Narzędzie oceny

Ocena dojrzałości
UKSC / NIS2

Sprawdź czy Twoja organizacja podlega ustawie o krajowym systemie cyberbezpieczeństwa i oceń poziom gotowości w 10 kluczowych obszarach. Raport dostępny po weryfikacji danych.

🎯
Kwalifikacja
Sprawdzamy czy Twoja organizacja podlega UKSC/NIS2 i jakie obowiązki Cię dotyczą
📊
Ocena dojrzałości
10 obszarów wymagań — poziomy 1–5 — od braku działań do gotowości certyfikacyjnej
📋
Raport z terminami
Radar chart, priorytety, terminy regulacyjne dla Twojej klasyfikacji
🔒
Weryfikacja danych
Raport dostępny po weryfikacji NIP i służbowego adresu email
⏱ Czas wypełnienia: ok. 8–12 minut  ·  🔁 Tryb: zmień na Biznes lub Techniczny (góra ekranu)  ·  💾 Dane: przetwarzane zgodnie z RODO
Krok 1 / 15 — Typ podmiotu
Do której kategorii należy Twoja organizacja? Wybierz kategorię odpowiadającą Twojej organizacji w rozumieniu ustawy o KSC / NIS2.
🔴
Podmiot kluczowy
Sektor krytyczny: energia, transport, zdrowie, woda, infrastruktura cyfrowa, ICT, przestrzeń kosmiczna, administracja rządowa
KSC — wysoki priorytet
🟡
Podmiot ważny
Sektor ważny: poczta, odpady, chemia, żywność, produkcja, usługi cyfrowe (marketplace, wyszukiwarki), badania naukowe
KSC — standardowy
🏛
Podmiot publiczny
Urząd gminy/miasta, starostwo, inna jednostka samorządowa, agencja rządowa, uczelnia publiczna, instytut badawczy, szpital publiczny
Objęty KSC z urzędu
🔗
Dostawca ICT
Dostarczasz produkty, usługi lub procesy ICT podmiotom z powyższych kategorii — nie jesteś bezpośrednio objęty KSC, ale Twoi klienci wymagają od Ciebie zgodności
Łańcuch dostaw KSC
🛡
Służby mundurowe
Policja, Wojsko Polskie, Straż Pożarna, Straż Graniczna, Służba Więzienna, ABW, SKW i inne formacje mundurowe
Podmiot kluczowy KSC
🛟
Inne — chcę być bezpieczny
Twoja organizacja nie podlega UKSC/NIS2 ani nie jest dostawcą ICT, ale chcesz sprawdzić swoją dojrzałość cyberbezpieczeństwa i wzmocnić odporność na zagrożenia
Ocena edukacyjna
Krok 2 / 15 — Wielkość organizacji
Jak duża jest Twoja organizacja? Kategoria przedsiębiorstwa:
Mikro
Poniżej 10 pracowników
Obrót/suma bilansowa do 2M EUR
Małe
10–49 pracowników
Obrót/suma bilansowa do 10M EUR
Średnie
50–249 pracowników
Obrót do 50M EUR lub suma bil. do 43M EUR
Duże
250+ pracowników
lub obrót powyżej 50M EUR
Krok 3 / 15 — Łańcuch dostaw ICT
Czy Twoja firma sprzedaje lub dostarcza któreś z poniższych? Czy Twoja organizacja jest dostawcą produktów ICT, usług ICT lub procesów ICT dla podmiotów z sektorów kluczowych lub ważnych?
Oprogramowanie, aplikacje lub systemy IT (własne lub jako reseller/integrator)
Sprzęt komputerowy, sieciowy lub serwerowy (własny lub jako dystrybutor/integrator)
Usługi IT, chmurowe lub cyberbezpieczeństwa (hosting, outsourcing IT, helpdesk, SOC, audyty)
Usługi serwisowe lub wsparcia technicznego dla systemów IT/OT/przemysłowych
Nie — nasza firma nie sprzedaje ani nie dostarcza niczego związanego z IT
Krok 4 / 15 — Wynik kwalifikacji
Profil organizacji — gotowość do wdrożenia
Te informacje pomogą nam oszacować realistyczny harmonogram wdrożenia wymagań KSC dla Twojej organizacji. Dane o zasobach i strukturze organizacyjnej umożliwią precyzyjne wyliczenie ścieżki krytycznej wdrożenia.
A. Kto odpowiada za cyberbezpieczeństwo w Waszej organizacji?
Dedykowany CISO / Security Manager
Osoba zatrudniona wyłącznie do zarządzania bezpieczeństwem informacji
Wyznaczona osoba z częściowym zakresem
IT Manager, Compliance Officer lub inna osoba z bezpieczeństwem jako jednym z zadań
Ktoś robi to "przy okazji"
Administrator IT, pracownik działu IT lub inna osoba bez formalnego przydziału
Nikt nie jest wyznaczony
Brak osoby odpowiedzialnej za cyberbezpieczeństwo
B. Ile czasu tygodniowo można przeznaczyć na wdrożenie wymagań KSC?
Ponad 20h tygodniowo
Dedykowany projekt — priorytet organizacyjny
10–20h tygodniowo
Znaczące zasoby, projekt realizowany równolegle z innymi zadaniami
5–10h tygodniowo
Ograniczone zasoby, wdrożenie jako zadanie dodatkowe
Poniżej 5h tygodniowo
Minimalne zasoby — wdrożenie będzie bardzo rozciągnięte w czasie
C. Jakie są wewnętrzne kompetencje w zakresie cyberbezpieczeństwa i zgodności?
Posiadamy pełne kompetencje
Doświadczenie w ISO 27001, audycie, compliance — możemy działać samodzielnie
Mamy częściowe kompetencje
Znamy temat ogólnie, ale brakuje nam doświadczenia w szczegółach wdrożenia
Brak kompetencji w tym obszarze
Potrzebujemy zewnętrznego prowadzenia projektu
D. Czy planujecie zewnętrzne wsparcie konsultingowe przy wdrożeniu?
Mamy zakontraktowanego konsultanta / vCISO
Zewnętrzny ekspert jest już zaangażowany w projekt
Planujemy zatrudnić konsultanta
Decyzja podjęta, trwają lub planowane są poszukiwania
Rozważamy, ale jeszcze nie zdecydowaliśmy
Zależy od budżetu i wyników tej oceny
Działamy samodzielnie
Wdrożenie wyłącznie zasobami wewnętrznymi
E. Jak oceniasz zaangażowanie zarządu w projekt cyberbezpieczeństwa?
Zarząd aktywnie sponsoruje projekt
Cyberbezpieczeństwo jest priorytetem, decyzje zapadają szybko, budżet zabezpieczony
Zarząd wspiera, ale decyzje wymagają czasu
Pozytywne nastawienie, standardowy proces decyzyjny
Zarząd jest świadomy, ale projekt nie jest priorytetem
Temat jest znany, ale konkuruje z innymi inicjatywami
Zarząd nie jest zaangażowany
Projekt realizowany bez aktywnego wsparcia i sponsorowania przez kierownictwo
Krok 15a / 16 — Pytania uzupełniające
Trzy szybkie pytania o formalności KSC

Trzy obowiązki proceduralne wynikające z UKSC. Odpowiedzi trafią do raportu — pomogą wskazać konkretne braki formalne, które najczęściej są pomijane. Trzy pytania kontrolne pokrywające art. 7 UKSC (rejestracja w wykazie), art. 8f UKSC (weryfikacja niekaralności / KRK) oraz art. 9, 14 UKSC (osoby kontaktowe z CSIRT przez S46 / Cyber Hub NASK).

PYTANIE 1 z 3 · ART. 7 UKSC
Status w wykazie podmiotów KSC Wpis do wykazu podmiotów KSC (art. 7 UKSC)

Od 7 maja 2026 Ministerstwo Cyfryzacji udostępniło system samorejestracji w wykazie podmiotów KSC. Czy Twoja organizacja jest już zarejestrowana? System samorejestracji uruchomiony 7.05.2026. Termin ustawowy: 6 miesięcy od spełnienia przesłanek. Brak wpisu = bezpośrednie naruszenie obowiązków ustawowych.

Już zarejestrowani
Mamy potwierdzenie wpisu (UPP/UPO lub zaświadczenie)
W trakcie rejestracji
Wniosek złożony, czekamy na potwierdzenie
Planujemy w najbliższym czasie
Wiemy o obowiązku, jest w planach (do 30 dni)
Jeszcze nie zaczęliśmy
Sprawa nie jest w toku
Nie wiem / nie jestem pewien
Sprawdzimy przy okazji raportu
Nie dotyczy
Organizacja nie podlega wpisowi do wykazu
PYTANIE 2 z 3 · ART. 8F UKSC
Weryfikacja niekaralności kluczowego personelu Zaświadczenia z KRK dla osób realizujących zadania SZBI (art. 8f UKSC)

Ustawa wymaga, aby osoby realizujące zadania bezpieczeństwa informacji i obsługujące zgłaszanie incydentów były niekarane (zaświadczenie z KRK). Jak to wygląda u Was? Wymóg zaświadczenia o niekaralności za przestępstwa z art. 265–269b KK dla pracowników DC/CSIRT/SOC. Poświadczenia bezpieczeństwa wydane przez ABW/SKW zastępują KRK.

Wszyscy mają aktualne zaświadczenia
Pełne pokrycie pracowników kluczowych dla SZBI
Mamy poświadczenia bezpieczeństwa
ABW/SKW — zastępuje KRK
Częściowo (tylko niektóre osoby)
Część personelu ma zaświadczenia, brak kompletu
Nie pobieraliśmy zaświadczeń
Wymóg nie był realizowany
Nie wiem / muszę sprawdzić w HR
Sprawa po stronie działu HR/Kadr
Nie dotyczy
Brak personelu realizującego zadania SZBI
PYTANIE 3 z 3 · ART. 9 / 14 UKSC
Osoby do kontaktu z CSIRT (S46 / Cyber Hub NASK) Rejestracja minimum 2 osób kontaktowych w systemie S46 (Cyber Hub NASK)

UKSC wymaga wyznaczenia minimum dwóch osób do kontaktu z właściwym CSIRT przez system S46. Deadline dla podmiotów kluczowych: 3 kwietnia 2027. S46 — system teleinformatyczny KSC operowany przez NASK. Deadline 3.04.2027 dla podmiotów kluczowych. Wymagane minimum 2 osoby (dla zastępowalności w razie absencji).

Mamy wyznaczone i zgłoszone do S46
Min. 2 osoby zarejestrowane w Cyber Hub NASK
Wyznaczone, niezgłoszone
Osoby wskazane wewnętrznie, brak rejestracji w S46
Planujemy w najbliższym czasie
Sprawa znana, w planach
Jeszcze nie wyznaczyliśmy
Sprawa nie jest w toku
Nie wiem
Nie znam statusu
Nie dotyczy
Organizacja nie podlega wymogowi
Krok 15 / 15 — Dane kontaktowe i weryfikacja
Podaj dane aby odblokować raport
🔒 Dlaczego weryfikujemy dane?
Raport zawiera ocenę poziomu bezpieczeństwa Twojej organizacji. Aby zapewnić że trafi tylko do uprawnionych osób, weryfikujemy NIP firmy (przez bazy GUS) oraz potwierdzamy służbowy adres email kodem jednorazowym.
Weryfikacja przez rejestr GUS/REGON
Prosimy o służbowy adres — nie akceptujemy gmail, yahoo, wp, onet itp.
Wymagana zgoda na przetwarzanie danych osobowych.
Sektor finansowy — DORA
Twoja organizacja podlega rozporządzeniu DORA

Podmioty z sektora finansowego — banki, ubezpieczyciele, firmy inwestycyjne oraz infrastruktura rynków finansowych — podlegają przede wszystkim rozporządzeniu DORA (Digital Operational Resilience Act) w zakresie zarządzania ryzykiem ICT, a nie ustawie o KSC w zakresie SZBI.

DORA obowiązuje od 17 stycznia 2025 r. dla wszystkich podmiotów finansowych w UE
Wymaga wdrożenia ram zarządzania ryzykiem ICT, raportowania incydentów i testów odporności
Nadzór sprawują krajowe organy finansowe (KNF w Polsce)
Formularz oceny dojrzałości DORA

Narzędzie oceny zgodności z DORA jest w przygotowaniu. Zostaw swój email — powiadomimy Cię gdy będzie dostępne.

Wynik kwalifikacji
Prawdopodobnie poza zakresem UKSC/NIS2

Na podstawie podanych informacji Twoja organizacja prawdopodobnie nie podlega bezpośrednim obowiązkom wynikającym z ustawy o krajowym systemie cyberbezpieczeństwa ani dyrektywy NIS2.

Każda firma przetwarzająca dane osobowe podlega RODO — niezależnie od sektora i wielkości
Jeśli działasz w łańcuchu dostaw firm objętych KSC, Twoi klienci mogą wymagać od Ciebie spełnienia określonych wymagań bezpieczeństwa
Ustawa o KSC jest regularnie nowelizowana — Twoja sytuacja może się zmienić przy kolejnej aktualizacji wykazów podmiotów
Dobrowolne wdrożenie podstaw cyberbezpieczeństwa (ISO 27001, CIS Controls) zwiększa odporność firmy i zaufanie klientów
Masz pytania dotyczące klasyfikacji?

Przepisy mogą być niejednoznaczne. Nasi eksperci pomogą ocenić Twoją sytuację.