCADA Systemy legacy (stare, trudne do aktualizacji)

Liczba serwerów / maszyn wirtualnych

Liczba stacji roboczych / endpointów

Liczba lokalizacji z infrastrukturą sieciową

Liczba systemów / aplikacji krytycznych

Czy organizacja korzysta z zewnętrznych dostawców usług IT?

Tak – większość IT outsourcowana Tak – wybrane obszary (helpdesk, backup, monitoring) Nie – IT wyłącznie wewnętrznie

Sekcja 7

Stan obecny – governance i dokumentacja

Ocena dojrzałości procesów zarządczych w obszarze cyberbezpieczeństwa.

Polityka Bezpieczeństwa Informacji (PBI)

Aktualna PBI zatwierdzona przez Zarząd (ostatnie 12 msc) PBI istnieje, ale nie aktualizowana od ponad roku PBI w trakcie opracowywania Brak PBI

ISO 27001 / ISMS

Posiadamy certyfikat ISO 27001 (lokalny) Certyfikat na poziomie grupy – bez lokalnej adaptacji Wdrażamy ISMS bez certyfikacji Brak ISMS

BCP / DRP – Plan Ciągłości Działania i Plan Odtwarzania

Aktualne plany, regularnie testowane (min. raz w roku) Plany istnieją, ale nie testowane od ponad roku Częściowe – tylko dla wybranych obszarów Brak planów

Zarządzanie ryzykiem cyberbezpieczeństwa

Formalny proces z aktualnym rejestrem ryzyka Oceny ryzyka przeprowadzane ad hoc Brak formalnego procesu

Procedury obsługi incydentów i zgłoszeń do CSIRT

Formalne procedury z przypisanymi rolami i regularne testy Procedury istnieją, ale nie testowane Nieformalne działania ad hoc Brak procedur

Szkolenia Zarządu z cyberbezpieczeństwa (wymóg art. 8b KSC)

Zarząd przeszedł szkolenie NIS2/KSC w ciągu ostatnich 12 msc Zarząd ma podstawową wiedzę, bez formalnego szkolenia Zarząd nie był szkolony

Budżet na cyberbezpieczeństwo (wymóg art. 8d pkt 2 KSC)

Wyodrębniony, zatwierdzony budżet na cybersec Budżet niewyodrębniony – w ogólnym budżecie IT Brak dedykowanych środków

Sekcja 8

Stan obecny – środki techniczne

Ocena wdrożonych technicznych środków bezpieczeństwa wymaganych przez art. 8a KSC.

SOC – Security Operations Center / monitoring bezpieczeństwa

Własny SOC wewnętrzny z monitoringiem 24/7 Outsourcowany SOC zewnętrzny z monitoringiem 24/7 Model hybrydowy Monitoring w godzinach pracy (brak 24/7) Brak monitoringu bezpieczeństwa

Kiedy ostatnio przeprowadzono testy bezpieczeństwa (pentest, audyt techniczny)?

W ciągu ostatnich 12 miesięcy 1–2 lata temu Ponad 2 lata temu Nigdy nie przeprowadzano

Czy w organizacji wystąpił incydent bezpieczeństwa w ciągu ostatnich 2 lat?

Tak – poważny incydent (przerwa, wyciek danych, ransomware) Tak – incydent mniejszej skali (phishing, podejrzane próby) Nie – brak zidentyfikowanych incydentów Nie wiem – brak systemu monitorowania

Sekcja 9

Łańcuch dostaw

Wymogi art. 8a ust. 1 pkt 4 KSC dotyczące bezpieczeństwa kluczowych dostawców IT/OT.

Ilu zewnętrznych dostawców systemów IT/OT ma kluczowe znaczenie dla działalności?

Żadnych – infrastruktura wyłącznie własna 1–3 kluczowych dostawców 4–10 kluczowych dostawców Powyżej 10 kluczowych dostawców

Czy umowy z kluczowymi dostawcami IT/OT zawierają wymagania bezpieczeństwa?

Tak – klauzule NIS2 / KSC Tak – ogólne klauzule bez odniesienia do NIS2 Nie – umowy wymagają aktualizacji Nie wiem

Czy organizacja sama jest dostawcą dla podmiotów kluczowych lub ważnych (flow-down NIS2)?

Tak – nasi klienci wymagają już od nas zgodności NIS2 Tak – spodziewamy się takich wymagań wkrótce Nie Nie wiem

Kwestionariusz kwalifikacyjny NIS2 / KSC

Zgody